Sistemul de Management

al Securității Informației conform ISO

27001

1
 Istoric si familia de standarde ISO 2700x

• este un standard de management al securității

informațiilor (SMIS) standard publicat de ISO si de
Comisia Electrotehnică Internațională în octombrie 2005;
în România a fost adoptat de Directorul General al
ASRO la 29 septembrie 2006;
• numele său complet este ISO/CEI 27001:2005
Tehnologia informației Tehnici de securitate – Sisteme
de management a informațiilor de securitate - Cerințe,
dar este cunoscut sub numele ISO27001.

2
 Familia de standarde ISO 2700X

ISO/CEI 27000 – Fundamente și vocabular;

ISO/CEI 27001 - SMSI- Cerințe;
ISO/CEI 27002 – Cod de practici pentru managementul securității
informației;
ISO/CEI 27003 – Ghid de implementare SMSI;
ISO/CEI 27004 – Măsurarea managementului de securitate a informației;
ISO/CEI 27005 – Managementul riscului de securitate a informației;
ISO/CEI 27006 – Ghidul de acreditare;
ISO/CEI 27007-27010 – alocare pentru utilizare ulterioară;

3
 Securitatea informaţiei

ISO 27001:2005 defineşte securitatatea informaţiei ca fiind

conservarea următoarelor lucruri:
• Confidenţialitate: proprietatea ca informaţia să nu fie disponibilă sau
divulgată persoanelor, entităţilor sau persoanelor neautorizate;
• Integritate: proprietatea de a păstra acurateţea şi deplinătatea
resurselor;
• Disponibilitate: proprietatea de a fi accesibil şi utilizabil la cerere de
către o entitate autorizată.

4
 SECURITATEA INFORMAȚIEI –DEFINIȚII

Securitatea informației constă în conservarea atributelor

fundamentale ale informației: confidențialitate, integritate,
disponibilitate
•Securitatea informației înseamnă protejarea informației de acces,
utilizare, divulgare, modificare, dislocare sau distrugere neautorizate
în scopul asigurării continuității afacerii, diminuării pierderilor,
maximizării rentabilității investițiilor și oportunităților de afaceri.

5
 LEGISLAŢIA PRIVIND SECURITATEA
INFORMAŢIEI

Legislația în domeniul securității informației este în continuă dezvoltare și

perfecționare pentru a oferi un cadru de reglementare coerent aliniat la
cerințele impuse de dezvoltarea socio-economică și tehnologică. Câteva
dintre legile de bază sunt:
• Legea nr. 8/1996–privind dreptului de autor şi a drepturilor conexe;
• Legea nr. 182/2002 –privind protecţia informaţiilor clasificate;
• HG nr. 585/2002 –privind standardele naţionale de protecţie a informaţiilor
clasificate în România;
• HG nr. 781/2002 –privind protecţia informaţiilor secrete de serviciu;
• HG nr. 353/2002 –privind aprobarea normelor de protecţie a informaţiilor
clasificate NATO în România;

6
 LEGISLAŢIA PRIVIND SECURITATEA
INFORMAŢIEI

• Legea nr. 544 /2002 –privind informaţiile de interes public;

• Legea nr. 676/2002 –privind protecţia datelor cu caracter personal
în reţelele de comunicaţii;
• Legea nr. 677/2001 –privind protecţia datelor cu caracter personal
şi libera circulaţie a acestor date;
• Legea nr. 455/2001 –privind semnătura electronică;
• Legea nr. 365/2002 –privind comerţul electronic;
• Ordonanţa nr. 20/2002–privind achiziţiile publice prin licitaţii
electronice.

7
 FORME DE REPREZENTARE ALE INFORMAȚIEI

Informația este de esență volatilă și poate fi materializată în diferite

forme:
• Exprimată prin vorbire
• Scrisă sau tipărită pe hârtie
• Stocată electronic
• Transmisă prin diferite mijloace de comunicație
• Înregistrată pe suporturi în format audio/video

8
 De ce să implementăm ISO 27001:2005?

De ce să implementăm ISO 27001:2005?

•Fără protecție adecvată, informațiile pot fi:
 Îndepărtate, făcute publice într-un mod neautorizat;
 Modificate fără cunoștință creatorului pentru a deveni mai putin
valoaroase;
 Pierdute fără urmă sau speranță de recuperare;
 Pot fi indisponibile când este nevoie de ele.
•Informația trebuie să fie protejată și administrată ca orice alt bun al
organizației.

9
 Considerații asupra impactului asupra activității
societății

• Confidenţialitatea, integritatea, disponibilitatea informaţiei;

• Loialitatea clientului;
• Rezultate operaţionale;
• Revizuirea amenințărilor și vulnerabilităților în mod regulat;
• Utilizarea eficientă și eficace a resurselor;
• Alinierea proceselor care va duce la obținerea rezultatelor dorite;

10
 Considerații asupra impactului asupra activității
societății

•Avantaje competitive obţinute prin îmbunătăţirea capacităţilor

organizaţionale;
• Înțelegerea și motivarea oamenilor față de obiectivele
organizaționale, precum și participarea în îmbunătățirea continuă;
• Încrederea părților interesate în eficacitatea și eficiența
organizației;
• Abilitatea de a mulţumi organizația și clienţii săi prin optimizarea
costurilor si a resurselor, precum și flexibilitatea și viteza de
răspunsuri comune prin adaptarea la o piață în continuă schimbare.

11
 ISO 27001 - descriere
• conţine 11 clauze de control, totalizând 39 de obiective de control
susţinute prin 133 de măsuri de securitate;
• neutru din punct de vedere tehnologic;
• aplicabil pentru toate ramurile industriale, toate categoriile şi
caracteristicile de organizaţii;
• adecvat inclusiv organizaţiilor mici;
• este singurul standard internaţional auditabil care defineşte cerinţe
pentru un SMSI;
• reprezintă baza pentru certificarea SMSI;
• reprezintă o bază pentru relaţii contractuale;
• accent pus pe prevenire, nu pe corecţie;

12
 ISO 27001 – descriere
PDCA
Este orientat pe îmbunătăţire continuă (buclă de
reacţie PDCA – Plan, Do, Chek, Act)

13
 ISO 27001 - descriere

• cerinţele standardului sunt generice şi sunt destinate a

fi aplicabile tuturor organizaţiilor, indiferent de tip, mărime
şi natura activităţii;
• clauzele specificate în capitolele 4, 5, 6, 7 şi 8 sunt
obligatorii şi prin urmare nici o organizaţie care solicită
certificarea pentru conformitatea cu acest standard nu
poate opera excluderi pe aceste grupe de clauze.

14
 Clauzele obligatorii ale standardului sunt grupate
în următoarele capitole:

• capitolul 4 - Sistem de management al securității

informațiilor;
• capitolul 5 - Responsabilitatea managementului;
• capitolul 6 - Audituri interne ale SMSI;
• capitolul 7 - Analizele de management pentru SMSI;
• capitolul 8 - Îmbunătățirea SMSI

15
 Aplicarea cerințelor standardului

• orice excludere de măsuri de control necesare

eliminării sau reducerii riscului până la un nivel
acceptabil trebuie justificată şi trebuie furnizate
dovezi obiective privind excluderea;
• cerinţele standardului nu pot fi aplicate decât în
legătură cu standardul ISO/CEI 27002:2008.

16
 STRUCTURA STANDARDULUI
1. PARTEA NORMATIVĂ
a) PRINCIPII GENERALE
b) CADRUL DE MANAGEMENT
c) ANEXA A (normativă)
2. PARTEA INFORMATIVĂ
a) ANEXA B – Principiile OECD şi acest standard internaţional
b) ANEXA C – Corespondenţa dintre ISO 9001:2000, ISO
14001:2004 şi acest standard internaţional
c) BIBLIOGRAFIE

17
 STRUCTURA STANDARDULUI
PRINCIPII GENERALE
0. Introducere
1. Scop
2. Referinţe normative
3. Termeni şi definiţii
CADRUL DE MANAGEMENT
4. Sistemul de management al securităţii informaţiei
5. Responsabilitatea managementului
6. Auditări interne SMSI
7. Analiza efectuată de management a SMSI
8. Îmbunătăţirea SMSI
AUDITARE ŞI CERTIFICARE
Anexa A (normativă): Obiective şi măsuri de control
Anexa B (informativă): Principiile OECD și prezentul standard internațional
(Organizația pentru Cooperare și Dezvoltare Economică)
Anexa C (informativă) Corespondenta intre ISO 9001:2000, ISO 14001 :
2004 și prezentul standard international
18
 CADRUL DE IMPLEMENTARE SMSI
Standardul ISO 27001 stabilește următoarele practici:
• Toate activitățile trebuie să aibă la bază o metodă. Alegerea metodei este liberă dar
trebuie clar definită și documentată.
• Stabilirea obiectivelor de securitate este responsabilitatea organizației. Auditorul va
verifica numai dacă aceste cerințe sunt îndeplinite.
• Toate măsurile de securitate utilizate în SMSI se implementează pe baza analizei de
risc în scopul de a elimina sau reduce riscul la un nivel acceptabil.
• Standardul ISO 27001 stabilește următoarele practici:
• Standardul pune la dispoziție o colecție de măsuri de control dar este la latitudinea
organizației să aleagă și să implementeze măsurile de control care răspund necesităților
obiective ale proceselor specifice de producție.
• Un proces de management al securității informației trebuie să asigure verificarea
continuă a elementelor SMSI prin audituri și analize (examinări).
• Un proces de management al securității informației trebuie să asigure îmbunătățirea
continuă a SMSI.

19
 SMSI

• Partea din întreg sistemul de management, bazată pe o

abordare a riscului afacerii, folosită pentru a stabili,
implementa, funcţiona, monitoriza, revizui, menţine şi
îmbunăţăţii securitatea informaţiei;
• Securitatea informaţiei ar trebui să fie văzută ca o activitate
în curs de desfăşurare şi de îmbunătăţire continuă;
• Adoptarea SMSI trebuie să fie o decizie strategică a
managementului de vârf.

20
 SMSI

• SMSI presupune toată lumea ştie cu exactitate

ceea ce se cere de la ei şi anume:
 Ei sunt instruiţi în ceea ce trebuie să facă;
 Ei au facilităţile şi resursele necesare.
• Pentru a iniţia procedura de aplicare a
standardului un set de cerinţe trebuie să fie
respectate în totalitate.

21
 SMSI

Sistemul de management include:

• Structuri organizaţionale;
• Politici;
• Activităţi de planificare;
• Responsabilităţi;
• Practici;
• Proceduri;
• Procese;
• Resurse;

22
 COMPATIBILITATEA CU ALTE STANDARDE

Acest standard internațional este aliniat cu ISO

9001 și ISO 14001 în scopul de a sprijini
implementarea și operarea consistentă și
integrată cu aceste standarde. Un sistem de
management proiectat adecvat poate implicit
satisface și cerințele celorlalte standarde.

23
Întrebări?

24