Smsi

Descărcați ca ppt, pdf sau txt
Descărcați ca ppt, pdf sau txt
Sunteți pe pagina 1din 44

Întreprinzător în Mileniul Trei

Sistemul de Management
al Securității Informației conform
ISO 27K

Vă sprijinim să deveniţi întreprinzător în mileniul tr

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
INFORMAŢIA - DEFINIŢII

• Informaţia este un activ care, ca şi alte


active importante pentru afacere, prezintă o
valoare pentru organizaţie şi, în consecinţă,
trebuie protejată adecvat.

Sursa: SR ISO/IEC 27002:2006

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
ATRIBUTELE FUNDAMENTALE ALE INFORMAȚIEI

• Informația este caracterizată de următoarele atribute


fundamentale:
• Confidențialitate: accesul la informație nu poate fi
făcut decât cu autorizare adecvată.
• Integritate: acuratețea și completitudinea informației și
a modului în care este prelucrată.
• Disponibilitate: utilizatorii autorizați trebuie să aibă
acces la informație de fiecare dată când au nevoie.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SECURITATEA INFORMAȚIEI – DEFINIȚII

• Securitatea informației constă în conservarea atributelor


fundamentale ale informației: confidențialitate, integritate,
disponibilitate
• Securitatea informației înseamnă protejarea informației de
acces, utilizare, divulgare, modificare, dislocare sau
distrugere neautorizate în scopul asigurării continuității
afacerii, diminuării pierderilor, maximizării rentabilității
investițiilor și oportunităților de afaceri.

Sursa: SR ISO/IEC 27002:2006

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
FORME DE REPREZENTARE ALE INFORMAȚIEI
• Informația este de esență volatilă și poate fi
materializată în diferite forme:
• Exprimată prin vorbire
• Scrisă sau tipărită pe hârtie
• Stocată electronic
• Transmisă prin diferite mijloace de comunicație
• Înregistrată pe suporturi în format audio/video

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI?
• Securitatea informației nu înseamnă doar
instalarea de firewall de monitorizare a rețelei, de
programe anti-virus, sau în ultimă instanță de
externalizare a activităților de protejare a
informației.
• Toate aceste măsuri trebuie integrate într-o
strategie la nivelul organizației în vederea
atingerii unui nivel optim de protecție a
informației.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SOCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI?A
• Securitatea informației se realizează prin implementarea
unei colecții de măsuri de securitate care asigură că
obiectivele de securitate ale organizației sunt atinse,
concretizate în:
• Structuri organizaționale
• Politici
• Practici
• Proceduri
• Sisteme informatice

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
DEFINIȚII
• Breșă de securitate: Act care ignoră sau contravine
politicilor, practicilor sau procedurilor de securitate și care
este săvârșit de către o persoană din interiorul
organizației.
• Violare de securitate: Act care ignoră sau contravine
politicilor, practicilor sau procedurilor de securitate și care
este săvârșit de către o persoană din EXTERIORUL
organizației.
• Eveniment de securitate: Atac de securitate înregistrat și
comunicat de către o autoritate recunoscută de către
organizație.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
DEFINIȚII
• Incident de securitate: Un incident de securitate este un incident care
implică una sau mai multe dintre componentele de mai jos:
• Breșă sau violare de securitate a informației
• Activitate generată de un sistem de calcul electronic din cadrul
organizației care violează reglementările în vigoare (ECPA) cum ar
fi:
• Spam
• Malware (include orice atac destinat exploatării
vulnerabilităților software)
• Trafic de agenți de rețea
• Orice altă activitate desfășurată pe un sistem de calcul din cadrul
organizației care poate deveni dăunătoare.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
EXPUNEREA LA RISC A UNUI SISTEM INFORMAȚIONAL ÎN
FUNCȚIE DE DOMENIUL DE ACTIVITATE

Scăzut Mediu Ridicat

Agricultură Automobile Guvern


Construcții Chimie Apărare
Alimentație Energie Prod. biomedicale
Echipamente industriale Transport Prod. electronice
Minerit Comerț en-gros Servicii financiare
Sănătate
Servicii informatice
Prod. farmaceutice
Comerț cu amănuntul

Sursa: Callio Technologies

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI
• Legislația în domeniul securită ții informa ției este în continuă dezvoltare și
perfec ționare pentru a oferi un cadru de reglementare coerent aliniat la
cerin țele impuse de dezvoltarea socio-economică și tehnologică. Câteva
dintre legile de bază sunt:
• Legea nr. 8/1996 – privind dreptului de autor şi a drepturilor conexe
• Legea nr. 182/2002 – privind protecţia informaţiilor clasificate
• HG nr. 585/2002 – privind standardele naţionale de protecţie a informaţiilor
clasificate în România
• HG nr. 781/2002 – privind protecţia informaţiilor secrete de serviciu
• HG nr. 353/2002 – privind aprobarea normelor de protecţie a informaţiilor
clasificate NATO în România

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI
• Legea nr. 544 /2002 – privind informaţiile de interes public
• Legea nr. 676/2002 – privind protecţia datelor cu caracter personal în reţelele de
comunicaţii
• Legea nr. 677/2001 – privind protecţia datelor cu caracter personal şi libera
circulaţie a acestor date
• Legea nr. 455/2001 – privind semnătura electronică
• Legea nr. 365/2002 – privind comerţul electronic
• Ordonanţa nr. 20/2002 – privind achiziţiile publice prin licitaţii electronice

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI – SUPORT PENTRU ORICE FEL DE INFORMAȚIE

• Informaţia trebuie protejată pe tot ciclul ei de viaţă.


• Informaţia trebuie protejată indiferent de forma ei şi
de mediul de comunicare.
• SMSI se referă la securitatea informaţiei în general
nu numai la securitatea informației în format digit al.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI - SUPORT PENTRU MANAGEMENT
• Adoptarea unui SMSI – trebuie să fie o decizie strategică pentru organizaţie
deoarece:
• Nu este un instrument pentru specialiştii IT şi nici pentru specialiştii în
securitate informatică ci al managementului de vârf
• Susține managementul de vârf în conștientizarea riscurilor de securitate a
informației prin:
• Informarea asupra riscurilor rezultate din utilizarea informației în
procesele de producție pentru a putea să determine relevanța şi nivelul
critic al acesteia în conformitate cu cerințele afacerii.
• Posibilitatea de a decide în cunoștință de cauză cum trebuie să
controleze riscurile prin planificarea, implementarea şi monitorizarea
măsurilor luate pentru a evita, reduce şi transfera riscurile, şi pentru a fi
capabil de a administra incidentele posibile.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI – SUPORT PENTRU ORGANIZAȚIE
• Credibilitatea, încrederea şi siguranţa comercială: Clienţii
se pot simţi în siguranţă în ceea ce priveşte obligaţiile dvs.
de păstrare a informaţiei în condiţii de siguranţă. SMSI
poate ajuta compania să se diferenţieze de competitori şi
piaţă
• Economie de fonduri: Costul unei singure breşe de
securitate a informaţiei poate fi semnificativ; costul mai
multor breşe poate fi catastrofal. SMSI reduce riscul
expunerii la astfel de costuri, lucru important, de exemplu,
pentru management şi investitori
• Angajaţi: Îmbunătăţeşte cunoştinţele angajaţilor legate de
securitate şi îi conştientizează în cadrul organizaţiei. SMSI
contribuie la dezvoltarea unei culturi de securitate

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI – SUPORT PENTRU ORGANIZAȚIE
• Îmbunătăţirea continuă: Procesul de evaluare periodică va
ajuta organizaţia să dezvolte, monitorizeze şi
îmbunătăţească continuu, atât SMSI, cât şi procesele de
business
• Integrare facilă cu alte sisteme de management:
Organizaţia care are implementat ISO 9001, aplicarea
SMSI este mai facilă deoarece fluxurile informaţionale şi
interacţiunile între procese deja funcţionează
• Competitivitate: SMSI contribuie semnificativ la
menţinerea şi îmbunătăţirea nivelului de competitivitate,
circuitului financiar, rentabilităţii, conformităţii cu legile şi
imaginii comerciale a firmei

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI – SUPORT PENTRU CERTIFICARE

• Legalitate: Certificarea SMSI demonstrează autorităţilor


competente că organizaţia respectă legile şi
reglementările aplicabile în domeniu fiind totodată
singura dovadă a implementării SMSI

• Obligaţii (angajament): Certificarea SMSI ajută la


asigurarea şi demonstrarea obligaţiilor la toate nivelurile
organizaţiei

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
FAMILIA DE STANDARDE ISO/IEC 2700X
• ISO/IEC 27000 – Fundamente și vocabular – 2007
• ISO/IEC 27001 - SMSI- Cerințe (BS 7799 Part 2:2005 revizuit ) – 2005
• ISO/IEC 27002 – Cod de practici pentru managementul securității
informației (fost ISO/IEC 17799:2005) -2005
• ISO/IEC 27003 – Ghid de implementare SMSI (în dezvoltare) – 2008
• ISO/IEC 27004 – Măsurarea managementului de securitate a
informației - 2007
• ISO/IEC 27005 – Managementul riscului de securitate a informației (se
bazează pe și incorporează ISO/IEC 13335 MICTS Partea 2) – 2008
• ISO/IEC 27006 – Ghidul de acreditare - 2007
• ISO/IEC 27007-27010 – alocare pentru utilizare ulterioară

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002 SR ISO/IEC 27001
Introducere Corespondența
Introducere cu ISO 9001

4. SMSI (definire,implementare și operare) (PD)


5. Responsabilitatea managementului (D)
4. Evaluarea șI 6. Audit intern SMSI (C)
tratarea riscului 7. Analiza managementului (C)
8. Îmbunătățire SMSI (A)

5. Politica de securitate
6. Organizarea securității A5. Politica de securitate ANEXA A
7. Managementul resurselor A6. Organizarea securității
8. Securitatea resurselor umane A7. Managementul resurselor
9. Securitatea fizică și de mediu A8. Securitatea resurselor umane
10. Managementul comunicațiilor și operațiilor A9. Securitatea fizică și de mediu
11. Controlul accesului A10. Managementul comunicațiilor și operațiilor
12. Achiziții, dezvoltare și mentenanță SI A11. Controlul accesului
13. Managementul incidentelor de securitate A12. Achiziții, dezvoltare și mentenanță SI
14. Continuitatea afacerii A13. Managementul incidentelor de securitate
15. Conformitate A14. Continuitatea afacerii
A15. Conformitate

Index și bibliografie Alte anexe și bibliografie

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008 - DESCRIERE
• SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de
securitate – Cod de bună practică pentru managementul
securităţii informaţiei
• Este un standard de management şi de aceea precizează ce
trebuie făcut pentru conformarea la standard fără a impune soluţii
de implementare (ce să faci NU cum să faci?)
• Descriere detaliată a celor mai bune practici de
implementare a măsurilor de siguranţă pentru o securitate
cuprinzătoare şi durabilă în organizaţie

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008 - DESCRIERE

• Caracteristici:
• Neutru din punct de vedere tehnologic
• Aplicabil pentru toate ramurile industriale, toate categoriile şi
caracteristicile de organizaţii
• Adecvat inclusiv organizaţiilor mici

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
CORESPONDENŢA ÎNTRE
SR ISO/IEC 27002:2006 ŞI SR ISO/IEC 27001:2006

• Între grupele de clauze 5 - 15 ale SR ISO/IEC


27002:2008 şi măsurile de control din Anexa A a
SR ISO/IEC 27001:2008 există o corespondenţă
biunivocă.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI
• Organizarea standardului:
• organizaţia emitentă, codificare, data versiunii
• denumirea standardului în lb. română, engleză, franceză
• aprobare, statut, ce standard înlocuieşte
• corespondenţă cu alte standarde, în lb. română, engleză, franceză
• cuprins, preambul, cap. 0 – Introducere;
• cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii
• structura standardului, de forma:
• x – număr de capitol – articol privind controlul securităţii
• x.x – categorii de securitate (principale)
• x.x.x – măsură de securitate (control)

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008
STRUCTURA STANDARDULUI

• Standardul internaţional ISO/IEC


27002:2008 a fost acceptat ca standard
român de către comitetul tehnic CT 208 –
Tehnici de securitate în tehnologia
informaţiei
• Standardul a fost tradus în limba română
şi verificat de membrii comitetului tehnic
al ASRO.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
ASOCIAŢIA DE STANDARDIZARE DIN ROMÂNIA

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008
STRUCTURA STANDARDULUI
• Fiecare categorie de securitate conţine:
• un obiectiv privind măsura de securitate care stabileşte ceea ce
trebuie realizat;
• una sau mai multe măsuri de securitate aplicate pentru a atinge
obiectivul
• Măsura de securitate este compusă din:
• Definiţie
• Ghid de implementare
• Ate informaţii utile

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27002:2008
STRUCTURA STANDARDULUI
• Standardul conţine 39 de categorii de securitate grupate în 11
clauze: CLAUZĂ C A T E G O R II
S E C U R IT A T E
5 . P o litic a d e s e c u r ita te 1
6 . O r g a n iz a r e a s e c u r it ă ţii in fo r m a ţie i 2
7 . M a n a g e m e n tu l b u n u r ilo r 2
8 . S e c u r ita te a r e s u r s e lo r u m a n e 3
9 . S e c u r i ta te a fiz ic ă ş ia m e d iu lu i 2
1 0 . M a n a g e m e n tu l c o m u n ic a ţiilo r ş i a l o p e r a ţ iilo r 10
1 1 . C o n tr o lu l a c c e s u lu i 7
1 2 . A c h iz i ţia s is te m e lo r in fo r m a tic e , d e z v o lta r e a 6
ş i m e n te n a n ţ a
1 3 . M a n a g e m e n tu l in c id e n te lo r d e s e c u r ita te a 2
in fo r m a ţie i
1 4 . M a n a g e m e n tu l c o n tin u it ă ţii a fa c e r ii 1
1 5 . C o n fo r m ita te 3
TO TAL 39

• Managementul riscului este tratat separat în clauza 4.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008 - DESCRIERE

• SR ISO/CEI 27001:2008 Tehnologia informaţiei – Tehnici de


securitate – Sisteme de management al securităţii
informaţiei – Cerinţe
• Este un standard de management şi descrie cerinţele pentru
Sistemele de management al securităţii informaţiei
• Ca şi SR ISO/IEC 27002:2006 conţine 11 clauze de control,
totalizând 39 de obiective de control susţinute prin 133 de
măsuri de securitate .

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008 - DESCRIERE

• Caracteristici:
• Neutru din punct de vedere tehnologic
• Aplicabil pentru toate ramurile industriale, toate categoriile şi
caracteristicile de organizaţii
• Adecvat inclusiv organizaţiilor mici
• Este singurul standard internaţional auditabil care defineşte
cerinţe pentru un SMSI

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008 - DESCRIERE

• Caracteristici:
• Reprezintă baza pentru certificarea SMSI
• Reprezintă o baz ă pentru rela ţii contractuale
• Este orientat pe îmbunătăţire continuă (buclă de reacţie PDCA –
Plan, Do, Chek, Act)
• Accent pus pe prevenire, nu pe corecţie!

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
COMPATIBILITATEA CU SR ISO 9001:2008

• Acest standard interna țional este aliniat cu ISO 9001


și ISO 14001 în scopul de a sprijini implementarea și
operarea consistentă și integrată cu aceste standarde.
Un sistem de management proiectat adecvat poate
implicit satisface și cerin țele celorlalte standarde.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2006
CICLUL PDCA
Stabilire
(P=Plan)
Corecții, Acțiuni
Părți interesate corective, preventive
Părți interesate

Întrteținere și Implementare
îmbunătățire și operare
(A=Act) (D=Do)
Raportul de
neconformitate
Monitorizare
și examinare
Cerințe și Securitatea
așteptăride (C=Check) informației aflată
securitatea sub controlul
informației managementului

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008 - ABORDARE
• SR ISO/IEC 27001 are o abordare bzată pe proces
• Această abordare sprijină:
• înţelegerea cerinţelor de securitate a informaţiei şi nevoia
de a stabili politica şi obiectivele pentru securitatea
informaţiei
• implementarea şi operarea măsurilor de control pentru
managementul riscurilor de securitate a informaţiei,
integrat în managementului riscului aferent întregii
activităţi a organizaţiei
• îmbunătăţirea continuă bazată pe măsurători

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
APLICAREA CERINŢELOR STANDARDULUI
• Cerinţele standardului sunt generice şi sunt
destinate a fi aplicabile tuturor organizaţiilor,
indiferent de tip, mărime şi natura activităţii
• Clauzele specificate în capitolele 4, 5, 6, 7 şi 8
sunt obligatorii şi prin urmare nici o organizaţie
care solicită certificarea pentru conformitatea cu
acest standard nu poate opera excluderi pe
aceste grupe de clauze.
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
APLICAREA CERINŢELOR STANDARDULUI
• Orice excludere de măsuri de control necesare
eliminării sau reducerii riscului până la un nivel
acceptabil trebuie justificată şi trebuie furnizate
dovezi obiective privind excluderea.
• Cerinţele standardului nu pot fi aplicate decât în
legătură cu standardul SR ISO/IEC 27002:2008

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
STRUCTURA STANDARDULUI
PARTEA NORMATIVĂ
PRINCIPII GENERALE
CADRUL DE MANAGEMENT
ANEXA A (normativă)
PARTEA INFORMATIVĂ
ANEXA B – Principiile OECD şi acest standard internaţional
ANEXA C – Corespondenţa dintre ISO 9001:2000, ISO 14001:2004 şi
acest standard internaţional
BIBLIOGRAFIE

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
STRUCTURA STANDARDULUI
• PRINCIPII GENERALE
• 0. Introducere
• 1. Scop
• 2. Referinţe normative
• 3. Termeni şi definiţii
• CADRUL DE MANAGEMENT
• 4. Sistemul de management al securităţii informaţiei
• 5. Responsabilitatea managementului
• 6. Auditări interne SMSI
• 7. Analiza efectuată de management a SMSI
• 8. Îmbunătăţirea SMSI
• AUDITARE ŞI CERTIFICARE
• Anexa A (normativă): Obiective şi măsuri de control

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2008
CERINŢE PENTRU CADRUL DE MANAGEMENT AL SMSI

• Clauzele obligatorii ale standardului sunt grupate în


următoarele capitole:
4. Sistemul de management al securităţii informaţiei
5. Responsabilitatea managementului
6. Auditări interne SMSI
7. Analiza efectuată de management a SMSI
8. Îmbunătăţirea SMSI

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SR ISO/IEC 27001:2006
Anexa A

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
CADRUL DE IMPLEMENTARE SMSI
• Standardul ISO 27001 stabilește următoarele practici:
• Toate activitățile trebuie să aibă la bază o metodă.
Alegerea metodei este liberă dar trebuie clar definită și
documentată.
• Stabilirea obiectivelor de securitate este
responsabilitatea organizației. Auditorul va verifica
numai dacă aceste cerințe sunt îndeplinite.
• Toate măsurile de securitate utilizate în SMSI se
implementează pe baza analizei de risc în scopul de a
elimina sau reduce riscul la un nivel acceptabil.

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
CADRUL DE IMPLEMENTARE SMSI
• Standardul ISO 27001 stabilește următoarele practici:
• Standardul pune la dispoziție o colecție de măsuri de
control dar este la latitudinea organizației să aleagă și
să implementeze măsurile de control care răspund
necesităților obiective ale proceselor specifice de
producție.
• Un proces de management al securității informației
trebuie să asigure verificarea continuă a elementelor
SMSI prin audituri și analize (examinări).
• Un proces de management al securității informației
trebuie să asigure îmbunătățirea continuă a SMSI.
(Standardul ISO/IEC 27001 adoptă ca bază pentru
implementare modelul Plan-Do-Check-Act [PDCA].)
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
FLUX ACTIVITĂȚI IMPLEMENTARE ȘI CERTIFICAREA SMSI

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI

http://www.iso27001certificates.com/

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI

Februarie 2011

Proiect cofinanţat din Fondul Social European prin


Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!

S-ar putea să vă placă și