Certificarile ISO sunt importante pentru o companie deoarece ajuta la un control mai bun al proceselor interne si la dezvoltarea constanta a afacerii. Pe langa regulile pentru controlul calitatii produselor si serviciilor oferite de o companie, este extrem de important sa fie luata in calcul si securitatea informatiilor – iar pentru acest lucru este util un certificat ISO 27001.

Ce inseamna un certificat ISO 27001 si cum functioneaza?

ISO/IEC 27001 reprezinta standardul international de securitate a informatiei, publicat de catre Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC). Acesta este o specificatie pentru un sistem de management al securitatii informatiei (SMSI). Un SMSI este un cadru de polite si proceduri ce includ toate controalele fizice, tehnice si legale implicate in procesele de management al riscului informatiilor dintr-o organizatie.

Cu alte cuvinte, ISO 27001 a fost dezvoltat pentru a oferi un model pentru implementarea, operarea, mentinerea si imbunatatirea unui sistem de management al informatiei ce va asigura securitatea informatiilor din cadrul organizatiei.

In cadrul unei companii, informatiile circula constant intre departamente, in diverse forme – printate sau scrise pe hartie, prin mail, prin prezentari, in conversatii directe sau telefonice samd. Intr-un mediu de afaceri competitiv, protejarea datelor este o necesitate reala. Fie ca este vorba despre surse interne, externe, accidentale sau rau-voitoare, informatiile pot fi transmise mai departe.

Pentru a evita astfel de situatii exista aceasta certificare ISO 27001, ce ofera o politica de Securitate a informatiei pentru orice organizatie doreste sa-si protejeze datele. Din acest motiv, standardul a devenit unul dintre cele mai cautate si vandute.

Un certificat ISO 27001 foloseste o abordare bazata pe risc si defineste un proces de planificare impartit in 6 parti:

  • 1. Definirea unei polite de Securitate;
  • 2. Definirea unei raze de actiune a SMSI;
  • 3. Efectuarea unei evaluari de risc;
  • 4. Gestionarea riscurilor identificate;
  • 5. Selectarea obiectivelor de control si controalele ce trebuie implementate;
  • 6. Pregatirea unei declaratii de aplicabilitate.

 

Standardul cuprinde detalii despre documentatia ce trebuie facuta, responsabilitatea managementului, audituri interne si actiuni de prevenire si corectare a riscurilor si problemelor ce pot surveni. Pentru o buna functionare si aplicare a cerintelor, toate departamentele unei organizatii trebuie sa coopereze intre ele.

Scopurile pe care le urmareste certificarea ISO 27001 sunt:

  • protejarea datelor angajatilor si clientilor organizatiei;
  • gestionarea eficienta a riscurilor la adresa securitatii informatiilor;
  • conformarea cu reglementari internationale privind protectia datelor;
  • protejarea imaginii companiei.

Standardul ISO 27001 are zece sectiuni care acopera:

  • 1. Domeniul de aplicare a standardului;
  • 2. Cum se efectueaza referinte in documente;
  • 3. Reutilizarea de termeni si definitii din ISO/IEC 27000;
  • 4. Contextul organizational si partile interesate;
  • 5. Sprijinul la nivelul cel mai inalt al conducerii pentru securitatea informatiei si politica organizatiei;
  • 6. Planificarea unui sistem de management al securitatii informatiei, evaluarea riscurilor si adoptarea actiunilor de corectare;
  • 7. Sprijinirea unui sistem de management al securitatii informatiei
  • 8. Realizarea unui sistem de management al securitatii informatiei operationale;
  • 9. Revizuirea performantei sistemului;
  • 10. Adoptarea actiunilor de corectare.

ISO 27001 are in prezent 114 masuri de control si obiective de securitate care sunt repartizate in 14 grupe, dupa cum urmeaza:

  • A.5: Politici de securitate a informatiei (2 masuri de control);
  • A.6: Organizarea securitatii informatiei (7 masuri de control);
  • A.7: Securitatea resurselor umane (6 masuri de control, aplicabile oricand inainte, in timpul sau dupa angajare);
  • A.8: Managementul resurselor (10 masuri de control);
  • A.9: Controlul accesului (14 masuri de control);
  • A.10: Criptografie (2 masuri de control);
  • A.11: Securitatea fizica si cea a mediului (15 masuri de control);
  • A.12: Operatiuni de securitate (14 masuri de control);
  • A.13: Securitatea comunicatiilor (7 masuri de control);
  • A.14: Achizitii de sistem, dezvoltare și intretinere (13 masuri de control);
  • A.15: Relatiile cu furnizorii (5 masuri de control);
  • A.16: Managementul incidentelor de securitate a informatiei (7 masuri de control);
  • A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4 masuri de control);
  • A.18: Conformitatea cu cerintele interne, precum politicile, si cu cerintele externe, precum legile (8 masuri de control).

 

Cine poate folosi certificarea ISO 27001 si ce beneficii aduce?

Indiferent de marime sau de domeniu, orice companie poate sa obtina un certificat ISO 27001 si sa beneficieze dupa urma lui. Standardul este potrivit in special in sectoarele in care protectia datelor este critica. Exemple ar fi sectorul de banci, finante, sanatate, relatii cu publicul sau IT.

Cere acum oferta

Mai jos enumeram si cateva dintre beneficiile obtinerii standardului:

  • pastrarea in siguranta a informatiilor confidentiale;
  • este un factor de incredere pentru clienti sau investitori vis-à-vis de modalitatea prin care organizatia gestioneaza factorii de risc;
  • asigura un schimb de informatii realizat in siguranta;
  • ajuta organizatia sa se supuna altor reglementari;
  • asigura un avantaj competitiv;
  • mareste satisfactia clientilor, ceea ce duce la pastrarea acestora;
  • consistenta in livrarea serviciilor sau produselor organizatiei;
  • gestioneaza si minimizeaza expunerea la factori de risc;
  • cladeste o cultura a securitatii;
  • protejeaza compania, bunurile, actionarii si directorii.

 

Cum se implementeaza standardul ISO 27001?

Pentru organizatiile care doresc sa fie certificate ISO 27001, iata cativa pasi pentru a implementa cerintele standardului:

  • stabilirea razei de actiune a proiectului;
  • identificarea partilor interesate si a cerintelor legale, regulatoare si contractuale;
  • revizuirea si implementarea masurilor de control necesare;
  • dezvoltarea documentatiei pentru sistemul de management;
  • masurarea, monitorizarea, revizuirea si planificarea unui audit pentru SMSI;
  • obtinerea implicarii conducerii si asigurarea unui buget;
  • efectuarea unei evaluari de risc;
  • dezvoltarea unei competente interne;
  • efectuarea unui training de informare a personalului;
  • obtinerea certificarii.

Practic, obtinerea unui certificat ISO 27001 implica trei etape:

  • 1. o etapa preliminara, in care este pus la punct si revizuit un SMSI. In aceasta etapa se constata daca exista toata documentatia necesara pentru polita de Securitate a companiei, precum si un plan de tratare a riscului. Aceasta etapa ajuta la familiarizarea auditorilor cu organizatia si vice versa;
  • 2. etapa a doua include un audit mult mai detaliat si formal, in cadrul caruia este testat SMSI, pentru a verifica daca raspunde cerintelor ISO 27001. Auditorii doresc sa vada daca SMSI a fost planificat si implementat corect si daca este operational. In urma acestei etape se determina daca SMSI-ul organizatiei indeplineste cerintele pentru a primi certificarea ISO;
  • 3. ultima etapa este una “activa”, intrucat implica revizuiri sau audituri viitoare ce urmaresc buna desfasurare a SMSI-ului in cadrul organizatiei. Mentinerea certificarii presupune aceste revizuiri ce au loc in general anual. Imediat dupa obtinerea certificarii ISO 27001, este posibil ca acestea sa fie mai frecvente, pentru o asigurare ca SMSI functioneaza corespunzator.

Obtine rapid un Certificat ISO 27001 la Cel Mai Mic Pret Posibil

Certificarile ISO sunt o marturie a implicarii active a unei companii pentru a-si imbunatati calitatea serviciilor oferite, a-si optimiza procesele interne, a oferi un mediu de lucru sigur si a opera in general la cele mai inalte standarde. Un certificat ISO 27001 se refera la securitatea informatiei.

Ce este un certificat ISO 27001?

Obtinerea unui certificat ISO 27001 pentru compania dvs. poate fi extrem de important, in special in vremurile noastre, cand exista o multime de metode de comunicare. Acest certificat reprezinta standardul international pentru securitatea informatiei, publicat de catre Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC).

Acest standard contine specificatiile necesare pentru a putea introduce un sistem de management al securitatii informatiei (SMSI) in cadrul firmei. SMSI reprezinta, pe scurt, o serie de proceduri si reguli create pentru a proteja siguranta datelor vehiculate intr-o companie. Acestea includ controalele tehnice, fizice si legale necesare.

ISO 27001 exista pentru a asista organizatiile sa dezvolte, implementeze, opereze si imbunatateasca in mod constant un SMSI ce pastreaza in siguranta informatiile si datele care sunt vehiculate zilnic in cadrul unei companii.

Adoptarea standardului ISO se poate dovedi a fi absolut necesara, intrucat in momentul de fata exista nenumarate moduri prin care se poate transmite o informatie. Companiile distribuie zilnic date sub forma de e-mail, informatie scrisa sau printata, prezentari, discutii directe sau telefonice etc. Toate acestea risca sa fie transmise mai departe, chiar si la concurenta, fie in mod deliberat sau accidental. Implementarea unui SMSI eficient ajuta la controlul acestor riscuri de securitate.

Orice organizatie care doreste sa-si protejeze datele poate sa includa standardul ISO 27001 in structura sa, indiferent de dimensiuni sau domeniul de activitate. Siguranta informatiilor reprezinta un avantaj nu doar pentru afacere in sine, ci si pentru angajati, parteneri, investitori, actionari sau pentru clienti.

Despre standardul ISO 27001 si cum functioneaza

Daca va intereseaza obtinerea unui certificat ISO 27001 trebuie sa stiti si cum functioneaza acesta. In primul rand, standardul urmeaza o abordare ce are la baza riscul. In acest sens, vine cu o propunere de planificare impartita in 6 parti:

1. Stabilirea unei politici de securitate;

2. Determinarea razei de actiune pe care o va avea SMSI-ul ce urmeaza sa fie adoptat;

3. Evaluarea riscului;

4. Administrarea factorilor de risc determinati in urma analizei de risc;

5. Punctarea obiectivelor de control, dar si a controalelor care trebuie sa aiba loc;

6. Pregatirea declaratiei de aplicabilitate.

Certificarea ISO 27001 cuprinde toate informatiile de care aveti nevoie pentru a stabili documentatia necesara in procesul de obtinere a standardului international de securitate a informatiei. Tot in aceasta gasiti si informatii despre responsabilitatile pe care le are managementul, cat si despre auditurile interne si procedurile de corectare si prevenire a erorilor ce pot surveni.

Certificarea ISO este un scop la care trebuie sa participe activ intreaga companie. Este necesar sa existe comunicare si cooperare intre toate departamentele organizatiei, precum si informare si un instructaj corespunzator. Obiectivele principale ale standardului sunt:

• protejarea datelor si informatiilor angajatilor si clientilor organizatiei;

• administrarea corespunzatoare a riscurilor de securitate care vizeaza informatiile;

• urmarirea specificatiilor internationale privind protejarea datelor;

• apararea imaginii generale a organizatiei.

Un certificat ISO 27001 prezinta 10 sectiuni, care fac referire la:

1. Sectorul in care urmeaza sa fie integrat standardul;

2. Felul in care vor fi realizate referintele in documentele necesare;

3. Reutilizarea termenilor si definitiilor specificate in ISO/IEC 27000;

4. Contextul organizational, precum si la partile interesate;

5. Sustinerea data de cel mai inalt nivel al conducerii companiei, in vederea obtinerii sigurantei informationale;

6. Dezvoltarea unui SMSI eficient, dar si analiza riscurilor si adoptarea actiunilor preventive si de corectare;

7. Sprijinul oferit pentru dezvoltarea si implementarea SMSI-ului;

8. Dezvoltarea unui sistem de management al securitatii informatiei operationale;

9. Revizuirea eficientei si performantei SMSI-ului;

10. Adoptarea actiunilor de corectare in zonele problematice.

In momentul de fata, standardul ISO 27001 are 114 masuri de control si obiective de siguranta, divizate in 14 grupe, mai exact:

A.5: Politici pentru securitatea informatiei (2 masuri de control);

A.6: Organizarea securitatii informatiei (7 masuri de control);

A.7: Securitatea resurselor umane (6 masuri de control, ce pot fi integrate oricand inainte, in timpul sau dupa angajarea personalului);

A.8: Managementul resurselor si al bunurilor (10 masuri de control);

A.9: Controlul accesului (14 masuri de control);

A.10: Criptografie (2 masuri de control);

A.11: Securitatea fizica si securitatea mediului (15 masuri de control);

A.12: Operatiuni de securitate (14 masuri de control);

A.13: Securitatea comunicatiilor (7 masuri de control);

A.14: Achizitii de sistem, dezvoltare și mentenanta (13 masuri de control);

A.15: Relatiile cu furnizorii (5 masuri de control);

A.16: Managementul incidentelor ce tin de siguranta informatiei (7 masuri de control);

A.17: Aspecte ale securitatii de informare ale managementului continuitatii afacerii (4 masuri de control);

A.18: Respectarea cerintelor interne, precum politicile, dar si cerintele externe, precum legile (8 masuri de control).

Avantajele aduse de un certificat ISO 27001

Va intrebati care sunt beneficiile pe care le-ar putea aduce o certificare ISO 27001 in compania dvs.? In primul rand, este bine de stiut faptul ca acest standard a fost dezvoltat special pentru a putea fi inclus in procedurile oricarei organizatii, alaturi chiar de alte sisteme. Certificarea este benefica in special pentru organizatii din anumite sectoare, precum banci, finante, sanatate, IT, relatii cu publicul etc.

Am alcatuit si o lista cu cateva dintre avantajele pe care le puteti obtine datorita certificarii ISO:

• o siguranta sporita in schimbul de informatii si date;

• pastrarea in siguranta a datelor si informatiilor confidentiale;

• dezvoltarea unei culturi a sigurantei;

• reducerea si gestionarea expunerii la factorii de risc ce ameninta securitatea informatiilor;

• protejarea datelor si informatiilor organizatiei, a bunurilor, angajatilor, clientilor, directorilor si altor parti interesate;

• sporirea increderii din partea angajatilor, clientilor si altor parti interesate;

• imbunatatirea imaginii pe care o are compania, datorita interesului aratat vis-s-vis de siguranta informatiilor;

• obtinerea unui avantaj in fata concurentei;

• clienti mai multumiti, care apeleaza in continuare la serviciile companiei dvs.;

• asistarea organizatiei in a urma si alte reglementari;

• o consistenta in cadrul companiei in ceea ce priveste livrarea produselor sau serviciilor.

Cum se obtine ISO 27001?

Obtinerea unui certificat ISO 27001 presupune urmarea anumitor pasi. Mai exact, trebuie sa treceti prin 3 etape:

1. In etapa preliminara se dezvolta si evalueaza un SMSI. In aceasta faza trebuie stabilita intreaga documentatie solicitata de politica de securitate a companiei dvs. Tot acum trebuie stabilit si un plan pentru tratarea riscului;

2. In faza a doua se determina daca sistemul respecta regulile ISO 27001. Se verifica daca SMSI-ul a fost realizat si adoptat in mod corespunzator, dar si daca acesta opereaza conform asteptarilor. Pe scurt, aceasta este etapa in care se determina daca SMSI-ul creat este potrivit pentru a fi certificat ISO;

3. Ultima etapa este una “activa”, adica presupune viitoare audituri si reevaluari a SMSI-ului. Scopul este urmarirea evolutiei acestuia si asigurarea unei functionari optime.

Va oferim si o lista cu cativa pasi ce trebuie urmati pentru a integra cerintele standardului in compania dvs.:

• stabilirea razei de actiune pe care o are proiectul de certificare ISO;

• stabilirea cerintelor legislative, contractuale si regulatoare, precum si partile interesate;

• reevaluarea si adoptarea actiunilor de control necesare;

• alcatuirea documentatiei impuse de SMSI;

• monitorizarea, masurarea, evaluarea si programarea auditului pentru revizuirea SMSI-ului;

• capatarea suportului si implicarii conducerii si dobandirea unui buget necesar pentru proiectul de certificare ISO;

• estimarea factorilor de risc;

• extinderea competentei interne;

• programarea unui curs de training pentru instructajul personalului;

• obtinerea unui certificat ISO 27001.

Cere acum oferta