Certificat ISO 27001

Certificarile ISO sunt importante pentru o companie deoarece ajuta la un control mai bun al proceselor interne si la dezvoltarea constanta a afacerii. Pe langa regulile pentru controlul calitatii produselor si serviciilor oferite de o companie, este extrem de important sa fie luata in calcul si securitatea informatiilor – iar pentru acest lucru este util un certificat ISO 27001.

Ce inseamna un certificat ISO 27001 si cum functioneaza?

ISO/IEC 27001 reprezinta standardul international de securitate a informatiei, publicat de catre Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC). Acesta este o specificatie pentru un sistem de management al securitatii informatiei (SMSI). Un SMSI este un cadru de polite si proceduri ce includ toate controalele fizice, tehnice si legale implicate in procesele de management al riscului informatiilor dintr-o organizatie.

 

Cu alte cuvinte, ISO 27001 a fost dezvoltat pentru a oferi un model pentru implementarea, operarea, mentinerea si imbunatatirea unui sistem de management al informatiei ce va asigura securitatea informatiilor din cadrul organizatiei.

 

In cadrul unei companii, informatiile circula constant intre departamente, in diverse forme – printate sau scrise pe hartie, prin mail, prin prezentari, in conversatii directe sau telefonice samd. Intr-un mediu de afaceri competitiv, protejarea datelor este o necesitate reala. Fie ca este vorba despre surse interne, externe, accidentale sau rau-voitoare, informatiile pot fi transmise mai departe.

 

Pentru a evita astfel de situatii exista aceasta certificare ISO 27001, ce ofera o politica de Securitate a informatiei pentru orice organizatie doreste sa-si protejeze datele. Din acest motiv, standardul a devenit unul dintre cele mai cautate si vandute.

 

Un certificat ISO 27001 foloseste o abordare bazata pe risc si defineste un proces de planificare impartit in 6 parti:

  • 1. Definirea unei polite de Securitate;
  • 2. Definirea unei raze de actiune a SMSI;
  • 3. Efectuarea unei evaluari de risc;
  • 4. Gestionarea riscurilor identificate;
  • 5. Selectarea obiectivelor de control si controalele ce trebuie implementate;
  • 6. Pregatirea unei declaratii de aplicabilitate.

 

Standardul cuprinde detalii despre documentatia ce trebuie facuta, responsabilitatea managementului, audituri interne si actiuni de prevenire si corectare a riscurilor si problemelor ce pot surveni. Pentru o buna functionare si aplicare a cerintelor, toate departamentele unei organizatii trebuie sa coopereze intre ele.

 

Scopurile pe care le urmareste certificarea ISO 27001 sunt:

  • protejarea datelor angajatilor si clientilor organizatiei;
  • gestionarea eficienta a riscurilor la adresa securitatii informatiilor;
  • conformarea cu reglementari internationale privind protectia datelor;
  • protejarea imaginii companiei.

Standardul ISO 27001 are zece sectiuni care acopera:

  • 1. Domeniul de aplicare a standardului;
  • 2. Cum se efectueaza referinte in documente;
  • 3. Reutilizarea de termeni si definitii din ISO/IEC 27000;
  • 4. Contextul organizational si partile interesate;
  • 5. Sprijinul la nivelul cel mai inalt al conducerii pentru securitatea informatiei si politica organizatiei;
  • 6. Planificarea unui sistem de management al securitatii informatiei, evaluarea riscurilor si adoptarea actiunilor de corectare;
  • 7. Sprijinirea unui sistem de management al securitatii informatiei
  • 8. Realizarea unui sistem de management al securitatii informatiei operationale;
  • 9. Revizuirea performantei sistemului;
  • 10. Adoptarea actiunilor de corectare.

ISO 27001 are in prezent 114 masuri de control si obiective de securitate care sunt repartizate in 14 grupe, dupa cum urmeaza:

  • A.5: Politici de securitate a informatiei (2 masuri de control);
  • A.6: Organizarea securitatii informatiei (7 masuri de control);
  • A.7: Securitatea resurselor umane (6 masuri de control, aplicabile oricand inainte, in timpul sau dupa angajare);
  • A.8: Managementul resurselor (10 masuri de control);
  • A.9: Controlul accesului (14 masuri de control);
  • A.10: Criptografie (2 masuri de control);
  • A.11: Securitatea fizica si cea a mediului (15 masuri de control);
  • A.12: Operatiuni de securitate (14 masuri de control);
  • A.13: Securitatea comunicatiilor (7 masuri de control);
  • A.14: Achizitii de sistem, dezvoltare și intretinere (13 masuri de control);
  • A.15: Relatiile cu furnizorii (5 masuri de control);
  • A.16: Managementul incidentelor de securitate a informatiei (7 masuri de control);
  • A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4 masuri de control);
  • A.18: Conformitatea cu cerintele interne, precum politicile, si cu cerintele externe, precum legile (8 masuri de control).

 

Cine poate folosi certificarea ISO 27001 si ce beneficii aduce?

Indiferent de marime sau de domeniu, orice companie poate sa obtina un certificat ISO 27001 si sa beneficieze dupa urma lui. Standardul este potrivit in special in sectoarele in care protectia datelor este critica. Exemple ar fi sectorul de banci, finante, sanatate, relatii cu publicul sau IT.

Mai jos enumeram si cateva dintre beneficiile obtinerii standardului:

  • pastrarea in siguranta a informatiilor confidentiale;
  • este un factor de incredere pentru clienti sau investitori vis-à-vis de modalitatea prin care organizatia gestioneaza factorii de risc;
  • asigura un schimb de informatii realizat in siguranta;
  • ajuta organizatia sa se supuna altor reglementari;
  • asigura un avantaj competitiv;
  • mareste satisfactia clientilor, ceea ce duce la pastrarea acestora;
  • consistenta in livrarea serviciilor sau produselor organizatiei;
  • gestioneaza si minimizeaza expunerea la factori de risc;
  • cladeste o cultura a securitatii;
  • protejeaza compania, bunurile, actionarii si directorii.

 

Cum se implementeaza standardul ISO 27001?

Pentru organizatiile care doresc sa fie certificate ISO 27001, iata cativa pasi pentru a implementa cerintele standardului:

  • stabilirea razei de actiune a proiectului;
  • identificarea partilor interesate si a cerintelor legale, regulatoare si contractuale;
  • revizuirea si implementarea masurilor de control necesare;
  • dezvoltarea documentatiei pentru sistemul de management;
  • masurarea, monitorizarea, revizuirea si planificarea unui audit pentru SMSI;
  • obtinerea implicarii conducerii si asigurarea unui buget;
  • efectuarea unei evaluari de risc;
  • dezvoltarea unei competente interne;
  • efectuarea unui training de informare a personalului;
  • obtinerea certificarii.

Practic, obtinerea unui certificat ISO 27001 implica trei etape:

  • 1. o etapa preliminara, in care este pus la punct si revizuit un SMSI. In aceasta etapa se constata daca exista toata documentatia necesara pentru polita de Securitate a companiei, precum si un plan de tratare a riscului. Aceasta etapa ajuta la familiarizarea auditorilor cu organizatia si vice versa;
  • 2. etapa a doua include un audit mult mai detaliat si formal, in cadrul caruia este testat SMSI, pentru a verifica daca raspunde cerintelor ISO 27001. Auditorii doresc sa vada daca SMSI a fost planificat si implementat corect si daca este operational. In urma acestei etape se determina daca SMSI-ul organizatiei indeplineste cerintele pentru a primi certificarea ISO;
  • 3. ultima etapa este una “activa”, intrucat implica revizuiri sau audituri viitoare ce urmaresc buna desfasurare a SMSI-ului in cadrul organizatiei. Mentinerea certificarii presupune aceste revizuiri ce au loc in general anual. Imediat dupa obtinerea certificarii ISO 27001, este posibil ca acestea sa fie mai frecvente, pentru o asigurare ca SMSI functioneaza corespunzator.
SUNA ACUM !
Ai reducere de

50%

pana la 29.06.2018
SOLICITA OFERTA!
close-link