Home > Articole ISO > Primii pasi in implementarea ISO 27001

ISO 27001 – primii pasi in implementarea standardului pentru securitatea informatiei

Primul pas catre obtinerea certificarii ISO 27001 (chiar inainte de achizitiona o copie a acestuia) este sa stabiliti motivele pentru care doriti sa urmariti obtinerea acestei certificari. Procesul implica multe ore de lucru, potentiale disensiuni in organizatie si costuri, in functie de marimea si complexitatea companiei, de pana la zeci de mii de dolari – neincluzandu-le aici pe cele asociate serviciilor de consultanta, daca va hotarati in aceasta directie. Daca nu sunteti capabili sa explicati foarte clar de ce este nevoie sa va certificati ISO 27001, nu veti putea atrage resursele alocate de conducerea superioara si sprijinul personalului, care va continua sa urmeze o serie de proceduri mai complicate decat va doriti.

Va va ajuta certificarea sa atrageti noi clienti sau sa ii pastrati pe cei vechi? Va va face produsele sau mediul de productie mai sigure? Va va ajuta sa descoperiti si sa evaluati riscuri pe care poate ca nu le luati inainte in considerare? Va garanta ca personalul tehnic urmeaza cele mai bune practici in privinta securitatii sistemului? Va va face mai siguri in ultima instanta? Oricare ar fi motivele, trebuie sa fiti capabili sa le exprimati simplu si convingator.

Desigur, toate acestea inseamna ca va trebui sa aveti o viziune clara asupra a ceea ce trateaza standardul. Din fericire, puteti obtine informatii destul de cuprinzatoare despre standardul ISO 27001 din mai multe surse online. Exista si un numar de carti, desi destul de costisitoare, pe care le puteti consulta pentru a putea afla la ce sa va asteptati.

Inainte de a incepe sa cheltuiti o multime de bani si sa le explicati ferm colegilor de ce trebuie sa va sustina, trebuie sa va asigurati de sprijinul neconditionat al conducerii superioare a organizatiei. Aprobarea primita de la cele mai inalte niveluri ale organizatiei este foarte importanta daca doriti sa obtineti certificarea ISO 27001 (si orice alta certificare ISO, de altfel). Acesta este singurul mod in care veti infrange rezistenta pe care o vor manifesta inevitabil toti oamenii care muncesc din greu in organizatie si care, dupa toate probabilitatile, vor fi de parere ca procedurile suplimentare pe care li le impune standardul ii vor impiedica sa isi respecte termenele-limita de predare, deja amenintate de alti factori. Trebuie sa ii asigurati pe toti acestia ca eforturile pe care le vor depune in plus vor fi rasplatite din plin, ducand la obtinerea unor avantaje pentru ei si pentru organizatie.

In acest moment, trebuie sa va faceti o idee si despre cine va conduce eforturile de certificare. Daca puteti aduna o echipa de oameni care reprezinta diferite parti ale organizatiei, va creste probabilitatea de a infrange rezistenta la nou manifestata de grupurile care simt ca trebuie sa se opuna modului in care sunt definite noile metode de gestionare a securitatii. In plus, faptul ca aveti o reprezentare diversa a organizatiei va va ajuta mult sa identificati bunurile pe care incercati sa le protejati pana la urma si procedurile aplicate in acel moment pentru a le proteja.

Raspunsul la intrebarea daca aveti sau nu nevoie de ajutor din exterior, adica de o firma de consultanta ISO 27001, depinde in mare masura de capacitatea echipei de implementare de a impune cooperarea de care va fi nevoie. Daca a aduce niste consultanti bine platiti este singura metoda prin care vi se acorda atentia pe care o solicitati, atunci probabil ca asta e ceea ce trebuie sa faceti. Daca va alegeti aceasta cale, totusi, asigurati-va ca acei consultanti sunt bine familiarizati cu procesul ISO 27001 si ca au mai oferit servicii de consultanta macar la inca o alta certificare. Daca ei au mai participat numai la un alt proces asemanator, atunci puteti fi siguri ca sunt in stare sa profite la maxim de fiecare etapa a procesului.

Unul dintre pasii initiali este sa va elaborati o politica de securitate de nivel inalt – un document cuprinzator care va scoate in evidenta principalele obiective si teluri in privinta securitatii, ca de pilda cum si cat de des va veti analiza sistemul de management al securitatii informatiei si de a cui aprobare va fi nevoie pentru a face schimbari. In general, este o idee buna sa evitati sa implicati conducerea superioara in fiecare decizie care tine de securitate. Probabil ca aceasta nu doreste sa se implice in decizii cum ar fi modul de construire a politicilor de parolare. A o implica insa in stabilirea obiectivelor si structurii de baza, pe de alta parte, este un lucru esential. Problemele cum ar fi cine analizeaza si cine aproba schimbarile de politica trebuie sa fie rezolvate la nivel superior in organizatie.

Urmatorul lucru pe care trebuie sa il faceti este sa va ganditi la delimitarea domeniului de acoperire aferent certificarii. Trebuie sa va hotarati daca urmariti certificarea pentru intreaga organizatie sau pentru un departament sau pentru un produs. Aceasta decizie depinde adeseori de cat de mare si cat de omogena este organizatia respectiva. Daca e vorba de o organizatie complexa, cu unitati independente intre ele, fiecare avand propriul mod de a-si gestiona sistemele si resursele informatice, a urmari o certificare a intregii organizatii se poate dovedi a fi un mare efort. Practic va trebui sa le cereti multor oameni sa treaca la o metoda uniforma, posibil mai ancombranta, de a-si gestiona sistemele si datele.

Inainte sa ajungeti la aceasta etapa in care va ganditi la “cat de mult, cat de departe” sa mergeti, va trebui sa consultati standardul si sa intelegeti in profunzime ce trebuie sa faceti. Va trebui sa va elaborati si apoi sa va dezvoltati un “SMSI” (sistem de management al securitatii informatiei). Acesta va incorpora pana la urma toate politicile, procedurile, procesele, practicile, resursele si structurile care vor intra in joc pe masura ce va apropiati de certificare.

Standardul ISO 27001 include modelul planifica – executa – verifica – actioneaza (PDCA). Acest ciclu este unul logic si nu este cu totul diferit de ceea ce se invata si in urma cu cateva decenii. Va faceti un plan, il puneti in aplicare si verificati daca a functionat. Nicio sarcina tehnica nu este incheiata pana ce nu i-ati verificat succesul. Insa modelul PDCA merge si mai departe, intr-o maniera ciclica. Dupa ce faceti o schimbare, trebuie sa va asigurati ca imbunatatirile functioneaza in procesul de ansamblu. Astfel, va creati un SMSI (planifica), functionati conform unor reguli noi (executa), va analizati procesele pentru a va asigura ca ele functioneaza (verifica), apoi folositi ce ati invatat pentru a imbunatati procesul (actioneaza).

Urmatoarea etapa este realizarea unei evaluari a riscurilor asociate tuturor bunurilor identificate in domeniul de acoperire a viitoarei certificari ISO 27001.

› Primii pasi in implementarea ISO 27001