O trecere in revista pe intelesul tuturor a standardului pentru securitatea informatiei ISO 27002 2005*
*ISO IEC 27002 2005 fost cunoscut anterior ca ISO IEC 17799 2005. Cu exceptia titlului, nu s-a mai schimbat nimic altceva. Continutul este acelasi.
ISO 27002 este atotcuprinzator. El acopera tot felul de informatii.
Standardul ISO/IEC 27002 2005 consta dintr-o serie de practici recomandate privind securitatea informatiei. Aceste practici recomandate se gasesc in sectiunile 5 – 15. In consecinta, materialul urmator incepe cu sectiunea a 5-a.
5. Managementul politicilor de securitate
5.1 Elaborati politici inteligente privind securitatea informatiei.
6. Managementul securitatii corporative
6.1 Puneti la punct o organizare a securitatii interne.
6.2 Controlati folosirea informatiei dvs. de catre partile externe.
7. Managementul organizatoric al bunurilor
7.1 Alocati responsabilitati referitoare la bunurile organizatiei dvs.
7.2 Folositi un sistem de clasificare a informatiilor.
8. Managementul securitatii resurselor umane
8.1 Puneti accentul pe securitate inainte de serviciu.
8.2 Puneti accentul pe securitate in timpul serviciului.
8.3 Puneti accentul pe securitate la incheierea serviciului.
9. Managementul securitatii fizice si ambientale
9.1 Folositi zone sigure pentru a va proteja facilitatile.
9.2 Protejati echipamentul organizatiei dvs.
10. Managementul mijloacelor de comunicare si al operatiunilor
10.1 Stabiliti proceduri si responsabilitati.
10.2 Controlati furnizarea serviciilor de catre terte parti.
10.3 Desfasurati activitati de planificare a viitoarelor sisteme.
10.4 Protejati-va impotriva codurilor malicios si mobil.
10.5 Elaborati proceduri de backup.
10.6 Protejati retelele de computere.
10.7 Controlati modul de manipulare a mediilor.
10.8 Protejati schimbul de informatii.
10.9 Protejati serviciile de comert electronic.
10.10 Monitorizati facilitatile de procesare a informatiilor.
11. Managementul controlului accesului la informatie
11.1 Controlati accesul la informatie.
11.2 Controlati drepturile de acces ale utilizatorilor.
11.3 Incurajati practicile bune de acces.
11.4 Controlati accessul la serviciile retelei.
11.5 Controlati accessul la sistemele de operare.
11.6 Controlati accessul la aplicatii si sisteme.
11.7 Protejati facilitatile de lucru mobil si de telelucru.
12. Dezvoltarea si mentenanta sistemelor
12.1 Identificati cerintele privind securitatea sistemului de informatii.
12.2 Asigurati-va ca aplicatiile prelucreaza informatiile in mod corect.
12.3 Folositi metode criptografice pentru a va proteja informatiile.
12.4 Protejati si controlati fisierele de sistem ale organizatiei dvs.
12.5 Controlati procesele de dezvoltare si de suport.
13. Managementul incidentelor din domeniul securitatii informatiei
13.1 Raportati evenimentele si punctele slabe ale securitatii informatiei
13.2 Gestionati incidentele si imbunatatirile din domeniul securitatii informatiei.
14. Managementul continuitatii afacerilor
14.1 Folositi managementul continuitatii afacerilor pentru a va proteja informatiile.
15. Managementul conformarii
15.1 Conformati-va la cerintele legale
15.2 Efectuati analize privind conformarea la securitate.
15.3 Efectuati audituri ale sistemelor de informatii controlate.