Home > Articole ISO > Cum sa va protejati compania cu ISO 27001

ISO/IEC 27001:2005 este un cunoscut standard international dedicat sistemului de management al securitatii informatiei (SMSI) care a fost elaborat pentru a garanta ca securitatea informatiei este controlata prin masuri eficiente specifice.

Cum functioneaza standardul ISO 27001

Cele mai multe companii isi implementeaza masuri de control al informatiilor din mai multe motive – cum ar fi, de pilda, confidentialitatea, integritatea si disponibilitatea datelor. Fara un sistem de securitate al informatiei ISO 27001, aceste masuri pot fi dezorganizate si, prin urmare, nu isi vor indeplini sarcina pentru care au fost proiectate. Acest lucru se intampla din mai multe motive, in special deoarece asemenea masuri de control au fost implementate initial pentru a oferi o solutie pentru o problema specifica, de proportii mai reduse, si nu pentru a incorpora toate aspectele care tin de securitatea informatiei.
Standardul ISO 27001 acopera insa mai multe aspecte referitoare la sistemul de securitate a informatiei.

Ce inseamna ISO 27001 pentru o companie

Conform uneia dintre cerintele ISO 27001, conducerea superioara trebuie sa examineze minutios riscurile care ameninta securitatea din cadrul companiei si sa isi asume raspunderea pentru amenintarile si impactul oricarei neconformitati sau brese. O alta cerinta a standardului ISO 27001 este ca o echipa manageriala din cadrul companiei sa implementeze un sistem de masuri de control prin care sa gestioneze si sa reduca orice risc asociat securitatii informatiei la un nivel minim, acceptabil. Tot conducerea companiei trebuie sa se asigure ca exista un proces dedicat monitorizarii neintrerupte a riscurilor pentru a parcurge clar si precis cerintele auditului.

Companiile pot utiliza ISO 27001 in maniera care se potriveste cel mai bine nevoilor lor specifice. De exemplu, o organizatie care are mai multe filiale poate alege sa aplice o masura de control in intreaga companie sau sa implementeze cate o masura de control in fiecare locatie. Este de remarcat si ca certificarea de conformitate ISO 27001 atesta faptul ca sistemul este implementat, iar auditarea completa a sistemului este necesara pentru a constata nivelul real al securitatii in companie.

Obtinerea certificarii ISO 27001

Sistemul de management al securitatii informatiei poate fi certificat in conformitate cu standardul ISO 27001 de numeroase organisme de certificare ISO. Pentru a putea obtine certificarea propriu-zisa, trebuie urmati trei pasi dintr-un proces de audit al SMSI.

O trecere in revista initiala va fi realizata pentru a familiariza organismul de audit cu activitatea companiei si pentru a demonstra ca unele documente, cum ar fi politica de securitate a companiei, exista, sunt actualizate si sunt conforme standardului. Al doilea pas implica o procedura oficiala de audit, care testeaza intr-un mod strict sistemul de management al securitatii informatiei utilizat de companie conform cerintelor certificarii ISO 27001. Al treilea pas al procesului de audit implica audituri ulterioare de supraveghere care au rolul de a garanta ca respectiva companie continua sa respecte cerintele ISO 27001 si sa isi imbunatateasca SMSI.

Aceste audituri de supraveghere au loc, de obicei, anual; totusi, companiile solicita sau realizeaza astfel de audituri mult mai des, in special daca SMSI este unul nou implementat sau daca au fost intampinate probleme tehnice in trecut.

› Cum sa va protejati compania cu ISO 27001