Indrumarile pentru auditorii Sistemelor de Management al Securitatii Informatiilor (ISO/IEC 27007) au fost actualizate recent

Pastrarea in siguranta si securitate a informatiilor sensibile ale companiei si a datelor cu caracter personal este esentiala nu numai pentru orice afacere, ci si un imperativ juridic. Multe organizatii fac acest lucru cu ajutorul unui sistem de gestionare a securitatii informatiilor (ISMS). Standardul international de indrumare pentru auditarea unui ISMS tocmai a fost actualizat.

Intr-o era a cresterii utilizarii datelor si a riscului de incalcare a securitatii informatiilor si de atacuri cibernetice, beneficiile unui ISMS sunt clare. Nu numai ca poate contribui la reducerea la minimum a sanselor de incalcare a normelor, ci poate reduce costurile asociate pastrarii informatiilor in siguranta.

O serie de standarde au fost concepute pentru a ajuta organizatiile sa gestioneze securitatea informatiilor lor.

Unul dintre standardele din aceasta serie, ISO/IEC 27007 “Tehnologia informatiei – Tehnici de securitate – Indrumari pentru auditarea sistemelor de management al securitatii informatiilor”, ofera indrumari pentru auditurile eficace ale ISMS pentru a se asigura ca acestea sunt solide si competente precum intentioneaza. Acesta tocmai a fost revizuit pentru a se asigura ca este in continuare adecvat scopului si ca este aliniat la actualizarile standardului sau complementar ISO 19011 “Indrumari pentru auditarea sistemelor de management”.

Standardul ISO/IEC 27007 ofera indrumari detaliate privind auditarea cerintelor prevazute in ISO/IEC 27001, precum si privind competenta auditorilor ISMS. De asemenea, este destinat utilizarii impreuna cu indrumarile continute in ISO 19011.

ISO/IEC 27007:2020 se aplica celor care trebuie sa inteleaga sau sa efectueze audituri interne sau externe ale unui ISMS sau sa gestioneze un program de audit ISMS si a fost elaborat de comitetul tehnic mixt ISO si IEC (Comitetul Electrotehnic International), ISO/IEC JTC 1, Tehnologia informatiei,  subcomitetul SC 27,  Securitatea informatiilor, securitatea cibernetica si protectia vietii private, al carui secretariat este detinut de DIN, membru al ISO pentru Germania.

Din aceasta serie de standarde mai fac parte:

1. ISO/IEC 27001:2013 “Tehnologia informatiei – Tehnici de securitate – Sisteme de gestionare a securitatii informatice – Cerinte”. Acest standard a fost revizuit ultima data si confirmat in 2019. Prin urmare, aceasta versiune ramane cea actuala.

ISO/IEC 27001:2013 specifica cerintele pentru stabilirea, implementarea, mentinerea si imbunatatirea continua a unui sistem de management al securitatii informatiilor in contextul organizatiei. De asemenea, aceasta include cerinte privind evaluarea si tratarea riscurilor in materie de securitate a informatiilor, adaptate la nevoile organizatiei. Cerintele stabilite in ISO/IEC 27001:2013 sunt generice si sunt destinate sa fie aplicabile tuturor organizatiilor, indiferent de tip, dimensiune sau natura. ISO/IEC 27001 este unul dintre cele mai cunoscute standarde internationale din lume pentru cerintele unui ISMS.

2. ISO/IEC 27002:2013 “Tehnologia Informatiei – Tehnici de Securitate – Cod de practica pentru controlul securitatii informatiilor” ofera indrumari pentru standardele de securitate a informatiilor si practicile privind managementul securitatii informatiei, inclusiv selectarea, punerea in aplicare si gestionarea controalelor, tinand seama de nivelul de risc pentru securitatea informatiilor organizatiei.

Acesta este conceput pentru a fi utilizat de catre organizatiile care intentioneaza:

  • Sa selecteze masuri de control in cadrul procesului de implementare a unui sistem de management al securitatii informatiilor pe baza ISO/IEC 27001;
  • Sa puna in aplicare masuri de securitate a informatiilor general acceptate;
  • Sa elaboreze propriile indrumari privind gestionarea securitatii informatiilor.

3. ISO/IEC 27000:2018 “Tehnologia informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiei – Prezentare generala si vocabular” ofera o prezentare generala a sistemelor de management al securitatii informatiilor (ISMS). De asemenea, acesta prevede termeni si definitii utilizate in mod obisnuit in familia de standarde ISMS. Acest document se aplica tuturor tipurilor de organizatii, indiferent de dimensiunea acestora (de exemplu, intreprinderi comerciale, agentii guvernamentale, organizatii nonprofit).

Termenii si definitiile prevazute in prezentul document:

– acopera termenii si definitiile utilizate in mod curent in familia de standarde ISMS;

– nu acopera toti termenii si definitiile aplicate in cadrul familiei de standarde ISMS;

– nu limiteaza familia de standarde ISMS de la definirea unor noi termeni de utilizare.

4. ISO/IEC TS 27008:2019 “Tehnologia Informatiei – Tehnici de Securitate pentru evaluarea masurilor de securitate a informatiilor”, contine indrumari privind evaluarea masurilor de control instituite pentru a se asigura ca acestea sunt adecvate scopului, sunt eficace si eficiente si in conformitate cu obiectivele organizatiei.

Specificatia tehnica (TS) a fost actualizata recent pentru a se alinia la noile editii ale altor standarde complementare privind managementul securitatii informatiilor, si anume ISO/IEC 27000 (prezentare generala si vocabular), ISO/IEC 27001 (cerinte) si ISO/IEC 27002 (cod de practica pentru controlul securitatii informatiilor).

Standardul ISO/IEC TS 27008:2019 contine indrumari cu privire la modul de revizuire si evaluare a masurilor de control a securitatii datelor gestionate printr-un sistem de management al securitatii informatiilor specificat de ISO/IEC 27001.

Se aplica tuturor tipurilor si dimensiunilor organizatiilor, inclusiv companiilor publice si private, entitatilor guvernamentale si organizatiilor non-profit care efectueaza evaluari ale securitatii informatiilor si verificari tehnice ale conformitatii.

Sursa: iso.org