Despre ISO/IEC 27001 și ISO/IEC 27002. Care este rolul acestor standarde în contextul managementului securității informației.

21

Familia sau seria de standarde denumită generic ISO/IEC 27000 se referă la managementul securității informației și include o serie de documente (standarde) ce tratează fiecare o anumită temă sau domeniu.

Probabil cele mai cunoscute standarde din cadrul acestei familii sunt ISO/IEC 27001 și ISO/IEC 27002. Aceste două standarde sunt utilizate de regulă împreună de către o organizație ce urmărește să implementeze și (eventual) să își certifice un sistem de management al securității informației (SMSI).

Există însă diferențe între aceste două documente, cea mai importantă fiind aceea că ISO/IEC 27001 este un standard de cerințe, în vreme ce ISO/IEC 27002 este un standard ce servește drept ghid pentru implementarea de controale de securitate.

O organizație poate obține certificarea ISO pentru sistemul său de management al securității informației conform ISO/IEC 27001, dar nu și în conformitate cu ISO/IEC 27002. Nu există certificare conform ISO/IEC 27002 sau certificare conform ISO/IEC 27000.

 

Cum funcționează legătura dintre cele două standarde, ISO/IEC 27001 și ISO/IEC 27002?

Cum spuneam, ISO/IEC 27001 include o serie de cerințe pe care o organizație ce împlementează un SMSI (Sistem de Management al Securității Informației) trebuie să le respecte. Aceste cerințe se referă la aspecte precum:

– definirea unei politici generale privind securitatea informației susținută de o serie de politici specifice care tratează aspecte precum controlul accesului, utilizarea criptografiei și managementul cheilor criptografice, transferul informației sau relațiile cu furnizorii (din perspectiva securității informației);

– realizarea unei evaluări de risc privind securitatea informației și dezvoltarea unui plan de tratare a riscului;

– definirea și alocarea de responsabilități privind managementul securității informației;

– stabilirea și urmărirea de obiective de securitatea informației sau

– planificarea și realizarea de audituri interne ale sistemului său de management al securității informației.

Pe lângă aceste cerințe, ISO/IEC 27001 include o anexa cu cerințe pentru controale specifice de securitatea informației ce acoperă aspecte organizaționale, aspecte referitoare la personalul ce lucrează pentru sau în numele organizației, aspecte referitoare securitatea fizică și controale ce privesc tehnologia.

Este vorba despre un set cuprinzător de controale de securitate pe care organizația ce implementează un SMSI trebuie să le îndeplinească, în măsura în care îi sunt aplicabile (este posibil ca anumite controale să nu fie aplicabile datorită specificului activității organizației; de exemplu controalele referitoare la dezvoltarea de software nu vor fi considerate pentru o companie ce nu desfășoară activăți în această direcție).

Modul în care sunt formulate cerințele pentru aceste controale de securitate în ISO/IEC 27001 este destul de generic, fără detalieri și indicații privind modul în care ele ar putea fi aplicate. Și aici intervine ISO/IEC 27002, care oferă exact acest lucru: linii directoare privind modul în care pot fi înțelese și implementate cerințele pentru controale de securitate din ISO/IEC 27001.

La momentul actual, versiunile în vigoare ale lui ISO/IEC 27001 si ISO/IEC 27002 sunt cele publicate în 2013, cu mențiunea că ISO/IEC 27002 este în proces de revizuire, noua ediție a acestui standard fiind așteptată în prima parte a lui 2022. Cel mai probabil, va urma o revizie a lui ISO/IEC 27001.

 

Citește și
Spune ce crezi

Adresa de email nu va fi publicata