Ce este un certificat ISO 27001 și de ce ar trebui implementat într-o companie?
Standardele ISO au devenit din ce în ce mai căutate chiar și în rândul companiilor din România, cele mai populare fiind ISO 9001, ISO 14001 sau ISO 18001. De mare interes și actualitate este însă și certificarea ISO 27001 pentru securitatea informației.
Prin ce se definește securitatea informației în cazul companiilor?
Securitatea informațiilor din cadrul companiei face referire la protejarea oricăror date legate de business împotriva accesului, utilizării, divulgării, distrugerii, modificării sau perturbării neautorizate.
Confidențialitatea
Informațiile trebuie să fie accesibile doar persoanelor autorizate. Acest lucru previne divulgarea neautorizată a datelor cu caracter sensibil, precum date personale, secrete de afaceri sau informații financiare.
Integritatea
Face referire la protejarea informațiilor de modificările neautorizate, astfel încât informațiile să rămână exacte și complete.
Disponibilitatea informațiilor
Practic, utilizatorii autorizați au acces la informații și resurse doar când este absolut necesar.
Autentificarea
Autentificarea este crucială pentru verificarea identității utilizatorilor, astfel încât doar persoanele cu drepturi să poată accesa anumite informații sau sisteme.
Autorizarea
Face referire la procesul de acordare a drepturilor specifice utilizatorilor sau sistemelor, care definește ce pot face cu informațiile sau resursele accesate.
Ce reprezintă certificarea ISO 27001?
Un certificat ISO 27001 este standardul internațional pentru securitatea informației. Acesta a fost publicat de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) și cuprinde cerințele pentru implementarea unui sistem de management al securității informației (SMSI).
Dar ce înseamnă un SMSI? Acesta este un cadru de proceduri și polițe ce susțin siguranță datelor în cadrul unei organizații – inclusiv controalele fizice, tehnice și legale implicate în procesele de management al riscului informațiilor.
Pe scurt, certificarea ISO 27001 a fost creată în scopul de a ajuta organizațiile să implementeze, să opereze, să mențină și să îmbunătățească un sistem de management al informației pentru a asigura securitatea informațiilor vehiculate în cadrul organizației.
În prezent, informațiile circulă în nenumărate forme, iar în cadrul unei companii acestea sunt transmise zilnic de la un departament la altul. Fie că sunt în format printat, scris pe hârtie, format digital transmis prin e-mail, informații transmise în prezentări, în conversații directe sau telefonice ș.a.m.d., toate trebuie păstrate în siguranță. Datele care circulă în cadrul unei organizații pot fi transmise mai departe, indiferent dacă sunt vehiculate accidental sau intenționat. Pentru a minimiza riscurile, este bine să luați măsurile necesare de protecție.
Aici intervine ISO 27001, un standard gândit pentru astfel de situații. Acesta oferă o politică de securitate a informației potrivită pentru orice companie care dorește să-și protejeze datele.
Versiunea revizuită, în vigoare, a acestui standard este cea din 2013, astfel încât denumirea completă a sa este ISO/IEC 27001:2013.
Cum funcționează standardul ISO 27001?
Am văzut ce înseamnă pe scurt un certificat ISO 27001, dar cum funcționează? Acestea sunt informații de bază pe care trebuie să le aveți dacă urmăriți obținerea standardului.
Certificarea ISO 27001:2013 merge pe o abordare bazată pe risc și propune o procedura de planificare structurată în 6 părți:
- Definirea poliței de Securitate;
- Stabilirea razei de acțiune a SMSI-ului ce urmează a fi implementat;
- Realizarea evaluării de risc;
- Gestionarea riscurilor reieșite în urmă evaluării de risc;
- Stabilirea obiectivelor de control, precum și controalele care trebuie integrate;
- Planificarea declarației de aplicabilitate.
Standardul ISO 27001 oferă informații despre documentația necesară pe care trebuie s-o realizeze orice companie ce urmărește certificarea, precum și detalii despre responsabilitatea managementului, auditurile interne și acțiunile preventive și de corectare care trebuie aplicate. Pentru ca implementarea acestor cerințe să se realizeze în condiții optime, toate departamentele organizației trebuie să comunice și să coopereze între ele. Scopurile de bază ale standardului sunt următoarele:
- o protecție a datelor angajaților și a clienților companiei;
- buna gestionare a riscurilor securității informațiilor;
- alinierea la cerințele internaționale cu privire la protecția datelor;
- o protejare a imaginii pe care o are compania.
Standardul ISO pentru securitatea informației este compus din zece secțiuni, care se referă la:
- Domeniul de implementare a standardului;
- Modalitățile de efectuare a referințelor în documente;
- O reutilizare a termenilor și definițiilor din ISO/IEC 27000;
- Cadrul organizațional și părțile interesate;
- Suportul oferit la nivelul cel mai înalt al conducerii organizației pentru asigurarea siguranței informațiilor;
- Punerea la punct a unui sistem de management al securității informației, precum și evaluarea riscurilor și luarea unor acțiuni corectoare;
- Suportul pentru sistemul de management al securității informației;
- Efectuarea unui sistem de management al securității informației operaționale;
- Revizia performanței sistemului realizat;
- Aplicarea unor acțiuni de corectare acolo unde este cazul.
Certificarea ISO 27001:2013 deține în momentul de față 114 măsuri de control și obiective de securitate, împărțite în 14 grupe. Iată care sunt acestea:
- A.5: Politici pentru securitatea informației (2 măsuri de control);
- A.6: Organizarea securității informației (7 măsuri de control);
- A.7: Securitatea resurselor umane (6 măsuri de control, ce pot fi adoptate oricând înainte, în timpul sau după angajarea personalului);
- A.8: Managementul resurselor (10 măsuri de control);
- A.9: Controlul accesului (14 măsuri de control);
- A.10: Criptografie (2 măsuri de control);
- A.11: Securitatea fizică și securitatea mediului (15 măsuri de control);
- A.12: Operațiuni de securitate (14 măsuri de control);
- A.13: Securitatea comunicațiilor (7 măsuri de control);
- A.14: Achiziții de sistem, dezvoltare și întreținere (13 măsuri de control);
- A.15: Relațiile cu furnizorii (5 măsuri de control);
- A.16: Managementul incidentelor ce țin de securitatea informației (7 măsuri de control);
- A.17: Aspecte ale securității de informare ale managementului continuității afacerii (4 măsuri de control);
- A.18: Alinierea cu cerințele interne, precum politicile, și cu cerințele externe, precum legile (8 măsuri de control).
ISO 27001, un bun punct de plecare?
Cu siguranță, da! ISO 27001 este un punct de plecare excelent pentru companiile care vor să-și îmbunătățească securitatea informațiilor, oferind cadrul necesar pentru implementarea, menținerea și îmbunătățirea continuă a managementului securității (Information Security Management System – ISMS).
Practic, ISO 27001 oferă un set de politici, proceduri, procese și sisteme care contribuie la gestionarea riscurilor de securitate ale informațiilor în orice tip de organizații. Fiind un standard internațional, adoptarea acestuia demonstrează angajamentul companiei față de securitatea informației la un nivel global, sporind încrederea clienților și partenerilor de afaceri.
GDPR Și ISO 27001 se exclud unul pe celălalt?
GDPR (cunoscut și sub numele de ”Regulamentul General privind Protecția Datelor”) și ISO 27001 nu se exclud reciproc, ba chiar se completează foarte bine. GDPR este un regulament legal obligatoriu în Uniunea Europeană, care se concentrează pe protecția și confidențialitatea datelor personale, în timp ce ISO 27001 este un standard internațional voluntar pentru sistemele de management al securității informațiilor (ISMS).
GDPR se axează pe protejarea datelor cu caracter personal ale cetățenilor din UE, prin cerințe specifice privind colectarea, stocarea, prelucrarea și transferul datelor personale și drepturile individuale ale subiecților. De cealaltă parte, ISO 27001 oferă cadrul necesar pentru protecția generală a tuturor tipurilor de date, inclusiv, dar nu limitat, la datele personale, prin gestionarea eficientă a riscurilor de securitate a informațiilor.
Implementarea ISO 27001 poate ajuta organizațiile să-și îndeplinească cerințele tehnice și organizatorice impuse de GDPR. De exemplu, evaluările de risc și controalele de securitate necesare pentru certificarea ISO 27001 pot fi folosite pentru a demonstra conformitatea cu GDPR în ceea ce privește securitatea datelor.
Beneficiile aduse de obținerea unui certificat ISO 27001
Certificarea ISO 27001 a fost gândită în așa fel încât să poată fi integrată în orice companie, alături de alte sisteme. Standardul internațional este cu atât mai recomandat în sectoarele în care protecția datelor clienților și a angajaților este absolut necesară – de exemplu, sectorul bancar, de sănătate, finanțe, IT, relații cu publicul etc.
Iar dacă va întrebați care sunt beneficiile implementării certificării, iată câteva dintre acestea:
- stocarea informațiilor confidențiale în siguranță;
- încrederea obținută din partea clienților, investitorilor sau partenerilor, întrucât certificarea arată felul în care compania dvs. gestionează riscurile de securitate;
- siguranța schimbului de informații;
- avantajul competitiv pe piață;
- asistarea companiei să se supună și altor reglementări;
- punerea bazelor unei culturi a securității;
- creșterea satisfacției clienților și păstrarea acestora;
- expunerea minimă la factorii de risc și gestionarea acesteia;
- servicii sau produse livrate în mod consistent în cadrul companiei;
- protecția datelor companiei, a bunurilor, dar și a angajaților, clienților, acționarilor și directorilor.
Pași pentru obținerea certificării ISO 27001:2013
Dacă urmăriți obținerea certificării ISO 27001, aveți nevoie să știți și care sunt pașii pe care trebuie să-i urmați în acest demers. Obținerea acestui standard de securitate implică trei etape:
- Prima etapă, cea preliminară, presupune realizarea și revizuirea unui SMSI. Acum este momentul în care se semnalizează prezența întregii documentații impuse de polița de Securitate a organizației dvs. Mai mult, tot în această etapă se constată și existența unui plan pentru tratarea riscului. În această fază, auditorii sunt familiarizați cu compania dvs. și invers;
- A două etapă implică efectuarea unui audit mai detaliat și formal pentru testarea SMSI-ului. Acum este momentul în care se constată dacă acesta respectă cerințele impuse de ISO 27001. Auditorii urmăresc dacă SMSI a fost efectuat și implementat corespunzător și dacă acesta funcționează așa cum trebuie. În această etapă se stabilește practic dacă SMSI-ul pus la punct de organizație este compatibil cu cerințele necesare pentru a deveni certificat ISO;
- Etapa a treia și ultima este una mai mult “activă”, în sensul că presupune audituri și revizuiri viitoare, realizate cu scopul de a monitoriza evoluția și funcționarea optimă a SMSI-ului. Dacă doriți să păstrați certificarea ISO 27001, trebuie să va supuneți unor revizuiri ce au loc, în general, anual.
Mai jos găsiți și câțiva pași în vederea implementării cerințelor impuse de standard:
- delimitarea razei de acțiune a proiectului de certificare;
- determinarea părților interesate, precum și a cerințelor legale, contractuale și regulatoare;
- o revizuire și integrare a măsurilor de control de care este nevoie;
- realizarea documentației necesare pentru SMSI;
- cuantificarea, monitorizarea, revizuirea și planificarea auditului pentru evaluarea SMSI;
- obținerea implicării din partea conducerii, precum și obținerea unui buget pentru acest proiect;
- evaluarea factorilor de risc;
- dezvoltarea competenței interne;
- planificarea unui training pentru informarea personalului;
- obținerea certificării ISO 27001.
În ce mod implementarea ISO 27001 îi oferă companiei o reputație mai bună?
La această întrebare răspunsurile sunt multiple. Întâi de toate, o companie care a înțeles ISO 27001 ce înseamnă se bucură de o mai mare încredere din partea clienților, a furnizorilor și partenerilor de business. Certificarea ISO27001 le arată clienților și partenerilor că organizația ia în serios securitatea informațiilor, iar asta îi face să fie mai înclinați să colaboreze cu o companie care își demonstrează angajamentul față de cele mai bune practici.
Nu putem omite avantajul competitiv. Cum în orice business breșele de comunicare nu sunt tocmai o excepție, și mai sunt și costisitoare, orice companie recunoscută pentru standarde înalte de securitate se va bucura de un avantaj competitiv semnificativ. Prin diminuarea riscurilor de securitate și îmbunătățirea gestionării incidentelor, companiile pot evita inclusiv daunele de imagine cauzate de breșe sau atacuri ale hackerilor.