Ce este un certificat ISO 27001 și de ce ar trebui implementat într-o companie?
Standardele ISO au devenit din ce în ce mai căutate chiar și în rândul companiilor din România, cele mai populare fiind ISO 9001, ISO 14001 sau ISO 18001. De mare interes și actualitate este însă și certificarea ISO 27001 pentru securitatea informației.
Ce reprezintă certificarea ISO 27001?
Un certificat ISO 27001 este standardul internațional pentru securitatea informației. Acesta a fost publicat de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) și cuprinde cerințele pentru implementarea unui sistem de management al securității informației (SMSI).
Dar ce înseamnă un SMSI? Acesta este un cadru de proceduri și polițe ce susțin siguranță datelor în cadrul unei organizații – inclusiv controalele fizice, tehnice și legale implicate în procesele de management al riscului informațiilor.
Pe scurt, certificarea ISO 27001 a fost creată în scopul de a ajuta organizațiile să implementeze, să opereze, să mențină și să îmbunătățească un sistem de management al informației pentru a asigura securitatea informațiilor vehiculate în cadrul organizației.
În prezent, informațiile circulă în nenumărate forme, iar în cadrul unei companii acestea sunt transmise zilnic de la un departament la altul. Fie că sunt în format printat, scris pe hârtie, format digital transmis prin e-mail, informații transmise în prezentări, în conversații directe sau telefonice ș.a.m.d., toate trebuie păstrate în siguranță. Datele care circulă în cadrul unei organizații pot fi transmise mai departe, indiferent dacă sunt vehiculate accidental sau intenționat. Pentru a minimiza riscurile, este bine să luați măsurile necesare de protecție.
Aici intervine ISO 27001, un standard gândit pentru astfel de situații. Acesta oferă o politică de securitate a informației potrivită pentru orice companie care dorește să-și protejeze datele.
Versiunea revizuită, în vigoare, a acestui standard este cea din 2013, astfel încât denumirea completă a sa este ISO/IEC 27001:2013.
Cum funcționează standardul ISO 27001?
Am văzut ce înseamnă pe scurt un certificat ISO 27001, dar cum funcționează? Acestea sunt informații de bază pe care trebuie să le aveți dacă urmăriți obținerea standardului.
Certificarea ISO 27001:2013 merge pe o abordare bazată pe risc și propune o procedura de planificare structurată în 6 părți:
- Definirea poliței de Securitate;
- Stabilirea razei de acțiune a SMSI-ului ce urmează a fi implementat;
- Realizarea evaluării de risc;
- Gestionarea riscurilor reieșite în urmă evaluării de risc;
- Stabilirea obiectivelor de control, precum și controalele care trebuie integrate;
- Planificarea declarației de aplicabilitate.
Standardul ISO 27001 oferă informații despre documentația necesară pe care trebuie s-o realizeze orice companie ce urmărește certificarea, precum și detalii despre responsabilitatea managementului, auditurile interne și acțiunile preventive și de corectare care trebuie aplicate. Pentru ca implementarea acestor cerințe să se realizeze în condiții optime, toate departamentele organizației trebuie să comunice și să coopereze între ele. Scopurile de bază ale standardului sunt următoarele:
- o protecție a datelor angajaților și a clienților companiei;
- buna gestionare a riscurilor securității informațiilor;
- alinierea la cerințele internaționale cu privire la protecția datelor;
- o protejare a imaginii pe care o are compania.
Standardul ISO pentru securitatea informației este compus din zece secțiuni, care se referă la:
- Domeniul de implementare a standardului;
- Modalitățile de efectuare a referințelor în documente;
- O reutilizare a termenilor și definițiilor din ISO/IEC 27000;
- Cadrul organizațional și părțile interesate;
- Suportul oferit la nivelul cel mai înalt al conducerii organizației pentru asigurarea siguranței informațiilor;
- Punerea la punct a unui sistem de management al securității informației, precum și evaluarea riscurilor și luarea unor acțiuni corectoare;
- Suportul pentru sistemul de management al securității informației;
- Efectuarea unui sistem de management al securității informației operaționale;
- Revizia performanței sistemului realizat;
- Aplicarea unor acțiuni de corectare acolo unde este cazul.
Certificarea ISO 27001:2013 deține în momentul de față 114 măsuri de control și obiective de securitate, împărțite în 14 grupe. Iată care sunt acestea:
- A.5: Politici pentru securitatea informației (2 măsuri de control);
- A.6: Organizarea securității informației (7 măsuri de control);
- A.7: Securitatea resurselor umane (6 măsuri de control, ce pot fi adoptate oricând înainte, în timpul sau după angajarea personalului);
- A.8: Managementul resurselor (10 măsuri de control);
- A.9: Controlul accesului (14 măsuri de control);
- A.10: Criptografie (2 măsuri de control);
- A.11: Securitatea fizică și securitatea mediului (15 măsuri de control);
- A.12: Operațiuni de securitate (14 măsuri de control);
- A.13: Securitatea comunicațiilor (7 măsuri de control);
- A.14: Achiziții de sistem, dezvoltare și întreținere (13 măsuri de control);
- A.15: Relațiile cu furnizorii (5 măsuri de control);
- A.16: Managementul incidentelor ce țin de securitatea informației (7 măsuri de control);
- A.17: Aspecte ale securității de informare ale managementului continuității afacerii (4 măsuri de control);
- A.18: Alinierea cu cerințele interne, precum politicile, și cu cerințele externe, precum legile (8 măsuri de control).
Beneficiile aduse de obținerea unui certificat ISO 27001
Certificarea ISO 27001 a fost gândită în așa fel încât să poată fi integrată în orice companie, alături de alte sisteme. Standardul internațional este cu atât mai recomandat în sectoarele în care protecția datelor clienților și a angajaților este absolut necesară – de exemplu, sectorul bancar, de sănătate, finanțe, IT, relații cu publicul etc.
Iar dacă va întrebați care sunt beneficiile implementării certificării, iată câteva dintre acestea:
- stocarea informațiilor confidențiale în siguranță;
- încrederea obținută din partea clienților, investitorilor sau partenerilor, întrucât certificarea arată felul în care compania dvs. gestionează riscurile de securitate;
- siguranța schimbului de informații;
- avantajul competitiv pe piață;
- asistarea companiei să se supună și altor reglementări;
- punerea bazelor unei culturi a securității;
- creșterea satisfacției clienților și păstrarea acestora;
- expunerea minimă la factorii de risc și gestionarea acesteia;
- servicii sau produse livrate în mod consistent în cadrul companiei;
- protecția datelor companiei, a bunurilor, dar și a angajaților, clienților, acționarilor și directorilor.
Pași pentru obținerea certificării ISO 27001:2013
Dacă urmăriți obținerea certificării ISO 27001, aveți nevoie să știți și care sunt pașii pe care trebuie să-i urmați în acest demers. Obținerea acestui standard de securitate implică trei etape:
- Prima etapă, cea preliminară, presupune realizarea și revizuirea unui SMSI. Acum este momentul în care se semnalizează prezența întregii documentații impuse de polița de Securitate a organizației dvs. Mai mult, tot în această etapă se constată și existența unui plan pentru tratarea riscului. În această fază, auditorii sunt familiarizați cu compania dvs. și invers;
- A două etapă implică efectuarea unui audit mai detaliat și formal pentru testarea SMSI-ului. Acum este momentul în care se constată dacă acesta respectă cerințele impuse de ISO 27001. Auditorii urmăresc dacă SMSI a fost efectuat și implementat corespunzător și dacă acesta funcționează așa cum trebuie. În această etapă se stabilește practic dacă SMSI-ul pus la punct de organizație este compatibil cu cerințele necesare pentru a deveni certificat ISO;
- Etapa a treia și ultima este una mai mult “activă”, în sensul că presupune audituri și revizuiri viitoare, realizate cu scopul de a monitoriza evoluția și funcționarea optimă a SMSI-ului. Dacă doriți să păstrați certificarea ISO 27001, trebuie să va supuneți unor revizuiri ce au loc, în general, anual.
Mai jos găsiți și câțiva pași în vederea implementării cerințelor impuse de standard:
- delimitarea razei de acțiune a proiectului de certificare;
- determinarea părților interesate, precum și a cerințelor legale, contractuale și regulatoare;
- o revizuire și integrare a măsurilor de control de care este nevoie;
- realizarea documentației necesare pentru SMSI;
- cuantificarea, monitorizarea, revizuirea și planificarea auditului pentru evaluarea SMSI;
- obținerea implicării din partea conducerii, precum și obținerea unui buget pentru acest proiect;
- evaluarea factorilor de risc;
- dezvoltarea competenței interne;
- planificarea unui training pentru informarea personalului;
- obținerea certificării ISO 27001.