Certificarea ISO 27001 / ISO 27002 – Certificarea Sistemului de Management al Securitatii Informatiei Implementarea si certificarea unui Sistem de Management al Securitatii Informatiei (pe scurt SMSI) este o decizie strategica pentru orice organizatie deoarece garanteaza securitatea informatiilor societatii certificate dar si a informatiilor clientilor si partenerilor de afaceri. Acest sistem furnizeaza recomandari pentru tinerea sub control al riscurilor informationale, aduce o clarificare asupra tipurilor de amenintari si da directii de abordare ale metodelor de protectie pentru a asigura supravietuirea companiei, minimizarea potentialelor daune financiare, maximizarea profitului si a perspectivelor organizatiei. In zilele noastre, avand in vedere ca majoritatea datelor se tin pe suport informatic, o atentie deosebita trebuie acordata protectiei sistemelor informatice. Securitatea informatiei trebuie sa aiba legatura cu toate aspectele legate de protejarea datelor indiferent de forma in care acestea exista (suport magnetic, optic, hartie, etc.). Ce este insa un Sistem de Management al Securitatii Informatiei, pe scurt, SMSI? Un SMSI este un sistem de management bazat pe o abordare a riscurilor la care organizatia este expusa si are scopul de a stabili, implementa, opera, monitoriza, revizui, mentine si imbunatati securitatea informatiei. Certificarea unui SMSI se face in baza referentialului ISO 27001 (fost BS 7799-2) care este folosit pentru a verifica implementarea celor 133 de masuri de securitate descrise in ISO 27002 (fost ISO 17799). Care este istoricul acestor standarde? Primul standard pentru certificarea SMSI a fost standardul britanic: BS 7799. Acesta a avut 2 parti: Partea I: BS 7799-1 , care era un Cod de Practica, care a devenit mai tarziu ISO/IEC 17799. In prezent acest ultim standard a fost inlocuit de ISO/IEC 27002. Partea a II-a : BS 7799-2. Acesta a fost primul standard dupa care se putea efectua certificarea unei organizatii. Pe acestui referential, s-a elaborat primul standard international de certificare pentru SMSI, ISO 27001 Care sunt beneficiile unei certificari a SMSI? Indicarea in mod clar a indeplinirii de catre organizatie a conditiilor standardului ISO 27001 si ISO 27002; Aceste standarde contin cele mai bune recomandari facute de experti in SMSI. Ofera clientilor si partenerilor de afaceri incredere sporita in organizatia certificata; Reduce necesitatea unei posibile evaluari a sistemului de securitate din partea clientilor sau partenerilor care cer acest lucru; Ofera managerilor un control mai bun asupra fluxurilor de informatii din organizatia certificata; Sunt identificate si tinute sub control riscurile care pot afecta activitatea organizatiei; Posibilitatatea de a intruni toate conditiile de eligibilitate la licitatii acolo unde certificarea SMSI este un criteriu; O pozitie si imagine mai buna pe piata, in fata societatilor concurente care au doar un singur sistem certificat (ex : ISO 9001) Ce legatura are ISO/IEC 27001 cu celelalte standarde de certificare (pentru Sistemul de Management al Calitatii – ISO 9001 respectiv pentru Sistemul de Management de Mediu – ISO 14001)? ISO/ IEC 27001 este aliniat atat cu ISO 9001 dar si cu ISO 14001. Toate cele trei standarde contin elemente si principii de sistem comune inclusiv procesul ciclic de imbunatatire continua PDCA (Plan-Do-Check-Act, Planifica-Elaboreaza-Verifica-Imbunatateste). Aceasta abordare face posibila integrarea usoara a acestor sisteme, astfel incat sa aiba sens un sistem unic de management in organizatie. ISOTRANS recomanda clientilor sai implementarea unui sistem de management combinat. Ce categorie de organizatii ar trebui sa-si certifice propriul Sistem de Management al Securitatii Informatiei? Orice organizatie, care considera ca informatiile cu care intra in contact trebuie protejate, trebuie sa aiba un astfel de sistem de management prin care sa isi tina sub control toate riscurile. In plus, certificarea SMSI, este o carte de vizita ce nu poate fi trecuta cu vederea de catre partenerii de afaceri sau de clienti. Cum se incepe certificarea? Suntem pregatiti sa va oferim documentele pentru initierea procesului de certificare si orice alte informatii suplimentare privind certificarea Sistemului de Management al Securitatii Informatiei. |