SR ISO/CEI 27002:2013 Tehnologia informației

Cod de bună practică pentru managementul securității informației



A fost publicată versiunea română a standardului SR ISO/CEI 27002:2013, Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației
Standardul poate fi utilizat ca referință în alegerea mijloacelor de control în cadrul proceselor de implementare a unui sistem de management al securității informației (SMSI) sau ca document de îndrumare pentru organizațiile care implementează mijloace de control de securitate a informației general acceptate.
De asemenea, standardul este destinat elaborării de linii directoare de management al securității informației specifice domeniului de activitate sau organizațiilor, luând în considerare mediul lor specific privind riscurile de securitate a informației.
Organizațiile de toate tipurile și mărimile (inclusiv cele din sectorul public și privat, comerciale și non-profit) colectează, prelucrează, stochează și transmit informații în multe forme, inclusiv electronice, fizice și verbale (de exemplu, conversații și prezentări).
Valoarea informațiilor însemnă mai mult decât cuvinte scrise, numere și imagini; cunoștințele, conceptele, ideile și mărcile sunt exemple de forme imateriale ale informației. Într-o lume interconectată, informațiile și procesele, sistemele și rețelele asociate, precum și personalul implicat în exploatarea, manipularea și protecția acestora sunt resurse care, la fel ca alte resurse importante pentru afacere, sunt valoroase pentru afacerea organizației și, în consecință, merită sau necesită protecție împotriva diverselor pericole.
Resursele sunt expuse atât amenințărilor intenționate, cât și celor accidentale, în timp ce procesele, sistemele și rețelele asociate, precum și personalul prezintă vulnerabilități inerente. Schimbările proceselor de afaceri și ale sistemelor sau alte schimbări externe (cum ar fi, legi și reglementări noi) pot crea noi riscuri de securitate a informației. Prin urmare, dată fiind multitudinea de moduri în care amenințările pot profita de vulnerabilități pentru a dăuna organizației, riscurile de securitate a informației sunt întotdeauna prezente.
O securitate a informației eficace reduce aceste riscuri prin protejarea organizației împotriva amenințărilor și vulnerabilităților și prin reducerea impactului asupra resurselor ei.
Securitatea informațiilor este obținută prin implementarea unui set adecvat de mijloace de control, incluzând politici, procese, proceduri, structuri organizatorice și funcții software și hardware. Aceste mijloace de control necesită să fie stabilite, implementate, supravegheate, revizuite și îmbunătățite, dacă este necesar, pentru a se asigura atingerea obiectivelor de securitate ale organizației.
Multe sisteme informaționale nu au fost concepute să fie securizate în sensul ISO/IEC 27001 și al acestui standard. De aceea, securitatea care poate fi obținută prin mijloace tehnice este limitată și se recomandă a fi sprijinită prin management și proceduri adecvate.
Identificarea mijloacelor de control care se recomandă a fi implementate necesită o planificare minuțioasă cu atenție la detalii. Un SMSI de succes necesită sprijinul tuturor angajaților din organizație. De asemenea, el poate necesita participarea acționarilor, furnizorilor și a altor terțe părți. De asemenea, poate fi necesară îndrumarea unor specialiști de terță parte.
Într-un sens mai general, de asemenea, o securitate a informației eficace poate asigura managementul organizației, dar și alte părți interesate că resursele organizației sunt securizate și protejate în mod rezonabil împotriva daunelor, favorizând astfel buna desfășurare a afacerii.
Acest standard furnizează linii directoare pentru standardele de securitate a informației și practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea și managementul mijloacelor de control, cu luarea în considerare a mediului de risc de securitate a informației al organizației.
Acest standard internațional este conceput să fie utilizat de organizații care intenționează:
1.    a) să aleagă mijloace de control în cadrul procesului de implementare a unui sistem de management al securității informației pe baza ISO/IEC 27001;
2.    b) să implementeze mijloace de control de securitate a informației general acceptate;
3.    c) să dezvolte propriile linii directoare referitoare la managementul securității informației.

Standardul se poate achizitiona de la Centrul Zonal de informare - CCIAT Piata Victoriei nr. 3, persoana de contact Adrian Almasan, Tel: 004-0372185284, 004-0256-490771, E-mail: standarde@cciat.ro



Camera de Comerț, Industrie și Agricultură TIMIȘ
300030 Timisoara, Romania, Piata Victoriei nr.3, tel: +40.372-185.285, fax: +40.256.490.311, e-mail: office@cciat.ro
300575 Timisoara, Romania, Bv.Eroilor de la Tisa nr.22, tel: +40.372-185.258, fax: +40.372.185.262, e-mail: office@cciat.ro