Schimbari aduse de noua editie ISO/IEC 27001:2013


In standardul revizuit se pune accent pe evaluarea performantei.

S-au realizat aceste schimbari:

-pentru o mai buna aliniere a obiectivelor cu obiectivele afacerii;
-pentru a se accentua- managementul riscului, planificare, masurare si comunicare.

Schimbari generice:

  1. se pune accentul pe masurare si pe evaluarea modului in care securitatea informatiei este tratata in cadrul organizatiei;
    2. s-a realizat o sectiune noua legata de externalizare;
    3. nu se mai pune accentul pe Plan-Do-Check_Act ( planifica- realizeaza- verifica-actioneaza);
    4. se pune accentul pe contextul organizational al securitatii informatiei;
    5. s-a schimbat modul in care se poate face evaluarea de risc;
    6. este proiectat astfel incat sa functioneze mai bine prin integrare cu alte standarde cum ar fi seria ISO 9000 sau ISO 20000.

Schimbari importante:

Evaluarea de risc s-a aliniat modului de tratare a riscului din ISO 31000 Managementul de risc. Principii si ghid.
Angajamentul managementului cere concentrarea pe leadership.
Actiunea preventiva a fost inlocuita de “actiuni care adreseaza riscuri si oportunitati”.
Se clarifica mai mult nevoia de controale in procesul de tratare a riscului.
Controalele din anexa 1 au fost modificate astfel incat sa reflecte noi amenintari, sa nu existe informatie redundanta si sa existe o grupare logica a elementelor.
Accentul se pune pe mentinerea informatiei documentate mai degraba decat pe inregistrari.
Accentul se pune pe stabilire de obiective si pe monitorizarea performantiei.

Structura noului standard ISO/IEC 27001:2013 
1 Scopul standardului
2 Referinte cu caracter normativ
3 Termeni si definitii
4 Contextul organizatiei
5 Conducere
6 Planificare
7 Asistenta
8 Operare
9 Evaluarea performantei
10 Imbunatatire
Anexa A

Controale noi –Anexa A 
A.6.1.5. Securitatea informatiei in managementul de proiect
A.12.6.2. Restrictii la instalarea de software
A.14.2.1. Politica de dezvoltare securizata
A.14.2.5. Principii privind ingineria de securitate a sistemelor
A.14.2.6. Mediu de dezvoltare securizat
A.14.8. Testarea securitatii sistemului
A.15.1.1. Politica de Securitate a informatiilor privind relatia cu furnizorii
A.15.1.3. Tehnologia informatiei si comunicatiei aferente lantului de aprovizionare
A.16.1.4. Estimarea si decizia privind evenimentele de securitate a informatiilor
A.16.1.5. Reactia la incidentele de securitate a informatiilor
A.17.2.1. Disponibilitatea mijloacelor de procesare a informatiilor

Concepte noi: 
Contextul organizatiei-Mediul in care organizatia opereaza
Probleme, riscuri si oportunitati-Inlocuieste actiunea preventiva
Parti interesate – Inlocuieste notiunea de partener
Leadership – Cerinte specifice top management
Comunicare – Exista cerinte explicite atat pentru comunicarea interna cat si externa
Obiective ale securitatii informatiei-Obiective ale securitatii informatiei
Evaluarea de risc- Identificarea riscurilor, amenintarilor si vulnerabilitatilor nu mai este o cerinta obligatorie pentru indentificarea riscurilor securitatii informatiei
Proprietar de risc-Inlocuieste proprietarul de bun
Plan de tratare risc-Eficacitatea planului de tratare a riscului este acum privita drept mai importanta decat eficacitatea controalelor
Controale- Controalele sunt determinate acum in timpul procesului de tratament de risc mai degraba de a fi selectate din anexa 1
Informatie documentata- Inlocuieste documentele si inregistrarile
Evaluare performanta- Acopera masurarea sist de SI si eficactatea planului de tratare a riscului
Imbunatatire continua- Metodologii altele decat Plan-Do-Check-Act pot fi utilizate

Informatie documentatata obligatorie conform standard ISO/CEI 27001:2013

Scopul sistemului
Politica de Securitate
Evaluare de risc
Declaratia de aplicabilitate
Obiective
Dovezi ale competentie personalului
Informatie documentatta cu privire la eficacitatea sistemului
Planificare operationala si control
Rezultate ale evaluarii de risc
Rezultate ale tratarii riscului
Dovezi ale rezultatelor monitorizarilor
Dovezi ale auditului (programare si rezultate)
Dovezi ale analizei de management
Dovezi ale naturii neconformitatilor si a actiunilor intreprinse
Dovezi ale actiunilor corective

Bibliografie si prezentare- Subrata Guha- Program Manager- IT Certification

Transition to ISO IEC 27001:2013