In standardul revizuit se pune accent pe evaluarea performantei.<\/p>\n
S-au realizat aceste\u00a0schimbari<\/strong>:<\/p>\n -pentru o mai buna aliniere a obiectivelor cu obiectivele afacerii; Schimbari generice:<\/strong><\/p>\n Schimbari importante:<\/strong><\/p>\n Evaluarea de risc s-a aliniat modului de tratare a riscului din ISO 31000 Managementul de risc. Principii si ghid. Structura noului standard ISO\/IEC 27001:2013\u00a0<\/strong> Controale noi \u2013Anexa A\u00a0<\/strong> Concepte noi:\u00a0<\/strong> Informatie documentatata obligatorie conform standard ISO\/CEI 27001:2013<\/strong><\/p>\n Scopul sistemului Bibliografie si prezentare- Subrata Guha- Program Manager- IT Certification<\/em><\/p>\n Transition to ISO IEC 27001:2013<\/p>\n","protected":false},"excerpt":{"rendered":" In standardul revizuit se pune accent pe evaluarea performantei. S-au realizat aceste\u00a0schimbari: -pentru o mai buna aliniere a obiectivelor cu obiectivele afacerii; -pentru a se accentua- managementul riscului, planificare, masurare si comunicare. Schimbari generice: se pune accentul pe masurare si pe evaluarea modului in care securitatea informatiei este tratata in cadrul organizatiei; 2. s-a realizat… <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_eb_attr":"","_uag_custom_page_level_css":"","neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[7],"tags":[13],"class_list":["post-46","post","type-post","status-publish","format-standard","hentry","category-iso-27001","tag-iso-270012013"],"featured_image_src":null,"author_info":{"display_name":"Laura LD","author_link":"https:\/\/agencyinfoconsult.info\/index.php\/author\/laurald\/"},"yoast_head":"\n
\n-pentru a se accentua- managementul riscului, planificare, masurare si comunicare.<\/p>\n\n
\n2. s-a realizat o sectiune noua legata de externalizare;
\n3. nu se mai pune accentul pe Plan-Do-Check_Act ( planifica- realizeaza- verifica-actioneaza);
\n4. se pune accentul pe contextul organizational al securitatii informatiei;
\n5. s-a schimbat modul in care se poate face evaluarea de risc;
\n6. este proiectat astfel incat sa functioneze mai bine prin integrare cu alte standarde cum ar fi seria ISO 9000 sau ISO 20000.<\/li>\n<\/ol>\n
\nAngajamentul managementului cere concentrarea pe leadership.
\nActiunea preventiva a fost inlocuita de \u201cactiuni care adreseaza riscuri si oportunitati\u201d.
\nSe clarifica mai mult nevoia de controale in procesul de tratare a riscului.
\nControalele din anexa 1 au fost modificate astfel incat sa reflecte noi amenintari, sa nu existe informatie redundanta si sa existe o grupare logica a elementelor.
\nAccentul se pune pe mentinerea informatiei documentate mai degraba decat pe inregistrari.
\nAccentul se pune pe stabilire de obiective si pe monitorizarea performantiei.<\/p>\n
\n1 Scopul standardului
\n2 Referinte cu caracter normativ
\n3 Termeni si definitii
\n4 Contextul organizatiei
\n5 Conducere
\n6 Planificare
\n7 Asistenta
\n8 Operare
\n9 Evaluarea performantei
\n10 Imbunatatire
\nAnexa A<\/p>\n
\nA.6.1.5. Securitatea informatiei in managementul de proiect
\nA.12.6.2. Restrictii la instalarea de software
\nA.14.2.1. Politica de dezvoltare securizata
\nA.14.2.5. Principii privind ingineria de securitate a sistemelor
\nA.14.2.6. Mediu de dezvoltare securizat
\nA.14.8. Testarea securitatii sistemului
\nA.15.1.1. Politica de Securitate a informatiilor privind relatia cu furnizorii
\nA.15.1.3. Tehnologia informatiei si comunicatiei aferente lantului de aprovizionare
\nA.16.1.4. Estimarea si decizia privind evenimentele de securitate a informatiilor
\nA.16.1.5. Reactia la incidentele de securitate a informatiilor
\nA.17.2.1. Disponibilitatea mijloacelor de procesare a informatiilor<\/p>\n
\nContextul organizatiei-Mediul in care organizatia opereaza
\nProbleme, riscuri si oportunitati-Inlocuieste actiunea preventiva
\nParti interesate – Inlocuieste notiunea de partener
\nLeadership – Cerinte specifice top management
\nComunicare – Exista cerinte explicite atat pentru comunicarea interna cat si externa
\nObiective ale securitatii informatiei-Obiective ale securitatii informatiei
\nEvaluarea de risc- Identificarea riscurilor, amenintarilor si vulnerabilitatilor nu mai este o cerinta obligatorie pentru indentificarea riscurilor securitatii informatiei
\nProprietar de risc-Inlocuieste proprietarul de bun
\nPlan de tratare risc-Eficacitatea planului de tratare a riscului este acum privita drept mai importanta decat eficacitatea controalelor
\nControale- Controalele sunt determinate acum in timpul procesului de tratament de risc mai degraba de a fi selectate din anexa 1
\nInformatie documentata- Inlocuieste documentele si inregistrarile
\nEvaluare performanta- Acopera masurarea sist de SI si eficactatea planului de tratare a riscului
\nImbunatatire continua- Metodologii altele decat Plan-Do-Check-Act pot fi utilizate<\/p>\n
\nPolitica de Securitate
\nEvaluare de risc
\nDeclaratia de aplicabilitate
\nObiective
\nDovezi ale competentie personalului
\nInformatie documentatta cu privire la eficacitatea sistemului
\nPlanificare operationala si control
\nRezultate ale evaluarii de risc
\nRezultate ale tratarii riscului
\nDovezi ale rezultatelor monitorizarilor
\nDovezi ale auditului (programare si rezultate)
\nDovezi ale analizei de management
\nDovezi ale naturii neconformitatilor si a actiunilor intreprinse
\nDovezi ale actiunilor corective<\/p>\n