office@rigcert.org
ISO/IEC 27001 - Securitatea informației
ISO/IEC 27001 este unul dintre cele mai importante standarde pentru managementul securității informației la nivel internațional.
Publicat pentru prima dată în 2005 și revizuit ulterior în 2013 și, cel mai recent, în 2022, ISO/IEC 27001 ajută organizațiile să stabilească, să implementeze, să mențină și să îmbunătățească continuu un sistem de management al securității informației (ISMS).
Standardul tratează aspecte cheie ale securității informației, precum securitatea fizică, controlul accesului, securitatea resurselor umane, transferul informației, securitatea rețelelor, etc. ISO/IEC 27001 promovează o abordare bazată pe risc, implicarea conducerii, îmbunătățirea continuă și respectarea cerințelor legale, de reglementare și contractuale.
ISO/IEC 27001 este aplicabil tuturor tipurilor de organizații – indiferent de dimensiune, domeniu de activitate sau locație geografică. Este utilizat pe scară largă de companii din domeniul tehnologiei, furnizori de servicii, instituții publice și ONG-uri care doresc să protejeze date sensibile, să gestioneze riscurile cibernetice și să consolideze încrederea clienților și a părților interesate.
RIGCERT oferă servicii de certificare acreditată pentru sisteme de management al securității informației, în conformitate cu ISO/IEC 27001. Procesul nostru de certificare este imparțial, transparent și realizat de profesioniști cu experiență, care înțeleg provocările specifice securității informației din sectorul dumneavoastră.
Indiferent dacă obiectivul este consolidarea controalelor interne, asigurarea conformității sau creșterea încrederii clienților, certificarea ISO/IEC 27001 oferită de RIGCERT poate sprijini organizația dumneavoastră în gestionarea eficientă a riscurilor legate de securitatea informației
ISO/IEC 27001 este standardul ce definește modul în care organizațiile ar trebui să gestioneze securitatea informației. Acesta include atât cerințe de sistem de management cât și un set de controale specifice pentru securitatea informației. Controalele sunt grupate în patru categorii (sau teme).
Standardul este aplicabil oricărei organizații, indiferent de dimensiune sau domeniu de activitate. Scopul său este de a ajuta organizațiile să definească un sistem care protejează confidențialitatea, integritatea și disponibilitatea informațiilor. Cea mai recentă versiune a ISO/IEC 27001 a fost publicată în anul 2022.
Cerințe de sistem de management
Cerințele lui ISO/IEC 27001 se referă la elemente tipice de sistem de management precum implicarea conducerii, stabilirea de politici și obiective în domeniul securității informației, identificarea și tratarea riscurilor, audituri interne și analize de management. Aceste elemente asigură integrarea securității informației în guvernanța și operațiunile generale ale organizației.
Controale de securitate
ISO/IEC 27001 include, de asemenea, un set de 93 de controale de securitatea informației, grupate în patru teme.
Prima temă se referă la controale organizaționale și tratează domenii precum clasificareainformațiilor, utilizarea acceptabilă a resurselor, transferul informației, drepturile de acces, relațiile cu furnizorii, inclusiv cei care oferă servicii cloud, răspunsul la incidente, continuitatea afacerii, protecția datelor cu caracter personal sau conformitatea legală.
A doua temă include controale referitoare la personalul organizației și abordează subiecte precum screening-ul anterior angajării, procesul disciplinar, munca la distanță, confidențialitatea și acordurile de nedivulgare, precum și instruirea și conștientizarea în domeniul securității informației.
A treia temă vizează controalele fizice. Aceasta cuprinde controale ce se referă la protejarea resurselor fizice atât în locațiile organizației, cât și în afara acestora, gestiunea mediilor de stocare amovibile, utilitățile, întreținerea echipamentelor și eliminarea lor în condiții de siguranță.
Ultima temă cuprinde controale tehnologice precum cele ce se referă la protecția securitatea rețelelor, împotriva programelor malițioase, managementul capacității, activitățile de jurnalizare și monitorizare, backup-ul, criptografia, dezvoltarea sistemelor sau managementul schimbării.
Pentru a se conforma cu ISO/IEC 27001, o organizație trebuie să respecte cerințele de sistem de management din cadrul standardului și să implementeze acele controale de securitatea informației ce îi sunt aplicabile. Acest lucru asigură o abordare sistematică și bazată pe risc în gestionarea securității informațiilor la toate nivelurile organizației.
O certificare conform ISO/IEC 27001 pentru Sistemlul de Management al Securității Informației (SMSI) se obține în urma parcurgerii cu succes a unui audit de certificare în două etape, realizat de auditori independenți și competenți. Acest audit evaluează dacă SMSI-ul organizației este implementat corespunzător și dacă este aliniat cerințelor standardului ISO/IEC 27001.
Certificarea este valabilă timp de trei ani, perioadă în care sunt realizate audituri de supraveghere anuale. Auditurile de supraveghere verifică dacă SMSI-ul continuă să funcționeze și să îndeplinească cerințele.
Neefectuarea auditurilor de supraveghere la termenele stabilite sau neînchiderea neconformităților majore identificate în cadrul unui audit de supraveghere poate conduce la suspendarea sau retragerea certificării.
La finalul ciclului de certificare de trei ani, organizația poate parcurge un audit de recertificare. Acest proces este oarecum similar cu certificarea inițială și are scopul de a confirma că sistemul de management certificat este în continuare eficace iar angajamentul organizației pentru securitatea informației este menținut.
Oferim servicii de certificare acreditată pentru Sisteme de Management al Securității Informației, în conformitate cu standardul ISO/IEC 27001:2022. Procesul nostru de certificare este conceput pentru a se adapta structurii, contextului operațional și cerințelor specifice ale organizației dumneavoastră.
RIGCERT este acreditat de ESYD – Organismul Național de Acreditare din Grecia – ceea ce garantează că certificatul dumneavoastră ISO/IEC 27001 este recunoscut de autorități, parteneri de afaceri și alte părți interesate la nivel național și internațional. ESYD este membru fondator al EA (European co-operation for Accreditation) și IAF (International Accreditation Forum), asigurând astfel recunoașterea globală a certificării dumneavoastră.
Colaborând cu RIGCERT, beneficiați de o echipă de specialiști care înțeleg riscurile legate de securitatea informației, cerințele legale și provocările specifice domeniului dumneavoastră. Ne angajăm să oferim servicii de certificare imparțiale, transparente și orientate către valoare reală pentru organizația dumneavoastră.
