ISO 27001:2022
Standardul pentru securitatea informației
Toată lumea caută soluții pentru a implementa și a respecta cerințele standardelor cât mai rapid și cât mai ușor posibil. Din păcate, nu există o variantă simplă, dar există pași și dacă îi urmați, implementarea va fi mai ușor de abordat.
ISO 27001
Standardul pentru securitatea informației
Toată lumea caută soluții pentru a implementa și a respecta cerințele standardelor cât mai rapid și cât mai ușor posibil. Din păcate, nu există o variantă simplă, dar există pași și dacă îi urmați, implementarea va fi mai ușor de abordat.
Noul standard ISO 27001:2022
În februarie 2022, a fost actualizat ISO 27001:2022 – standardul care oferă cele mai bune practici de control pe care organizațiile le pot implementa pentru a îmbunătăți securitatea. Ca urmare, o nouă versiune a ISO 27001 – standardul internațional care subliniază cerințele unui sistem de management al securității informațiilor (ISMS) – a fost publicată pe 25 octombrie 2022.
Noua versiune a standardului prezintă controalele subliniate de ISO 27002:2022, iar organizațiile vor trebui să-și revizuiască evaluarea riscurilor pentru a determina dacă trebuie implementate actualizări.
Vă prezentăm pașii cheie de urmat pentru a trece cu succes la noul standard ISO 27001:2022:
- Stabiliți personalul ce urmează să fie instruit;
- Analiză GAP;
- Actualizare analiză de risc și plan de tratare a riscurilor;
- Actualizare declarație de aplicabilitate;
- Audit intern;
- Planificarea auditului pentru tranziție împreună cu organismul de certificare;
- Finalizarea auditului și închiderea eventualelor neconformități scrise în raportul de audit;
- Pune accent pe îmbunătățirea continuă;
Cum te putem ajuta noi?
Experiența noastră, ne permite să vă oferim informații personalizate asupra amenințărilor unice cu care se confruntă afacerea dumneavoastră. Colaborarea cu noi vă ține cu un pas înaintea riscului cibernetic.
Împreună vom identifica amenințările specifice cu care vă confruntați și vom construi strategii pentru a le atenua. Vom colabora pentru a vă certifica sistemele, a identifica vulnerabilitățile și a ajuta la prevenirea atacurilor și incidentelor care ar putea afecta compania dumneavoastră.
Contactați-ne acum pentru a vă transmite o ofertă personalizată!
Modificări ale sistemului de management:
Partea principală a standardului a suferit schimbări minore și nici o cerință importantă din ISO 27001:2013 nu a fost ștearsă.
În Anexa A, au apărut 11 controale noi, unele controale au fost îmbinate, un control a fost împărțit, a fost schimbată denumirea unor controale, iar 35 dintre ele nu au suferit modificări.
Perioada de tranziție este de 3 ani, însemnând că tranziția trebuie finalizată până la 31.10.2025. Începând cu 31.10.2023, auditurile de certificările inițială vor fi efectuate exclusiv cerințele ISO 27001:2022. Pentru companiile deja certificate ISO 27001, tranziția trebuie efectuată până la 31.10.2025.
ISO 27001:2013 vs. ISO 27001:2022 -Schimbari principale
O nouă versiune a ISO 27001 – standardul internațional care subliniază cerințele unui sistem de management al securității informațiilor (ISMS) – a fost publicată pe 25 octombrie 2022.
Noua versiune a standardului prezintă controalele subliniate de ISO 27002:2022, iar organizațiile vor trebui să-și revizuiască evaluarea riscurilor pentru a determina dacă trebuie implementate actualizări.
Vă prezentăm modificările principale aduse de standardul ISO 27001:2022.
- Clauzele de la 4 la 10, sa schimbat doar puțin;
- Modificări moderate în controalele de securitate din anexa A;
- Numărul controalelor a scăzut de la 114 la 93;
- Cele 93 de controale sunt grupate în 4 secțiuni, în loc de 14;
- Au apărut 11 controale noi, în timp ce niciunul dintre controalele din standardul vechi nu a fost șters și multe dintre ele au fost combinate.
Vrei să verifici care este nivelul de securitate informatică din cadrul firmei tale sau vrei să începi de la zero cu respectarea cerințelor din standardul ISO 27001? Iată pașii de urmat:
Faza 1
Semnăm contractul de consultanță și ne punem de acord cu toate condițiile;
Analiza inițială – etapă esențială pentru o mai buna planificare a implementării și va fi structurată pe două direcții:
- analiza organizațională și a măsurilor de management,
- analiza tehnică;
Un inventar general al proceselor, resurselor, amenințărilor și vulnerabilităților.
Definim domeniul de aplicare pentru noul sistem de management al securității informației;
Instruire pe aspectele SMSI: clarificarea conceptelor de bază.
Stabilim ce informații intenționați să protejați. Toate informații, indiferent că sunt stocate la sediul tău sau în cloud, ce sunt accesate local sau de la distanță, trebuie protejate.
Elaborăm politica de securitate a informației.
Este cel mai important document al sistemului de management al securității informațiilor.
Acest document trebuie să conțină obiective și angajamentul managementului că va îndeplini cerințele părților interesate și că sistemul de management se va îmbunătăți continuu. Politica de securitate a informției trebuie să fie revizuită periodic și comunicată tuturor părților interesate din companie și nu numai.
Faza 2
Analiza riscurilor fizice și informaționale:
Pentru a facilita evaluarea riscurilor, vom folosi foi de calcul, cu amenințări și vulnerabilități afișate pe coloane; vom include, de asemenea, alte informații, cum ar fi identificarea riscului, proprietarii riscului, impactul și probabilitatea etc..
Elaborarea si implementarea procedurilor/implementarea masurilor tehnice de securitate;
Consultanții noștri vor întocmi procedurile SMSI specifice pe departamente și se vor implementa măsurile tehnice de securitate.
Urmează partea cea mai dificilă a proiectului: implementarea cerințelor ISO 27001:2022, care presupune schimbarea anumitor comportamente sau obiceiuri din sistemul de management actual. Nu-ți fă griji, avem suficientă experiență în proiecte similare, astfel încât să putem reuși împreună în această etapă.
Plan de continuitate a afacerii:
BCP(Business continuity plan) ajută și ghidează organizațiile să răspundă, să recupereze, să reia și să restabilească la un nivel de operare predefinit, în situația unei întreruperi neprevăzute în activitatea normală.
Faza 3
Auditul intern și simulări de incidente:
La finalizarea proiectului vom efectua un audit intern și simulări de incidente. Putem spune că aceasta este o repetiție pentru auditul de certificare. În urma auditului vom genera un raport de audit și vom efectua acțiuni corective și preventive.
Analiza efectuată de management:
Conducerea trebuie să fie conștientă de implicațiile noului sistem de management al securității informației și dacă acesta poate aduce rezultatele așteptate. În urma acestei analize, conducerea va lua decizii importante cu privire la companie.
Planificarea auditului de certificare și susținerea acestuia:
Alegerea unui organism de certificare în funcție de nevoile firmei tale, de cerințele clienților tăi, de buget și de ce nu, de preferințe. Pe perioada auditului de certificare, consultanții SMS Business Center vor fi alături de tine, pentru a răspunde provocărilor și cerințelor din auditul extern.
NOTIFICARE DE INFORMARE PENTRU PROTECȚIA DATELOR PERSONALE
Conform cerințelor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare si Legea nr. 506/2004 pentru prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, S.C SMS Business Center S.R.L., detinatorul acestui site, va administra in conditii de siguranta si numai pentru scopurile specificate, datele personale despre dumneavoastra pe care le furnizati. pentru noi. Vă informăm că datele personale pe care ni le furnizați sunt prelucrate în scopul de a oferi în condiții optime serviciul web disponibil pe acest site. Potrivit Legii nr. 677/2001, beneficiati de dreptul de acces, de interventie asupra datelor, dreptul de a nu fi supus unei decizii individuale si dreptul de a va adresa instantei de judecata. De asemenea, aveți dreptul de a vă opune prelucrării datelor cu caracter personal care vă privesc și de a solicita ștergerea datelor dumneavoastră cu caracter personal.