COBIT 5 for Information Security şi Planul de securitate

Cu ceva timp în urmă scriam despre modul în care este greşit definit „planul de securitate” în OMCSI 389/2007:

„Art. 5 d) planul de securitate al sistemului informatic, semnat de cãtre emitent, cuprinzând totalitatea mãsurilor tehnice şi organizatorice prevãzute pentru asigurarea cerinţelor cuprinse la art. 3;

Cârcoteala mea avea la bază folosirea cuvântului „măsuri” care este sinonim pentru „controale” (vezi ISO 27001).

De curând ISACA a dat publicităţii un nou material: COBIT 5 for Information Security (IS) (Un Preview – costă şi pentru membri….). Din punctul meu de vedere, documentul este foarte clar şi bine structurat, clarificând în acelaşi timp tot ceea ce implică guvernarea şi managementul securităţii informaţiilor. Este mai mult decât util pentru cei care doresc să implementeze ISO 27001/27002 (Anexa H)

Am spus că este foarte bine structurat pentru că porneşte top down şi oferă clarificări pentru ceea ce înseamnă şi implică: strategie, buget, plan de securitate, politici şi proceduri, conştientizare, revizie.

Cum „security as a service” nu mai este un concept nou (am ajuns déjà la „everything as a service”), în Anexa F sunt prezentate exemple de servicii de securitate care ar putea fi incluse în…..”service catalogue”, detaliind „capabilităţi”, „calitate” şi „indicatori/metrici” de evaluare.

Anexa G se ocupă de componenta umană: pentru fiecare dintre abilităţile şi competenţele enunţate fiind prezentate atributele de bază: experienţă, educaţie, calificări, cunoştinţe, abilităţi tehnice şi comportamentale, structura organizatorică….

Să revin însă la semnificaţia şi conţinutul „planului de securitate”.

Conform COBIT 5 IS:

  • The information security plan should be accurate, comprehensive and complete, and contain correct and realistic actions based on the information security strategy.
  • The information security plan is based on an information security strategy, which includes a sound risk analysis/ management plan, and addresses all information risk that exceeds the risk appetite. It also covers all risk response types (avoid, mitigate, transfer, accept), particularly addressing risk mitigation and risk transfer (insurance).

The information security plan defines all required investments to execute the information security strategy and architecture. The information security plan is defined in terms of all enablers:

• Processes that need to be defined, implemented or strengthened

• Organisational structures that need to be set up or strengthened

• Information flows related to information security management that need to be implemented

• Policies and procedures that need to be defined and put in practice

• Information security culture that needs to be adjusted or maintained

• Skills and behaviours that need to be built up or changed

• Capabilities that need to be acquired, for example, technology for information security, information security-specific applications and services

(COBIT 5 for Information Security, pg. 183)

Poate la o următoare revizie a acestui Ordin se va încerca a se pune în acord exprimările şi termenii cu ceea ce ar trebui să fie…..

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s