Noul ISO/IEC 27001:2013

Astăzi a fost publicată noua versiune a standardului. Un preview aici.

Cu ce noutăţi vine? Destul de multe. Mă limitez doar la cîteva aspecte ce mi s-au părut mai importante, aşa după cum le-am reţinut şi nu în ordinea prezentării lor în standard.

  • Documentaţia SMSI:

When creating and updating documented information the organization shall ensure appropriate:
a)     identification and description (e.g. a title, date, author, or reference number);
b)    format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c)     review and approval for suitability and adequacy.

  • Nu am regăsit cerinţele legate de documentaţie ca în versiunea anterioară în schimb “documented  information” este o sintagmă ce apare pentru majoritatea cerinţelor. În versiunea anterioară, „documented” apărea doar în cazul a 6 clauze…..
  • Anexa A include 18 Obiective de control (faţă de 15 în versiunea anterioară).
  • Responsabilităţile trebuie explicit precizate. De exemplu:

Managers  shall  regularly  review  the  compliance  of  information processing and procedures within  their area  of  responsibility with the appropriate security policies, standards and any other security requirements

  • Cerinţele/obiectivele controlului ce vizează “Information security incident management”  sînt mai detaliate
  • Cerinţă explicită legată de “Information security in project management
  • Menţionează explicit că Statement of Applicability  este un rezultat al “information security risk treatment process”
  • “risk assessment” şi “treatment process” sînt preluate din ISO 31000.

––––––––––––––––––––––––––––––––––––––––––––––––––––

Cel puţin teoretic, ar trebui să se mai rărească “boutique”-urile şi “consultanţii” care vînd hîrtii pentru cîteva sute de euro. Tot teoretic ar trebui ca cei care aderă la acest standard să aibă un SMSI funcţional în producţie şi nu doar pe hîrtie. Dar cum doar lucrurile inimaginabile sunt imposibile, s-ar putea să mă înşel, chiar şi din punct de vedere teoretic🙂.

Implementarea practică va fi ceva mai dificilă şi mai costisitoare pentru doritori. COBIT 5 for Security şi COBIT for Risk sînt soluţii foarte bune pentru identificarea şi punerea în practică a proceselor.

Spor la muncă!

4 gânduri despre “Noul ISO/IEC 27001:2013

  1. Salut, Am un comentariu „arestat” de wordpress. Se pare că e o problemă cu adresa mea de mail. Reiau.

    Buticurile de consultanță și hârtiile de câteva sute de euro acoperă o cerință reală. Când unei firme de instalații electrice i se cere la o licitație să aibă ISO 27001 la cine să apeleze? La BSI? Să angajeze un CISA?

    Apreciază

    • Cristi,

      Strict economic, jocul cererii si ofertei, iti pot da dreptate.
      Cel care produce si vinde „hirtii” poate sa se numeasca oricum, numai „consultant” in domeniu sa nu isi spuna.
      Cel care face „audit” pe acele „hirtii” poate sa isi spuna oricum, dar auditor sa nu isi spuna. Pentru ca in final el este cel responsabil. Organismul de certificare: pentru 1000-2000 de euro oricine are 9001, 14001, 27001….O data pe an, cind vine „supravegherea” incepe iuresul: sa facem hirtii tovarasi. Avem nevoie de inregistrai.
      Inteleg foarte bine ce spui, dar avem un mare talent: minjim tot pe ce punem mina. Indiferent ca se numeste 27001, 20000, CISA, ITIL…..Totul a fost dus in derizoriu.
      In final nu e problema celor care vind si cumpara. Este problema celor care au incredere. Daca au….
      Nu imi pun mari sperante ca se vor schimba lucrurile. Multi din cei certificati pe versiunea 2005
      vor ajunge sa se recertifice pe versiunea actuala. Fara mari probleme. Garantat.

      – un foarte sincer multumesc pentru dialog. Regret ca ne „desparte” distanta si nu putem detalia cu o licoare in fata🙂

      (Stiu problema cu moderarea comentariilor…Dar nu am nici o rezolvare. Chiar nu inteleg cum se face ca de la aceeasi adresa unele trec si unele nu)

      Apreciază

  2. BTW, discutam recent cu un coleg din Croația, care mă felicita că România este pe locul 8 în lume la număr de firme certificate ISO 27001 și voia să mă convingă să multiplicăm businessul său din Croația în România😉

    Poate ajungi tu prin Capitală, că la mine slabe șanse să ajung la Iași. Cel mai aproape voi fi la… Tecuci😆

    Apreciază

    • Doar pe locul 8? Eram convins ca sintem pe podium :)….
      Eu nu am nimic cu businessul…Nu e prost cel care ofera🙂 Inteleg foarte bine si nu condamn deloc. Aici pe blog…discutam despre idealuri😛. (vezi prostia cu amendarea celor care nu au redus pretul la piine pe motiv de reducere TVA). Ce ma „roade” este superficialitatea si derizoriul, spoiala….de peste tot🙂. Cred insa ca este o evolutie fireasca…Peste vreo 2000 de ani este probabil sa fie altfel ……

      (nu mi-a trecut niciodata prin cap sa iti dau in semn cind ajung in B. cred ca este un semn de ramoleala…)

      Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s