ISO 27001:2013 – Clauza 4: Context of the organization

Spuneam mai deunăzi că lucrurile se schimbă odată cu această nouă versiune a standardului ISO 27001. Devin mai frumoase. Este nevoie de mai mult efort.

Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard . (pg. 7)

Clauza1 4 se intitulează Context of the organization şi include:

  • 4.1 Understanding the organization and its context
  • 4.2 Understanding the needs and expectations of interested parties
  • 4.3 Determining the scope of the information security management system
  • 4.4 Information security management system

La 4.1 avem o Notă:

Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009

Standardul referenţiat aici, ISO 31000:2009 Risk management —  Principles and guidelines. Clauza 5 a acestui standard se referă la PROCESUL de management al riscurilor iar 5.3 este chiar primul bloc de activităţi din cadrul procesului RM: Establishing the context.

Prin urmare. așa cum este firesc, nu plecăm la drum cu securitatea informațiilor din neant. De nicăieri. Trebuie să contextualizăm. Nu oricum ci așa cum este prezentat în ISO 31000:

  • contextul extern

the social and cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local;

key drivers and trends having impact on the objectives of the organization;

and relationships with, perceptions and values of external stakeholders

  • contextul intern

governance, organizational structure, roles and accountabilities;

policies, objectives, and the strategies that are in place to achieve them;

capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies);

the relationships with and perceptions and values of internal stakeholders;

the organization’s culture;

information systems, information flows and decision making processes (both formal and informal); standards, guidelines and models adopted by the organization; and

form and extent of contractual relationships

Tot aici se aduc în discuţie criteriile în baza cărora este stabilită importanţa riscurilor!

Oare cînd vor fi disponibile “template”-uri pentru aşa ceva?????

–––––––––––––––––––––––––––––––––––––––––––––––––––

1. Termenul “Clause” poate fi interpretat greşit. În 27001 se referă la articolele standardului pe cînd în 27002 se referă la controalele şi obiectivele din Anexa.

2 gânduri despre “ISO 27001:2013 – Clauza 4: Context of the organization

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s