GDPR cu ajutorul ISO 27001

Organizațiilor care au implementat ISO 27001 ar trebui să le fie mai ușor să implementeze GDPR (RGPD). Politicile și procedurile (măsurile administrative conform RGDP) ar trebui revizuite și actualizate pentru a reflecta noile cerințe. Mai jos cîteva exemple de articole din Regulament și clauze ISO corespondente. Fiind exemple, nu este o listă completă :). (Nu…

Dacă am face audit pornind de la ISO 27001

Preambul – rule of law Asta cred că ne caracterizează: nerespectarea regulilor. Încă de mici, din timpul școlii, sîntem învățați (informal, firește) că succesul se obține prin încălcarea regulilor. Apoi, pe măsură ce creşti, descoperi că „succesul” oamenilor de succes a fost asigurat doar prin nerespectarea regulilor. Învățăm și să găsim justificări plauzibile. Cu ani…

Cerințele minime de securitate

Cred cu tărie că o lege precum cea a securității cibernetice trebuie chibzuită îndelung și nu ar trebui concepută în pripă. Implicațiile și efectele sînt prea importante. Să luăm ca exemplu cerințele minime de securitate propuse. Art. 12  din Propunerea de lege a securității cibernetice prevede că  (1) Pentru infrastructurile cibernetice de interes național, cerințele…

Intelegerea organizatiei si a contextului acesteia cu ajutorul COBIT 5 (for risk)

1. Cerințele ISO 27001:2013 4. Contextul organizatiei 4.1 Intelegerea organizatiei si a contextului acesteia Organizaţia trebuie să stabileasca aspectele externe si interne care sunt relevante pentru scopul sau si care influenteaza capacitatea acesteia de a obtine rezultatul(ele) scontat(e) de pe urma sistemului de management al securitatii informatiilor. NOTA              Determinarea acestor aspect se refera la stabilirea…

Cît poți fi de conform cu ISO 27001:2013 fără tehnologie?

Răspuns: doar din punct de vedere procedural! Altfel spus: poți fi conform doar cu acele controale care sînt strict de tip politică/procedură . Pentru restul este nevoie de tehnologie. Destul de multă! Cîteva exemple. Este nevoie de o soluție de tip „vulnerability management„? Este nevoie de o soluție de  tip „mobile protection/management„? Este nevoie de…