La  implementări de ISO 27001 livrez clienţilor un document numit “Manual de securitate”, distinct de politici, proceduri, plan de evaluare şi plan de tratare a riscurilor, asset inventory etc…..Am fost întrebat de ce este nevoie de un astfel de document?

Un prim răspuns ar fi pentru că vrem cu adevărat să beneficiem de valoarea standardului şi nu interesează doar “hîrtiile” cumpărate de la o cooperativă de la colţul străzii….

La capitolul privind documentaţia SMSI, standardul amintit are o cerinţă clară în clauza 4.3 Documentation Requirements,  cu de acum celebrul “shall”:

“a) documented statements of the ISMS policy

b) the scope of the ISMS

c) procedure and controls in support of the ISMS

d) a description of the risk assessment methodology

e) the risk assessment report

f) the risk treatment plan

g) documented procedure needed by the organization to ensure (……)

h) record required by this International Standard

i) the Statement of Applicability”

Dar ISO 27001 şi cerinţele sale de implementare nu trebuie nici citite, nici înţelese, de sine stătător. Organismele de certificare au propriile standarde după care lucrează, cum ar fi de exemplu ISO/IEC 17021:2006 “Conformity assessment – Requirements for bodies providing audit and certification of management systems”. Mai sînt şi altele şi, pentru a clarifica “oferta” din piaţa autohtonă, le voi aminti, cu denumirea lor corectă:

ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information security management system implementation guidance
ISO/IEC 27004:2009 Information technology – Security techniques – Information security management – Measurement
ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27008 Guidance for auditors on ISMS controls

Pînă pe la clauza 8 a standardului ISO 27001, majoritatea controalelor sînt de tip “organizaţional”. De aici încolo apar însă şi controale “tehnice”. Ca în orice audit, şi în cazul certificării ISO 27001 auditorul trebuie să testeze controalele declarate ca fiind aplicabile prin SoA şi rezultate în urma risk assessment. De cele mai multe ori controalele “organizaţionale” se testează vizual, în timp ce controale tehnice se testează…..tehnic.

Manualul de care am fost întrebat ajută compania în cazul în care are mai multe puncte de lucru/sedii, apropiate ca funcţionalitate, dar SMSI va fi centralizat. Şi pentru că este cerut (sau ar trebui….) şi de organismele de certificare, conform ISO 27006. Implementarea SMSI porneşte de la risk assessment, evaluare ce se poate face: la nivelul întregii companii; la nivelul unei unităţi funcţionale; la nivelul sistemului informaţional sau a unei componente a acestuia sau chiar la nivelul unui serviciu.

Mai spun doar că documentaţia poate fi “any form, any support”. Iar ISO 27001 NU “garanteaza securitatea informatiilor societatii certificate, dar si a informatiilor clientilor si partenerilor de afaceri;” după cum spun unii sau alţii prin oferte! Este un standard pentru SISTEME DE MANAGEMENT!

Am I right, Coco?