Ştie auditorul altceva despre “planul de securitate” decît spune OMCTI de atîţia ani?

“DS5.2 IT Security Plan

Translate business, risk and compliance requirements into an overall IT security plan, taking into consideration the IT infrastructure
and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate
investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.” – n.b. acesta este un obiectiv!

Ne-am lămurit deci, că un “plan” este doar un plan, şi punerea în practică a prevederilor planului se face prin politici şi proceduri (din punct de vedere managerial) şi servicii, personal, software şi hardware (din punct de vedere tehnic).

Mai departe auditatul are la dispoziţie “Control practices” pentru DS5.2. adică analizează şi vede CE se potriveşte cu realitatea sa.

Auditorul ştie că trebuie să testeze acest control – test of design. COBIT îi vine în ajutor şi lui. E drept că în COBIT nu este prezentată “structura”  planului de securitate şi s-ar putea să aibă probleme…dar îi trece.

Şi dacă, din întîmplare COBIT nu îi place, ştie că ISO 27001 “acoperă” ce spune DS5.2 în următoarele clauze:

5.1.1 Information security policy document
5.1.2 Review of the information security policy
6.1.2 Information security co-ordination
6.1.5 Confidentiality agreements
8.2.2 Information security awareness, education and training
11.1.1 Access control policy
11.7.1 Mobile computing and communications
11.7.2 Teleworking

E drept, nici ISO 27001 nu ştie care e “structura” planului de securitate…Dar îi va trece şi de astă dată….