Spuneam mai deunăzi că lucrurile se schimbă odată cu această nouă versiune a standardului ISO 27001. Devin mai frumoase. Este nevoie de mai mult efort.
Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard . (pg. 7)
Clauza1 4 se intitulează Context of the organization şi include:
- 4.1 Understanding the organization and its context
- 4.2 Understanding the needs and expectations of interested parties
- 4.3 Determining the scope of the information security management system
- 4.4 Information security management system
La 4.1 avem o Notă:
Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009
Standardul referenţiat aici, ISO 31000:2009 Risk management — Principles and guidelines. Clauza 5 a acestui standard se referă la PROCESUL de management al riscurilor iar 5.3 este chiar primul bloc de activităţi din cadrul procesului RM: Establishing the context.
Prin urmare. așa cum este firesc, nu plecăm la drum cu securitatea informațiilor din neant. De nicăieri. Trebuie să contextualizăm. Nu oricum ci așa cum este prezentat în ISO 31000:
- contextul extern
the social and cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local;
key drivers and trends having impact on the objectives of the organization;
and relationships with, perceptions and values of external stakeholders
- contextul intern
governance, organizational structure, roles and accountabilities;
policies, objectives, and the strategies that are in place to achieve them;
capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies);
the relationships with and perceptions and values of internal stakeholders;
the organization’s culture;
information systems, information flows and decision making processes (both formal and informal); standards, guidelines and models adopted by the organization; and
form and extent of contractual relationships
Tot aici se aduc în discuţie criteriile în baza cărora este stabilită importanţa riscurilor!
Oare cînd vor fi disponibile “template”-uri pentru aşa ceva?????
–––––––––––––––––––––––––––––––––––––––––––––––––––
1. Termenul “Clause” poate fi interpretat greşit. În 27001 se referă la articolele standardului pe cînd în 27002 se referă la controalele şi obiectivele din Anexa.
[Shameless selfpromotion]
Cred că până în ianuarie sunt gata cu ele 😉
[/Shameless selfpromotion]
ApreciazăApreciază
Hmmmmm…nu cred….vine Craciunul, Anul nou, tiparnita din USA…mai pune 2-3 luni 😉
ApreciazăApreciază