1. Preambul – rule of law

Asta cred că ne caracterizează: nerespectarea regulilor. Încă de mici, din timpul școlii, sîntem învățați (informal, firește) că succesul se obține prin încălcarea regulilor. Apoi, pe măsură ce creşti, descoperi că „succesul” oamenilor de succes a fost asigurat doar prin nerespectarea regulilor. Învățăm și să găsim justificări plauzibile.

Cu ani în urmă, eram surprins că în timpul auditurilor de certificare ISO27001 auditorii organismului de certificare revizuiau doar…..hîrtii. Tehnic…nimic. Dehhh…profesor   care nu înțelege „bisnisu„.

Astfel am ajuns în situația în care, numai cine nu vrea nu are „implementat un sistem de management„. Nu contează de care: calitate, mediu, securitatea informațiilor….certificare să fie pentru că este….. cerință în caietul de sarcini. Diferențiator 🙂

Și cam atît. Business as usual, am putea spune. Cerere și ofertă. De acord, cu o mențiune: s-a trișat! Așa cum se trișează în majoritatea domeniilor. Nu scriu nimc nou, se știu prea bine toate astea…

2. ISO 27001 ca referențial

Nu sînt auditor pe acest standard. Chiar și așa, auditul nu diferă. Metodele de revizie sînt aceleași:

• Examinare
• Interviu
• Testare

• testing access control, identification, authentication and review mechanisms,
• testing security configuration settings,
• testing physical access control devices,
• conducting penetration testing of key information system components,
• testing information system backup operations,
• testing incident response capability,
• exercising contingency planning capability,
• testing the response of security systems capable of detecting, alerting and responding to intrusions,
• testing encryption and hashing mechanism algorithms,
• testing id user and privilege management mechanisms,
• testing authorization mechanisms,
• verifying the cascade resilience of security measures

Întrebări retorice: care ar fi costurile reale cu implementarea SMSI? Cît ar trebui să coste un audit de conformitate?

Pentru detalii: ISO 27008:2011