ISO 27001:2013 – Clauza 4 şi COBIT 5 for Information security

Am arătat că atunci cînd se doreşte implementarea unui sistem pentru managementul securităţii informaţiilor, noua versiunea ISO 27001 obligă la contextualizare: internă şi externă. Pentru toate aspectele menţionate în ISO 31000 cu privire la contextul intern ne vine în ajutor COBIT 5 for information security. Ar trebuie identificate procesele COBIT 5 care acoperă cerinţele din…

Noul ISO/IEC 27001:2013

Astăzi a fost publicată noua versiune a standardului. Un preview aici. Cu ce noutăţi vine? Destul de multe. Mă limitez doar la cîteva aspecte ce mi s-au părut mai importante, aşa după cum le-am reţinut şi nu în ordinea prezentării lor în standard. Documentaţia SMSI: When creating and updating documented information the organization shall ensure…

Şansa şi probabilităţile personale în managementul riscurilor

Un fenomen este aleatoriu dacă rezultatele individuale sunt incerte, dar există totuși o distribuţie regulată a rezultatelor într-un număr mare de repetiții. Argumentez încă o dată de ce se folosesc incorect probabilităţile în modelele/exemplele din zona securităţii informaţiilor. Şcolăreşte spus, probabilitatea oricărui rezultat al unui fenomen aleator este un număr între 0 și 1, număr…

Auditul de securitate şi conformitatea juridică – un exemplu

Cu două posturi mai în urmă aduceam în discuţie exprimările incoerente din solicitările de servicii de audit. Cauza cred că o reprezintă necunoaşterea şi neînţelegerea. După un schimb de mailuri cu Bogdan Manolea pe marginea subiectului (indiferent cît de „dereglementată” este activitatea CISA în România, există responsabilităţi via Codul Civil….) scriu rîndurile ce urmează. “Sistemul…