
Implementarea ISO 27001 are scopul de a ţine sub control riscurile la adresa securităţii informaţiei; consultanţa ISO 27001 se axează pe riscurile reale existente în organizaţie, referitoare la informaţiile gestionate de aceasta, respectiv la ţinerea lor sub un control adecvat.
Este evident faptul că orice organizaţie gestionează într-un fel sau altul o sumedenie de informaţii, iar acestea sunt expuse la diverse riscuri; spre exemplu, scurgerea acestora spre persoane neautorizate, nerespectarea legislaţiei şi a reglementărilor din domeniu, pierderea sau deteriorarea informaţiilor, vulnerabilităţile canalelor de comunicare, etc.
Să nu uităm de reglementările din domeniul GDPR. Legătura dintre acesta şi ISO 27001 este clară, din perspectiva securităţii datelor personale gestionate de fiecare organizaţie. În acest context, un sistem de management ISO 27001 devine un instrument foarte bun de respectare a cerinţelor de securitate pentru datele şi informaţiile care intră sub incidenţa GDPR.
Atenţie insă! GDPR are anumite cerinţe care nu se regăsesc în standardul ISO 27001 (eventual acestea pot fi identificate prin interpretări mai ample):
- consimţământul dat de cel care furnizează datele;
- numirea responsabilului cu protecţia datelor;
- drepturile persoanelor referitoare la datele furnizate, etc.
Categorii de informaţii
Acest standard poat fi aplicat pentru:
- proprietate intelectuală;
- date şi informaţii financiare;
- date ale angajaţilor;
- date puse la dispoziţie de terţe părţi (un exemplu tipic ar fi GDPR, dar pot fi incluse date şi informaţii primite sau obţinute de la furnizori, etc.).
Cui se adresează ISO 27001?

Dacă analizăm categoriile de informaţii ce pot intra sub incidenţa acestui standard se observă că standardul este aplicabil oricărei organizaţii, indiferent de natura activităţilor sale, fără a exista restricţii din punct de vedere al mărimii lor.
Cu alte cuvinte, orice organizaţie poate opta pentru implementarea şi certificarea unui sistem al managementului pentru securitatea informaţiei ISO 27001, atunci când trebuie să dovedească faptul că informaţiile gestionate de ea sunt ţinute sub control.
Cum ajută ISO 27001?
Implementând cerinţele standardului, organizaţiile sunt ajutate:
- să-şi definească politica referitoare la securitatea informaţiei;
- să evalueze riscurile şi vulnerabilităţile la adresa informaţiilor gestionate de ea;
- să stabilească măsuri adecvate de ţinere sub control a riscurilor şi vulnerabilităţilor considerate inacceptabile;
- să îmbunătăţească continuu sistemul de management pentru securitatea informaţiei.
Beneficii în urma implementării standardului
Un bun sistem de management al securităţii informaţiei ISO 27001 aduce o serie întreagă de beneficii, cum ar fi:
- conformarea la cerinţele legale şi de reglementare;
- evitarea amenzilor şi avertismentelor ce ţin de neîndeplinirea obligaţiilor privind protecţia datelor;
- creşterea credibilităţii în faţa clienţilor, terţilor şi instituţiilor abilitate prin lege în ceea ce priveşte protecţia datelor;
- reducerea auditurilor de secundă parte pe linia securităţii informaţiei;
- utilizarea eficace şi eficientă a tehnologiei IT, în raport cu securitatea informaţiei.
Etapele consultanţei
Consultanţa ISO 27001 include anumite etape generice, personalizate însă funcţie de necesităţi:
- evaluarea iniţială (discuţii directe cu conducerea de vârf şi alte funcţii de conducere, colectarea de informaţii prin chestionare, auditare, analiză de documente, observaţii directe, etc.);
- stabilirea planului de acţiuni;
- prezentarea şi definitivarea planului de acţiuni;
- evaluarea riscurilor şi vulnerabilităţilor aferente securităţii informaţiei;
- stabilirea necesităţii de acţiuni pentru riscurile considerate inacceptabile;
- implementarea acţiunilor stabilite;
- verificarea implementării acţiunilor;
- corecţii necesare, dacă este cazul;
- efectuare audit intern şi analiză a managementului;
- corecţii, dacă este cazul;
- asistenţă la certificare.
Integrarea altor sisteme de management
De foarte multe ori, ISO 27001 se implementează într-o manieră unitară cu alte sisteme de management, ca de exemplu ISO 9001 (cazul cel mai frecvent).
Consultanţa ISO 27001 oferită de noi are în vedere acest lucru, pentru a vă fi mai uşor să implementaţi standardul respectiv în viitor, în cazul în care nu doriţi implementarea simultană cu ISO 9001.
De asemenea, multe organizaţii îşi construiesc şi îşi implementează sisteme de management integrate, incluzând standardele ISO 14001 şi ISO 45001.
Unde pot găsi standardul ISO 27001?
Oficial, acest standard poate fi găsit şi achiziţionat de pe site-ul International Organization for Standardization (click aici). În România, achiziţia poate fi făcută de la ASRO (click aici).