Documentul prezintă importanța implementării sistemului de management al securității informației conform standardului ISO 27001, evidențiind avantajele precum păstrarea confidențialității și integrității informației. Lipsa acestui sistem poate duce la pierderi financiare și reputaționale semnificative, inclusiv divulgarea datelor confidențiale și întreruperi în activitate. De asemenea, sunt detaliate legile relevante privind protecția datelor personale și obiectivele sistemului de management al securității informației.

1. Securitatea Informației
ISO 27001
AVANTAJELE IMPLEMENTĂRII SISTEMULUI DE MANAGEMENT
AL SECURITĂțII INFORMAțIEI
în conformitate cu standardele:
ISO27001-Sisteme de Management al Securităţii Informaţiei
ISO27002-Tehnici de Securitate. Cod de Bună Practică Pentru Managementul Securităţii Informaţiei

2. Amenințările și Costurile posibile ale lipsei implementării
eficace a Sistemului de Management al Securității Informației
 Divulgarea informației confidențiale.
 Întreruperi în activitate: nefuncționarea rețelei de calculatoare și imposibilitatea
accesării serverelor și aplicațiilor. Informatizarea tot mai mare a sistemelor
informaționale duce la imposibilitatea desfășurării activităților în timpul
indisponibilității sistemului IT.
 Pierderea încrederii clienților și partenerilor: practica demonstrează că organizațiile
atacate de hackeri au pierdut reputația și încrederea și să o recapete le-a fost foarte
greu, sau chiar imposibil.
Clienții, asiguratorii și partenerii vor evita să colaboreze cu o organizație care nu
este în stare să protejeze adecvat informațiile. Directiva 2002/58/EC a
Parlamentului European privind procesarea datelor personale, interzice
comunicarea informațiilor personale unei organizații care nu poate asigura
confidențialitatea acestora.
 Costuri Financiare: Legislația în vigoare prevede răspunderea juridică și financiară
pentru pierderea confidențialității datelor clienților.
© www.iso27001consulting.ro

3. Avantajele Implementării Sistemului de
Management al Securității Informației
 Păstrarea confidenţialităţii, integrităţii şi a disponibilităţii informaţiei;
 Îmbunătățirea reputației și încrederii în organizație;
 Asigurarea conformității legale și reducerea riscului penalizărilor;
 Scăderea costurilor IT;
 Asigurarea instruirii continue a angajaților în materie de păstrare a confidențialității
informației;
 Posibilitatea oferirii unor servicii de calitate în timp optim;
 Oferă managerilor un control mai bun asupra fluxurilor de informații din organizație;
 Sunt identificate și ținute sub control riscurile care pot afecta activitatea organizației;
 Oferă posibilitatea comparării performanței sistemului IT în raport cu media din industrie;
© www.iso27001consulting.ro

4. Ce efecte a avut pierderea confidențialității
datelor în 2010?
 În 2010 costul mediu al pierderii unei înregistrări a ajuns la 204$, ceea ce înseamnă că pentru 1000 de
înregistrări divulgate costul se poate ridica la 204000$.
(conform Ponemon Institute's annual study 2010 ).
 În 2010
 96% din compromiteri puteau fi evitate prin controale simple de securitate;
 94% din pierderile de confidențialitate ale datelor au fost cauzate de acțiuni ale propriilor
angajați;
 61% din cazuri au fost descoperite de părți terțe;
 27% din cazuri au implicat mai multe părți, iar 11% din cazuri au implicat parteneri de
afaceri;
 Au fost făcute publice la nivel internațional 494 cazuri de pierderi a confidențialității
informației - de două ori mai multe față de 2009, fiind divulgate 14 milioane înregistrări;
(conform http://www.privacyrights.org/data-breach/new și
VERIZON 2010 DATA BREACH INVESTIGATIONS REPORT )
© www.iso27001consulting.ro

5. Securitatea Informației
 Implementarea Sistemului de Management al Securității
Informației în conformitate cu ISO27001-SMSI vă ajută să
păstrați informațiile organizației în condiții de siguranță
și securitate.
 Este responsabilitatea fiecărei organizații să prevină, să
identifice și să trateze riscurile de securitate care pot avea
impact negativ asupra confidențialității, integrității și
disponibilității informației pacienților.
Având în vedere că, legislația și standardele care prevăd
dreptul oamenilor la confidențialitatea datelor, se
dezvoltă și se multiplică (de ex: Directiva 95/46/EC, Directiva 2002/58/EC),
riscurile devin tot mai mari.
© www.iso27001consulting.ro

6. Legislație care obligă protecția datelor cu caracter
personal
A. Legislație comunitară
 Directiva 95/46/EC a Parlamentului și a Consiliului European din 24.10.1995 cu privire la
protecția persoanelor referitoare la procesarea datelor personale și la libera circulație a acestor
date (OJL 281, 23.11.1995, p.31);
 Directiva 2002/58/EC a Parlamentului European și a Consiliului din 12.07.2002 privind
procesarea datelor personale și protecția intimității în sectorul comunicațiilor electronice;
B. Legislație internă
 Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter
personal și libera circulație a acestor date;
 Legea nr. 682/2001 privind ratificarea de către România a Convenției pentru protejarea
persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la
Strasbourg la 28 ianuarie 1981;
 Legea nr. 102/2005 privind înființarea Autorității Naționale de Supraveghere a Prelucrării
Datelor cu Caracter Personal.
© www.iso27001consulting.ro

7. Obiectivele Sistemului de Management al Securității
Informației
Disponibilitate Confidențialitate
Informaţiile pot exista
sub diferite forme. Ele pot
fi tipărite sau scrise pe
SECURITATEA
hârtie, stocate electronic, Informației
transmise prin poştă sau
prin echipamente
electronice, prezentate pe
filme sau comunicate în
cadrul unor conversaţii.
Orice formă ar avea
informaţiile sau orice
metode de stocare ar fi
folosite, ele trebuie să fie Integritate
întotdeauna protejate
corespunzător.
© www.iso27001consulting.ro

8. Obiectivele Sistemului de Management al Securității
Informației
 Confidenţialitate
proprietatea ca informaţia să nu fie făcută disponibilă
sau divulgată persoanelor, entităţilor sau proceselor fără
autorizare.
 Integritate
proprietatea de a păstra acurateţea conținutului
informației, iar modificarea acesteia să fie posibilă doar
în circumstanțe autorizate.
 Disponibilitate
proprietatea de a fi accesibil şi utilizabil la cerere de către
o entitate autorizată la momentul și locul potrivit.
© www.iso27001consulting.ro

9. ISO 27002 - Cod de bună practică pentru
managementul securităţii informaţiei
Ce reprezintă?
 Acest standard internaţional stabileşte liniile directoare
pentru iniţierea, implementarea, menţinerea şi
îmbunătăţirea managementului securităţii informaţiei
într-o organizaţie.
 Obiectivele evidenţiate în acest standard internaţional
oferă îndrumări privitoare la ţintele general acceptate ale
managementului securităţii informaţiei.
 ISO27002 conține îndrumări referitoare la
implementarea celor 11 domenii de control şi 133
măsuri de securitate din ISO27001.
© www.iso27001consulting.ro

10. ISO 27001 - Sisteme de management al
securităţii informaţiei. Cerinţe
Ce reprezintă?
 ISO27001 este standardul de certificare pentru SMSI.
 Standardul ISO27001 stabilește cerințele și criteriile
pentru implementarea, operarea, monitorizarea, revizia,
mentenanța și îmbunătățirea sistemului de management
al securității informațiilor în contextul riscurilor de
ansamblu la care este supusă organizația.
De asemenea, sistemul de management al securității
informațiilor oferă managerilor un control mai bun
asupra fluxurilor de informații din organizație și reduce
costurile aferente managementului riscului.
© www.iso27001consulting.ro

11. 11 Domenii de control ale ISO27001
A.15 Conformitate
A.5 POLITICA DE
SECURITATE
A.6 ORGANIZAREA
A.14 Managementul
SECURITATII
continuitatii afacerii
INFORMATIEI
A.13 Managementul A.7 MANAGEMENTUL
incidentelor de securitate RESURSELOR
a informatiei (BUNURILOR)
A.12
Achizitia, dezvoltarea si A.8 SECURITATEA
mentenanta sistemelor RESURSELOR UMANE
informatice
A. 9 SECURITATEA
A.10 Managementul FIZICA SI A MEDIULUI
A.11 Controlul accesului comunicatiilor si
operatiilor
© www.iso27001consulting.ro

12. Contact
 Pentru informații suplimentare referitoare la implementarea și certificarea
SMSI contactați-ne la:
www.iso27001consulting.ro
Vă asigurăm:
 Implementarea controalelor de securitate în conformitate cu ISO27001;
 Raport centralizat de analiza SWOT din perspectiva securității informației
asupra practicilor din organizație;
 Teste de penetrare a sistemului informatic al organizației și plan de măsuri
de remediere și îmbunătățire;
 Recomandări privind achiziția de echipamente și software pentru
îmbunătățirea sistemului IT&C;
 Backup automatizat al informației din organizație și implementarea
practicilor de continuitate a afacerii.
© www.iso27001consulting.ro