Ce este ISO/IEC 27001?
ISO/IEC 27001 este principalul standard internațional pentru sistemele de management al securității informației (ISMS), publicat de Organizația Internațională de Standardizare (ISO). Revizia din 2022 (ISO 27001:2022) a introdus un set revizuit de controale din Anexa A, aliniat cu ISO 27002:2022, reducând de la 114 la 93 de controale în 4 categorii tematice.
Certificarea demonstrează că o organizație și-a evaluat riscurile de securitate a informațiilor și a implementat controale adecvate în cadrul unui sistem de management sistematic — supus unui audit independent de terță parte.
Cine are nevoie de ISO 27001?
- Companii de tehnologie și SaaS cu clienți B2B de tip enterprise
- Organizații din servicii financiare, sectorul bancar și procesarea plăților
- Companii din domeniul sănătății și MedTech care gestionează date ale pacienților
- Contractori guvernamentali și din sectorul public
- Centre de date, furnizori de servicii cloud și furnizori de servicii gestionate
- Orice organizație care răspunde la chestionare de securitate ale clienților sau organismelor de achiziții
ISO 27001:2022 — Modificări cheie față de 2013
Organizațiile certificate conform ISO 27001:2013 sunt obligate să facă tranziția la versiunea 2022. Modificările cheie includ:
- Anexa A restructurată în 4 categorii tematice: Organizaționale, Personal, Fizice, Tehnologice
- 11 controale noi adăugate, inclusiv informații despre amenințări, securitate cloud și mascarea datelor
- Număr total de controale redus de la 114 la 93 (unele au fost comasate)
- Aliniere sporită cu alte standarde ISO de sisteme de management (Structura de Nivel Înalt)
Domeniul de aplicare al certificării ISO 27001
Definirea domeniului de aplicare este un pas esențial în procesul de certificare. Domeniul determină ce active informaționale, procese, locații și unități organizaționale se încadrează în perimetrul ISMS. Faza de analiză de decalaj a BALTUM include ghidare detaliată pentru definirea domeniului, pentru a asigura că acesta este atât relevant pentru părțile interesate, cât și realizabil în termenul stabilit.
Abordarea BALTUM: Etapă cu etapă
- Etapa 1 — Analiză de decalaj și definirea domeniului: Evaluarea stării actuale în raport cu cerințele ISO 27001:2022. Registru de decalaje. Document de domeniu. Plan de proiect.
- Etapa 2 — Documentația ISMS: Politica de securitate a informațiilor, metodologia de evaluare și tratare a riscurilor, Declarația de aplicabilitate, proceduri și documentația controalelor.
- Etapa 3 — Suport pentru implementare: Ghidare pentru implementarea controalelor, audit intern și facilitarea analizei de management.
- Etapa 4 — Auditul de certificare: Analiza documentară de Etapa 1 și auditul de Etapa 2 la sediu/de la distanță, efectuat de un organism de certificare acreditat.
- Etapa 5 — Supraveghere: Audituri anuale de supraveghere și planificarea recertificării trienale.
Calendar tipic
Pentru o organizație de dimensiune medie (50–500 angajați) care urmărește prima certificare: 3–6 luni de la demarare până la emiterea certificatului. Termenele depind de dimensiunea organizației, maturitatea actuală și disponibilitatea resurselor interne. BALTUM furnizează un plan de proiect bazat pe etape de referință la începutul fiecărui angajament.
Integrarea cu alte standarde
ISO 27001 este frecvent implementat alături de standarde complementare. BALTUM oferă programe integrate care partajează documentația, controalele și activitățile de audit:
- ISO 27001 + ISO 27701 (Managementul Informațiilor de Confidențialitate)
- ISO 27001 + ISO 22301 (Continuitatea Afacerii)
- ISO 27001 + ISO 42001 (Sistemul de Management al IA)
- ISO 27001 + SOC 2 (cadru unificat de dovezi)
- ISO 27001 + PCI DSS (sectorul financiar)