Certificarea si implementarea unui SMSI reprezinta o decizie strategica pentru orice tip de organizatie deoarece acesta garanteaza securitatea informatiilor ale societatii certificate si a informatiilor partenerilor de afaceri si a clientilor.

Acest sistem ofera recomandari pentru pastrarea sub control al tuturor riscurilor informationale, aducand o clarificare asupra tuturor tipurilor de amenintari si ofera directii de tratare ale metodelor de protectie pentru asigurarea supravietuirii companiei, minimizarea daunelor financiare si apoi mixamizarea perspectivelor organizatiei dar si a intregului profit.

In ziua de astazi, avand in vedere faptul ca majoritatea datelor sunt tinute intr-un suport informatic, trebuie sa acordam o atentie deosebita protectiei sistemelor informatice.

Securitatea informatiei ar trebui sa aiba o legatura stransa cu toate aspectele care tin de protejarea datelor (suport magnetic, optic, hartie, etc.).

Ce este insa un Sistem de Management al Securitatii Informatiei, pe scurt, SMSI?

SMSI reprezinta un sistem de management care se bazeaza pe abordarea riscurilor la care o organizatie ar putea fi expusa, avand scopul de a implementa, opera, stabili, mentine si imbunatati intreaga securitate a informatiei. Certificarea unui SMSI este realizata in baza referentialului ISO 27001 (fost BS 7799-2) care este folosit pentru verificarea celor 133 de masuri se securitate in ISO 27002 (fost ISO 17799).

Care este istoricul acestor standarde?

Primul standard pentru certificarea SMSI a fost un standardul britanic: BS 7799. Acesta a avut 2 parti:

Partea I: BS 7799-1 , era un Cod de Practica, care a devenit mai tarziu ISO/IEC 17799. In prezent acest ultim standard a fost inlocuit de ISO/IEC 27002.

Partea a II-a : BS 7799-2. Acesta a fost primul standard dupa care se putea efectua certificarea unei organizatii. Pe acestui referential, s-a elaborat primul standard international de certificare pentru SMSI, ISO 27001

Care sunt beneficiile unei certificari a SMSI?

1. Precizarea intr-un mod clar a indeplinirii de catre organizatie a regulilor standardului ISO 27001 si ISO 27002; Aceste standarde au cele mai potrivite recomandari facute de experti in SMSI;

2. Ofera partenerilor de afaceri si clientilor o incredere sporita in organizatie;

3. Readucerea necesitatii unei evaluari a sistemului se securitate din partea unor client sau a partenerilor care vor acest lucru;

4. Oferirea managerilor un control mult mai bun asupra informatiilor din organizatie;

5. Sunt tinute sub control si identificare toate riscurile care pot sa afecteze intreaga activitate a organizatiei;

6. Posibilitatea de intrunire a tuturor conditiilor de eligibilitate la licitatii, unde certificarea SMSI este un adevarat criteriu;

7. O imagine si o pozitie mult mai buna pe piata, in fata concurentei care are un singur sistem certificat.

Ce legatura are ISO/IEC 27001 cu celelalte standarde de certificare (pentru Sistemul de Management al Calitatii – ISO 9001 respectiv pentru Sistemul de Management de Mediu – ISO 14001)?

ISO/ IEC 27001 este insirat atat cu ISO 9001 dar si cu ISO 14001. Toate cele trei standarde cuprind componente si principii de sistem comune inclusiv procesul periodic de imbunatatire continua PDCA (Plan-Do-Check-Act, Planifica-Elaboreaza-Verifica-Imbunatateste). Aceasta tehnica face posibila integrarea mai usoara a acestor sisteme, astfel incat sa aiba sens un sistem original de management in organizatie.

ISOTRANS le recomanda clientilor sai implementarea unui sistem de management combinat.

Ce categorie de organizatii ar trebui sa-si certifice propriul Sistem de Management al Securitatii Informatiei?

Orice tip de organizatie care crede ca informatiile cu care va intra in contact ar trebui sa fie protejate, ar trebui sa aiba un sistem altfel de management prin care sa isi poata tine sub control toate riscurile. Mai mult de atat, certificarea SMSI, reprezinta cartea de vizita care nu poate fi trecuta cu vederea de niciun partener de afaceri sau client.

Cum se incepe certificarea?

Suntem gata sa va oferim documente pentru initierea unui process de certificare dar si alte informatii cu privire la SMSI.