Comparatie ISO/IEC 27001:2013 cu ISO/IEC 27001:2005
ISO/IEC 27001:2013 este prima revizie a standardului ISO/IEC 27001. In primul rand, revizia a luat in considerare experienta practica a utilizarii standardului: exista in acest moment mai mult de 17,000 de inregistrari in intreaga lume. Totusi au existat doua alte influente majore asupra reviziei. Prima dintre acestea este o cerinta ISO ca toate standardele de management de sistem, noi si revizuite, sa fie conforme cu structura de nivel inalt si cu text de baza identic definit in Anexa SL a Partii 1 din Directivele ISO/IEC. Conformitatea cu aceste cerinte va determina tendinta de a face ca toate standardele de sistem de management sa arate la fel, cu intentia ca cerintele de sistem de management care nu sunt specifice unei anumite discipline sa fie formulate identic in toate standardele de sistem de management. Aceasta este o veste buna pentru organizaţiile care operează sisteme integrate de management, adică sistemele de management care sunt conforme cu mai multe standarde, cum ar fi ISO 9001 (Calitate), ISO 22301 (continuitatea afacerii) cat si ISO/IEC 27001. Cea de-a doua influenta a fost decizia de a alinia ISO/IEC 27001 cu principiile si indrumarile din ISO 31000 (managementul riscului). Aceasta este o veste buna pentru sistemele de management integrate deoarece acum o organizatie poate aplica aceeasi metodologie de evaluare a riscului pe mai multe discipline.
Rezultatul este ca din punct de vedere structural ISO/IEC 27001:2013 arata foarte diferit de ISO/IEC 27001:2005. In plus, nu exista cerinte dublate, si cerintele sunt formulate intr-o maniera care permite o mai mare libertate de alegere a modului de implementare a acestora. Un bun exemplu este faptul ca identificarea bunurilor, amenintarilor si vulnerabilitatilor nu mai este o cerinta prealabila pentru identificarea riscurilor de securitatea informatiilor. Conform acestei editii a standardului, controalele nu trebuie sa fie selectate din Anexa A, ci trebuie sa fie determinate prin procesul tratarii riscului. Totusi Anexa A continua sa serveasca in verificarea incrucisata pentru a se asigura ca nu au fost omise controale necesare.
Au fost introduce (sau actualizate) noi concepte, dupa cum urmeaza:
Concept nou/actualizat | Explicatie |
Contextul organizatiei | Mediul in care organizatia functioneaza, acoperind atat elemente intene cat si externe |
Amenintari, riscuri si oportunitati | Inlocuire actiune preventiva |
Parti interesate | S-au introdus conceptele de parte intersata relevanta si cerinta relevanta a acesteia pentru sistemul de mamagement al securitatii informatiei |
Leadership si angajament | Cerinte specifice top-managementului |
Comunicare | Exista cerinte explicite atat pentru comunicarea interna cat si pentru cea externa |
Obiective de securitatea informatiilor si planificarea pentru atingerea lor | Obiectivele de securitatea informatiilor sunt acum stabilite la functiile si nivelele relevante |
Abordarea riscurilor si oportunitatilor (evaluarea riscurilor) | Identificarea bunurilor, amenintarilor si vulnerabilitatilor nu mai este o conditie prealabila pentru identificarea riscurilor de securitatea informatiilor |
Proprietarul riscului | Standardul acorda o mai mare importanta proprietarului riscului in detrimentul proprietarului bunului |
Plan de tratare a riscului | Se acorda o mai mare importanta verificarii eficacitatii planului de tratare a riscului in detrimentul eficacitatii controalelor |
Controale | Controalele sunt acum determinate in timpul procesului de tratare a riscului, mai degraba decat sa fie selectate din Anexa A |
Informatie documentata | Inlocuieste documente si inregistrari |
Analiza si evaluarea performantei | Acopera monitorizarea, masurarea SMSI dar si eficacitatea planului de tratare al riscului |
Imbunatatire continua | Imbunatatirea pas cu pas (continua) nu este singura posibilitate de imbunatatire. Imbunatatirea poate aparea, de asemenea, ca rezultat al cercetarii/inovatiilor, schimbarilor sau reorganizarii |