Începând cu 25.05.2018 trebuie pus în aplicare Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date cunoscut mai mult prin prescurtarea GDPR. Noul regulament european introduce un set de reguli care cer organizațiilor să implementeze controale pentru a proteja datele cu caracter personal. Implementarea standardului SR EN ISO/IEC 27001:2018, Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Cerințe va ajuta organizațiile să poată răspunde acestor cerințe.
SR EN ISO/IEC 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe UE privind GDPR care nu sunt acoperite în mod direct de SR EN ISO/IEC 27001, cum ar fi susținerea drepturilor subiecților de date cu caracter personal: dreptul de a fi informați, dreptul la ștergerea datelor și transferabilitatea datelor. Dar, dacă implementarea standardului SR EN ISO/IEC 27001 identifică datele personale ca fiind un element de securitate a informațiilor, o mare parte a cerințelor GDPR va fi acoperită.
SR EN ISO/IEC 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul poate ajuta companiile să realizeze respectarea acestei reglementări, dintre care cele mai relevante sunt: evaluarea riscurilor, conformitatea, gestionarea activelor, confidențialitatea prin proiectare, relațiile cu furnizorii.
SR EN ISO/IEC 27001:2018, Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Cerințe cuprinde cerințele pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației în contextul organizației.
De asemenea, prezentul standard internațional include cerințele pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor organizației. Cerințele specificate în prezentul standard internațional sunt generice și sunt destinate a fi aplicate tuturor organizațiilor, indiferent de tip, mărime sau natură.
Sistemul de management al securității informației păstrează confidențialitatea, integritatea și disponibilitatea informațiilor prin aplicarea unui proces de management al riscului și conferă încredere părților interesate că riscurile sunt gestionate corespunzător.
Un alt standard, publicat de curând de ASRO, este SR EN ISO/IEC 27002:2018, Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației și furnizează linii directoare pentru standardele de securitate a informației și practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea și managementul mijloacelor de control, cu luarea în considerare a mediului(iilor) de risc de securitate a informației.
Există o întreagă familie de standarde internaționale dedicate managementului securității informației, familie denumită generic ISO/IEC 27000, care are rolul de a ajuta organizațiile să păstreze siguranța informațiilor. Din această familie de standarde au fost adoptate ca standarde române următoarele:
SR EN ISO/IEC 27000:2017, Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Privire de ansamblu și vocabular (engleză)
SR EN ISO/IEC 27001:2018, Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Cerințe (română)
SR EN ISO/IEC 27002:2018, Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației (română)
SR ISO/CEI 27003:2013, Tehnologia informației. Tehnici de securitate. Îndrumări privind implementarea unui sistem de management al securității informației (română)
SR ISO/IEC 27004:2016, Tehnologia informației. Tehnici de securitate. Managementul securității informației. Măsurare (română)
SR ISO/IEC 27005:2016, Tehnologia informației. Tehnici de securitate. Managementul riscului de securitate a informației (română)
SR ISO/IEC 27006:2016, Tehnologia informației. Tehnici de securitate. Cerințe pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației (engleză)
SR ISO/IEC 27007:2016, Tehnologia informației. Tehnici de securitate. Linii directoare pentru auditarea sistemelor de management al securității informației (română)
Informații suplimentare privind seria de standarde ISO/IEC 27000, dar și alte standarde din diverse domenii puteți obține de la ASRO –Organismul național de standardizare (www.asro.ro).