Securitatea Informaiei ISO 27.001Ameninrile i Costurile posibile ale lipsei implementrii unui Sistem de Mg al Securitii Informaiei Divulgarea informaiei confideniale. ntreruperi n activitate: nefuncionarea reelei de calculatoare i imposibilitatea accesrii serverelor i aplicaiilor. Organizaiile atacate de hackeri au pierdut reputaia i ncrederea i s o recapete le-a fost foarte greu, sau chiar imposibil. Clienii, asiguratorii i partenerii vor evita s colaboreze cu o organizaie care nu este n stare s protejeze adecvat informaiile. Directiva 2002/58/EC a Parlamentului European privind procesarea datelor personale, interzice comunicarea informaiilor personale unei organizaii care nu poate asigura confidenialitatea acestora. Legislaia n vigoare prevede rspunderea juridic i financiar pentru pierderea confidenialitii datelor clienilor.Ce efecte a avut pierderea confidenialitii datelor n 2010? n 2010 costul mediu al pierderii unei nregistrri a ajuns la 204 $, ceea ce nseamn c pentru 1000 de nregistrri divulgate costul se poate ridica la 204000 $. (conform Ponemon Institute's annual study 2010 ). 96% din compromiteri puteau fi evitate prin controale simple de securitate; 94% din pierderile de confidenialitate ale datelor au fost cauzate de aciuni ale propriilor angajai; 61% din cazuri au fost descoperite de pri tere; 27% din cazuri au implicat mai multe pri, iar 11% din cazuri au implicat parteneri de afaceri; Au fost fcute publice la nivel internaional 494 cazuri de pierderi a confidenialitii informaiei - de dou ori mai multe fa de 2009, fiind divulgate 14 milioane nregistrri;Avantajele Implementrii Sistemului de Management al Securitii Informaiei Pstrarea confidenialitii, integritii i a disponibilitii informaiei; mbuntirea reputaiei i ncrederii n organizaie; Asigurarea conformitii legale i reducerea riscului penalizrilor; Scderea costurilor IT; Asigurarea instruirii continue a angajailor n materie de pstrare a confidenialitii informaiei; Posibilitatea oferirii unor servicii de calitate n timp optim; Ofer managerilor un control mai bun asupra fluxurilor de informaii din organizaie; Sunt identificate i inute sub control riscurile care pot afecta activitatea organizaiei; Ofer posibilitatea comparrii performanei sistemului IT n raport cu media din industrie;Securitatea Informaiei Implementarea Sistemului de Management al Securitii Informaiei n conformitate cu ISO27001 v ajut s pstrai informaiile organizaiei n condiii de siguran i securitate. Este responsabilitatea fiecrei organizaii s previn, s identifice i s trateze riscurile de securitate care pot avea impact negativ asupra confidenialitii, integritii i disponibilitii informaiei . Avnd n vedere c, legislaia i standardele care prevd dreptul oamenilor la confidenialitatea datelor, se dezvolt i se multiplic (de ex: Directiva 95/46/EC, Directiva 2002/58/EC), riscurile devin tot mai mari. Legislaie care oblig protecia datelor cu caracter personalA. Legislaie comunitar Directiva 95/46/EC a Parlamentului i a Consiliului European din 24.10.1995 cu privire la protecia persoanelor referitoare la procesarea datelor personale i la libera circulaie a acestor date (OJL 281, 23.11.1995, p.31); Directiva 2002/58/EC a Parlamentului European i a Consiliului din 12.07.2002 privind procesarea datelor personale i protecia intimitii n sectorul comunicaiilor electronice;B. Legislaie intern Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; Legea nr. 682/2001 privind ratificarea de ctre Romnia a Conveniei pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981; Legea nr. 102/2005 privind nfiinarea Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal.

ISO 27001 - Sisteme de management al securitii informaiei. CerineCe reprezint? ISO27001 este standardul de certificare pentru SMSI. Standardul ISO27001 stabilete cerinele i criteriile pentru implementarea, operarea, monitorizarea, revizia, mentenana i mbuntirea sistemului de management al securitii informaiilor n contextul riscurilor de ansamblu la care este supus organizaia. De asemenea, sistemul de management al securitii informaiilor ofer managerilor un control mai bun asupra fluxurilor de informaii din organizaie i reduce costurile aferente managementului riscului. Domenii de control ale ISO27001A5 Politica de securitate: A.5.1 Management direction for information security Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.A6 Organizarea securitatii informatiei: A.6.1 Internal organization Objective: To establish a management framework to initiate and control the implementation and operation of information security within the organization. A.6.2 Mobile devices and teleworking Objective: To ensure the security of teleworking and use of mobile devices.A7 Managementul resurselor (bunurilor) A8 Securitatea resurselor umane: A.8.1 Prior to employment Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles for which they are considered. A.8.2 During employment Objective: To ensure that employees and contractors are aware of and fulfil their information security responsibilities. A.8.3 Termination and change of employment Objective: To protect the organizations interests as part of the process of changing or terminating employment.A9 Securitatea fizica si a mediului: A.9.1 Secure areas Objective: To prevent unauthorized physical access, damage and interference to the organizations information and information processing facilities. A.9.2 Equipment Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organizations operations.A10 Managementul comunicatiilor si operatiilor A11 Controlul accesuluiA12 Achizitia, dezvoltarea si mentenanta sistemelor informatice: A.12.1 Security requirements of information systems Objective: To ensure that information security is an integral part of information systems across the entire lifecycle. This also includes the requirements for information systems which provide services over public networks. A.12.2 Security in development and support processes Objective: To ensure that information security is designed and implemented within the development lifecycle of information systems. A.12.3 Test data Objective: To ensure the protection of data used for testing.A13 Managementul incidentelor de securitate a informatiei: A.13.1 Management of information security incidents and improvements Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events.A14 Managementul continuitatii afacerii: A.14.1 Information security continuity Objective: Information security continuity shall be embedded in the organizations business continuity management systems. A.14.2 Redundancies Objective: To ensure availability of information processing facilities.A15 Conformitate A.15.1 Compliance with legal and contractual requirements Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information security and of any security requirements. A.15.2 Information security reviews Objective: To ensure that information security is implemented and operated in accordance with the organizational policies and procedures.