România, Județul Mureș, Tîrgu Mureș, Str. Horia nr. 21
+4 0769041200
office@neoprivacy.ro

CONSULTANȚĂ ȘI ASISTENȚĂ PRIVIND IMPLEMENTARE SISTEM SECURITATEA INFORMATIILOR (DIRECTIVA NIS / ISO 27001)

Privacy is a right, NeoPrivacy is a curr€ncy.

  • DESPRE NOI

Având în vedere dezvoltarea tehnologică din ultimii zece ani, proiectele echipei noastre au la bază convingerea noastră că „protecția datelor cu caracter personal este un drept și că datele personale în era tehnologică au devenit o monedă”, astfel că prin activitatea noastră ne propunem să creștem semnificativ nivelul de conștientizarea a operatorilor și a persoanelor vizate cu privire la importanța și valoarea datelor personale. La începutul anului 2018, NeoPrivacy și-a lansat oferta de servicii pentru companiile din România, oferind soluții  pentru conformitate și implementarea GDPR, precum și servicii de audit  și traininguri specializate pentru DPO și alți specialiști în domeniul protecției și securității datelor. În 2019, NeoPrivacy România a lansat primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor (https://dpo-net.ro), promovând informații, resurse utile și traininguri online.

  • SERVICII PERSONALIZATE

Fiecare client are particularitățile sale astfel că adaptăm fiecare program de consultanță în funcție de rezultatele auditului preliminar.

  • ABORDARE SISTEMATICĂ

Programul de consultanță este construit modular, într-un mod logic, și permite o abordare sistematică și eficientă.

  • TRANSFER DE CUNOȘTINȚE

În cadrul programului de consultanță punem accent pe transferul de cunoștințe și instruirea personalului.

  • EVALUĂRI PERIODICE

Din evaluările preliminare și cele de final analizăm împreună cu fiecare client evoluția, gradul de conformare și vulnerabilitățile existente.

  • ECHIPA CU EXPERTIZĂ PLURIDISCIPLINARĂ

Echipa noastră este compusă din 6 CONSULTANȚI, specialiști în implementarea GDPR și securitatea informațiilor și care au competențe în diverse domenii de activitate, cum ar fi: drept / științe juridice, resurse umane, marketing, evaluare de riscuri, securitate cibernetică, iar dintre domeniile în care activează clienții noștri amintim: societăți comerciale (asigurări și brokeraj, producție, comerț direct și online, agricultură, servicii hoteliere, site-uri de prezentare, site-uri jurnalistice, organizatori de evenimente cu prezența fizică a organizatorilor / participanților și / sau online / exclusiv online), instituții publice (primării mici, medii și mari), instituții sanitare/medicale (spitale, policlinici, cabinete medicale individuale), instituții de învățământ de stat sau private, de orice nivel sau ONG-uri.

Echipa noastră a acumulat o vastă experiență în protecția și securitatea datelor cu caracter personal, inclusiv anterior punerii în aplicare a Regulamentului 679/2016, experiență pe care acum o folosește în toate serviciile pe care le oferă clienților pentru implementarea corectă a prevederilor GDPR.

GARANȚII DE COMPETENȚĂ ALE ECHIPEI NOASTRE

  • Toți membrii echipei noastre sunt absolvenți de studii superioare / masterat / studii postuniversitare în specialitatea studiilor de bază (studii juridice, marketing, IT, resurse umane, management, științe economice, științe politice etc.).
  • Toți membrii echipei noastre au absolvit cursuri acreditate de protecția datelor cu caracter personal.
  • Toți membrii echipei noastre au absolvit cursuri autorizate / acreditate privind formarea profesională continuă a adulților.
  • Compania NeoPrivacy pune accent pe calitate serviciilor și pe siguranța datelor prelucrate, obținând certificare ISO 9001:2015 și ISO 27001:2013

GARANȚII DE CONFIDENȚIALITATE ALE ECHIPEI NOASTRE

  • Toți membrii echipei noastre semnează și respectă întocmai acorduri de confidențialitate pentru fiecare client în parte.
  • Toți membrii echipei noastre păstrează confidențialitatea listei noastre de clienți.
  • Toți membrii echipei noastre păstrează confidențialitatea listei de activități personalizate pentru fiecare client în ce privește implementarea GDPR.

GAMĂ COMPLETĂ DE SERVICII DE CONSULTANȚĂ

  • Implementare principii GDPR
  • Consultanta si asistenta privind implementarea SCIM
  • Consultanță implementare și certificare ISO / Directiva NIS
  • GDPR mystery shopping
  • Servicii externalizare DPO
  • DPO coaching
  • Monitorizare riscuri de securitate informatică
  • Cursuri de specializare și instruire GDPR și securitatea informațiilor
  • Audit GDPR și măsuri tehnice și organizatorice
  • Managementul incidentelor de securitate
  • Consultanță dezvoltare software
  • Audit tehnic si de conformitate pentru website-uri
  • Audit de securitate fizică
  • Audit de securitate informatică (ISO / Directiva NIS)
  • Analiza de impact (DPIA)
  • Cursuri PECB cu certificare internațională
  • Produse și servicii digitalizare

DESCARCĂ OFERTA GENERALĂ DE PREȚ

ACTIVITĂȚI CUPRINSE ÎN PACHETUL STANDARD DE CONSULTANȚĂ “IMPLEMENTAREA SISTEM SECURITATEA INFORMATIILOR
(DIRECTIVA NIS / ISO 27001)

Informatia este sangele fiecarei organizatii si poate exista sub mai multe forme.

Aceasta poate fi printata sau scrisa pe hartie, stocata electronic, transmisa prin e-mail, aratata in filme sau spusa in conversatii. In mediul de afaceri competitiv prezent, informatia este “amenintata” constant de diferite surse. Acestea pot fi interne, externe, accidentale sau rau-voitoare. Cu tendintele crescande ale noilor tehnologii de stocare a informatiei si de gasire a acesteia, cresc si riscurile care afecteaza siguranta informatiei.

De aceeea, exista o nevoie generala a unei Politici de Securitate a Informatiei pentru toate organizatiile. Exista nevoia de confidentialitate, integritate si disponibilitate atat pentru organizatii cat si pentru informarea clientilor. Standardul pentru Securitatea Informatiei (ISMS) BS 7799 (predecesorul ISO/IEC 27001:2013) a devenit rapid unul dintre cele mai cerute si vandute standarde.

Ce este un Sistem de Management pentru Securitatea Informatiei ISO 27001:2013?

Un Sistem de Management al Securitatii Informatie (ISMS), ISO/IEC 27001:2013, reprezinta o abordare sistematica a managementului informatiei astfel incat aceasta sa fie in siguranta. Acest lucru implica angajatii, procesele si sistemele IT. BSI a publicat un cod de practica pentru aceste sisteme, acum adoptat international sub forma ISO/IEC 27001:2013.

Ce este Directiva NIS?

Adoptarea, în iulie 2016, a Directivei UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană (Directiva NIS), confirmă preocupările constante din ultimii ani ale forurilor comunitare pe linia creșterii rezilienței infrastructurilor IT&C aparținând operatorilor de servicii esențiale și furnizorilor de servicii digitale din statele membre. Această Directivă prevede măsuri unitare pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune și noi mecanisme de cooperare la nivel european.

Nu este o nouă lege a securității cibernetice!

Nu vizează apărarea și securitatea națională.

Vizează piața și serviciile!

Transpunerea în legislația națională a Directivei NIS s-a realizat prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Noile reglementări legislative vizează asigurarea securității rețelelor și sistemelor informatice ce deservesc activități vitale pentru economie și societate, în tot ansamblul ei, precum infrastructură digitală, energie, transport, sănătate etc. Mai exact, este stabilit mecanismul de prevenție, detecție și reacție în cazul unor incidente de securitate cibernetică, astfel încât impactul asupra economiei și populației să fie minim – toate acestea în contextul creșterii continue a riscurilor la care suntem expuși în era digitală, nu doar la nivel individual.

Lista sectoarelor și subsectoarelor care intră sub incidența Legii NIS

Pentru a putea răspunde la aceasta întrebare, operatorii vor consulta, mai întâi, Lista sectoarelor și subsectoarelor care intră sub incidența legii NIS:

  1. Energie: electricitate; petrol; gaze naturale.
  2. Transport: transport aerian; transport feroviar; transport pe apă; transport rutier
  3. Sectorul bancar
  4. Infrastructuri ale pieței financiare
  5. Sectorul sănătății: instituții de asistență medicală (inclusiv spitale și clinici private)
  6. Furnizarea și distribuirea de apă potabilă
  7. Infrastructură digitală

Propunerea de Directivă NIS 2.0 și implicațiile ei majore

Comisia Europeană a demarat procesul de revizuire a Directivei (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) începând cu iunie 2020.

Pe 16 decembrie 2020, Comisia a lansat propunerea de Directivă NIS 2.0 care va fi supusă spre dezbatere și aprobare în Parlamentul European.

Una dintre schimbările majore pe care le aduce noua Directivă este aceea că Administrația Publică devine un sector care intră sub incidența noii Directive.

În condițiile noilor reglementări din propunerea de Directivă NIS 2.0, sfera de activități acoperite de autoritatea competentă națională în domeniul securității cibernetice (CERT-RO cf. Legii 362/2018) se extinde și asupra acestui nou sector, care va include explicit ministere și agenții ale statului, extensiile în teritoriu ale administrației centrale, precum și structurile administrației publice locale.

Modificările aduse de Directiva NIS 2.0

Directiva NIS 2.0 aduce o serie de modificări majore, între care menționăm:

  • Creșterea de la șapte la zece a sectoarelor reglementate pentru entitățile esențiale: energia, transporturile, domeniul financiar-bancar, infrastructurile pieței financiare, sănătatea, apa potabilă, apa reziduală, infrastructura digitală, administrația publică și spațiul.
  • Introducerea unei serii de sectoare pentru entitățile importante: servicii poștale și de curierat, managementul deșeurilor, substanțe chimice, manufactură, furnizori de servicii digitale.
  • Consolidarea cerințelor de securitate impuse întreprinderilor și abordarea securității lanțurilor de aprovizionare și relațiilor cu furnizorii.
  • Simplificarea obligațiilor de raportare și introducerea unor măsuri de supraveghere mai stricte pentru autoritățile naționale; cerințe mai stricte de asigurare a respectării legii, urmărind totodată armonizarea regimurilor de sancțiuni în toate statele membre ale UE.

Noua Directivă se va adresa tuturor organizațiilor mijlocii și mari dintr-o serie de sectoare definite în anexele propunerii. În plus, vor fi incluse și entități mici, în funcție de nivelul critic pentru economie sau societate.

Pachetul de servicii NIS oferite de Neoprivacy cuprinde:

  • Consultanță și asistență privind evaluarea operatorului economic / instituției publice pentru identificarea acestora ca operatori de servicii esențiale – OSE și/sau furnizori de servicii digitale – FSD;
  • Consultanță și asistență privind întocmirea DAICMS – Documentația de autoevaluare a îndeplinirii cerințelor minime de securitate;
  • Consultanță și asistență privind notificarea operatorului economic / instituției publice către CERT-RO pentru înscrierea acestora în Registrul operatorilor de servicii esențiale – ROSE și/sau în CRONOS, după caz;
  • Consultanță și asistență privind identificarea Responsabilului NIS la nivelul entității;
  • Asumarea rolului de Responsabil NIS (prevedere specială în contractul de consultanță NIS);
  • Consultanță și asistență privind întocmirea de către operator a formularelor / comunicărilor cu CERT-RO, după caz;
  • Consultanță și asistență privind identificarea, tratarea și notificarea incidentelor de securitate;
  • Integrarea serviciilor NIS pentru respectarea prevederilor GDPR – protecția datelor cu caracter personal și SCIM, după caz;
  • Furnizarea de livrabile: rapoarte, politici, proceduri integrate NIS / ISO27001 GDPR;
  • Sesiuni de instruire a personalului privind îndeplinirea atribuțiilor care le revin pentru respectarea prevederilor Legii NIS.

De unde incepem?

  1. Dezvoltam o politica pentru securitatea informatiei si identificam informatiile cheie ale organizatiei dvs.
  2. Construim împreună Sistem de Management al Securitatii Informatie (ISMS) si instruim personalul cheie pentru a ajuta implementarea cu succes.
  3. Odata ce sistemul de management este implementat in totalitate, puteti sa cereti auditarea unui organism de certificare ISO 27001, pentru ca apoi sa primiti acreditarea (optional).

 Avantajele implementării ISO 27001, un standard pentru securitatea informatiei

ISO 27001:2013 ajuta mediul de afaceri sa implementeze si sa gestioneze sistemele de management al securitatii informationale. Organizatia Internationala pentru Standardizare (ISO) a dezvoltat mai mult de 18000 de standarde industriale in vederea promovarii controlului calitatii si imbunatatirii continue.

Mediul de afaceri cauta in mod activ certificarea ISO in vederea imbunatatirii operationale si procesuale interne, in concordanta cu politicile si strategiile fiecarei companii in parte.

Introdus din anul 2005, standardul ISO 27001 are ca obiectiv imbunatatirea operatiunilor specifice tehnologiei informatiei cat si ridicarea nivelului de securitate a datelor, prin intermediul unor activitati de management proactive specifice.

 Armonizarea obiectivelor mediului de afaceri cu inovatia tehnologica continua

ISO 27001 are ca domeniu de aplicatie in special managementul tehnologiei informatiei, iar in mod particular gestionarea securitatii datelor.

Datorita faptului ca standardul impune cooperarea dintre structura de management al companiei cu personalul tehnic, in vederea indeplinirii unor obiective legate de securitatea informationala, exista posibilitatea unei cresteri dramatice a armonizarii activitatilor acestor grupuri, care in mod normal ar fi disjuncte.

ISO recomanda aceasta imbinare operationala sa devina permanenta ducand la o imbunatatire continua a activitatii companiei. Standardul este aplicabil afacerilor de orice dimensiune si tipologie.

 Sistemul de Management pentru Securitatea Informatiei ajuta la protectia datelor

ISO recunoaste faptul ca orice avans tehnologic aduce cu sine noi provocari legate de securitatea informationala. ISO 27001 ajuta organizatiile sa fie la curent cu cele mai noi proceduri in acest domeniu prin implementarea unor evaluari stricte ale securitatii produselor si proceselor, alaturi de alte proceduri de monitorizare, revizuire si mentenanta.

Aplicarea unui proces standardizat presupune o activitate de selectie si revizuire a procedurilor de securitate, in cadrul careia sunt implicate atat cadrele de management cat si personalul IT, ajutand astfel la prevenirea aparitiei unor probleme potentiale.

Implementarea standardului ISO 27001 pentru securitatea informatiilor presupune si respectarea unor cerinte legale suplimentare, ce implica o serie de activitati de auditare, interne si externe. Masurile tehnice si organizatorice selectate și adoptate pentru a implementa acest standard ISO, răspund totodată și cerințelor GDPR, acest standard ISO 27001:2013 fiind deseori considerat un element de referință în achetele realizate de ANSPDCP.

 Evaluari imbunatatite

ISO 27001 ofera o serie de elemente ajutatoare activitatii de eveluare, ajutand companiile sa fie mai dispuse in a implementa cele mai bune practici si sa atinga obiective stranse.

Diversele comparatii si evaluari detaliate, complexe, facute cu organizatii apartinand acelorasi ramuri industriale conduc la o serie de imbunatatiri care pot fi spectaculoase.

Standardul ISO 27001 incureajeaza toti membrii organizatiei, de la cadrele de management la personalul tehnic, sa constientizeze si sa-si conjuge eforturile legate de atingerea tintelor si obiectivelor comune, imbunatatind astfel gradul de comunicare interna si, in final, rezultatele companiei.

DOCUMENTE LIVRATE

  1. MANUALUL SISTEMULUI DE MANAGEMENT AL SECURITATII INFORMATIEI
  2. PROCEDURI OPERATIONALE SI DE SISTEM
  3. FORMULARE ( FISE, FORMULARE, POLITICI, LISTE, PLANURI, RAPOARTE)
  4. EVALUARE RISC INFORMATIC IN CONFORMITATE CU ISO 27001:2013
  5. MANUALUL SISTEMULUI RESURSELOR INFORMATICE SI DE COMUNICATII

1.MANUALUL  SISTEMULUI DE MANAGEMENT AL SECURITATII INFORMATIEI

Cu ajutorul Manualului de Securitate ISO 27001 din 2013 acoperiți toate secțiunile și subsecțiunile cerințelor sistemului de management al securității informațiilor conform cu ISO 27001:2013

Acest lucru vă va ajut în stabilirea unui sistem de securitate informatică eficient.

Manualul ISO 27001 vă poate ajuta atat în implementarea pentru prima dată a unui sistem de management al securității informațiilor ISO 27001:2013 cat și pentru a face tranziția sistemul dvs. actual mai vechi la ISO 27001:2013.

Acest model de Manual ISO 27001 este user-friendly, ușor de învățat și usor personalizabil pentru a se potrivi cu propriul dvs. sistem de management al securității informației.

Un sistem de management certificat ISO / IEC 27001 pentru securitatea informațiilor a devenit foarte important în mediul de afaceri de astăzi. Atât clienții cât și furnizorii devin din ce în ce mai preocupați de garanțiile pe care le oferiți pentru a proteja datele clienților, know-how-ul tehnic, tranzacțiile online etc.

Nu numai companiile IT dar practic orice organizație de servicii și de producție are nevoie de un anumit nivel de securitate a informațiilor iar Manualul de Securitate ISO 27001 poate fi de un real ajutor in acest sens.

Orice organizație poate implementa un sistem de management al securității informațiilor (SMSI) conform standardului ISO 27001: 2013 (ultima ediție) și poate fi certificat.

Manualul SMSI ISO 27001 prezentat in aceasta secțiune are urmatoarea structura (capitole și subcapitole):

I Despre Manualul Sistemului de Management ISO 27001

II Aprobări

III Întroducere

  1. DOMENIUL DE APLICARE
  2. REFERINŢE NORMATIVE
  3. TERMENE ŞI DEFINIŢII
  4. CONTEXTUL ORGANIZAȚIEI

4.1 Înțelegerea organizației și a contextului în care activează

4.2 Înțelegerea necesităților și așteptărilor părților interesate

4.3 Determinarea domeniului de aplicare al sistemului de management

4.4 Sistemul de management al calității și procesele sale

  1. LEADERSHIP

5.1 Leadership și angajament

5.2 Politică

5.3 Roluri organizaționale, responsabilitatăți și autorități

  1. PLANIFICARE

6.1 Acțiuni de tratare a riscurilor și oportunităților

6.2 Obiectivele referitoare la SMSI

  1. SUPORT

7.1 Resurse

7.2 Competenţă

7.3 Conştientizare

7.4 Comunicare

7.5 Informaţii documentate

  1. OPERARE

8.1 Planificare şi control operaţional

8.2 Evaluarea riscurilor

8.3 Tratarea riscurilor

  1. EVALUAREA PERFORMANTEI

9.1 Monitorizare, măsurare, analizare şi evaluare

9.2 Audit intern

9.3 Analiza efectuată de management

  1. ÎMBUNĂTĂȚIRE

10.1 Neconformitate şi acţiune corectivă

10.2 îmbunătăţire continuă

  1. PROCEDURI OPERATIONALE SI DE SISTEM

Acest set de documente SMSI conține un set complex de proceduri ISO 27001 pentru securitatea informației, necesare în implementarea standardului și dacă vă doriți ca procesul de certificare ISO 27001 să fie unul ușor și eficient.

 

Pachetul conține 22 de modele de proceduri operationale ISO 27001 și 6 modele de proceduri de sistem ISO 27001.

Folosind aceste modele de proceduri ISO 27001:2013, puteți economisi timp prețios în pregătirea documentelor SMSI în conformitate cu standardul pentru securitatea informației. Astfel veți obține un control mai bun în sistemul dvs. de securitate informatică datorită documentatiei noastre dezvoltate sub îndrumarea experților și a consultanților cu experiență în implementarea și certificarea sistemelor ISO 27001.

Procedurile SMSI au fost folosite în implementarea a zeci de sisteme de securitate a informației certificate cu succes de către organisme de top din România.

Documentația cuprinde următoarele 28 de modele (numai procedurile, nu si eventualele formulare specificate de acestea):

 

Proceduri de sistem pentru Sistemul de Management pentru Securitatea Informatiei:

PS-SMSI – 10.1 Actiuni corective

PS-SMSI- 6 Identificarea, evaluarea si tratarea riscului informatic

PS-SMSI- 7.5 Control informatii documentate

PS-SMSI-7.5 IL1 – IL Elaborare documente

PS-SMSI-9.2 Audit intern SMSI

PS-SMSI-9.3 Analiza efect de management

 

Proceduri operaționale pentru Sistemul de Management pentru Securitatea Informatiei:

PO-SMSI-7.2.2 Constientizare, Instruire

PO-SMSI-A11.1 Securitatea fizica

PO-SMSI-A11.2 Securitatea echipamentelor

PO-SMSI-A12.1 Proceduri operationale si responsabilitati

PO-SMSI-A12.1.1 Procesarea corecta a datelor in cadrul aplicatiilor

PO-SMSI-A12.2 Protectia impotriva codurilor mobile si daunatoare

PO-SMSI-A12.3 Copie de siguranta Back-up

PO-SMSI-A12.4 Securitatea fisierelor de sistem

PO-SMSI-A12.4.4 Monitorizare

PO-SMSI-A13 Managementul securitatii retelei

PO-SMSI-A14.1 Planificarea si acceptanta sistemului

PO-SMSI-A15.1 Managementul serviciilor furnizate de terti

PO-SMSI-A16 Managementul incidentelor SMSI

PO-SMSI-A17 Managementul continuitatii afacerii

PO-SMSI-A18 Conformitatea cu cerintele legale

PO-SMSI-A6 Organizarea securitatii informatiei

PO-SMSI-A6.1.5 Informatie disponibila in mod public

PO-SMSI-A8.1 Managementul resurselor informationale

PO-SMSI-A8.2 Clasificarea si etichetarea informatiei SMSI

PO-SMSI-A8.3 Manipularea mediilor de stocare

PO-SMSI-A9 Controlul accesului

RUTCS – Reguli de utilizare tehnica de calcul

 

  1. FORMULARE ( FISE, FORMULARE, POLITICI, LISTE, PLANURI, RAPOARTE)

Setul de formulare ISO 27001 pentru securitatea informației este foarte util pentru acele firme care sunt interesate să achizitioneze un conținut parțial al documentației ISO 27001 din 2013 pentru SMSI. Puteți economisi timp în realizarea procedurilor și formularelor folosind acest set de documente ce conține declarații, formulare, liste, planuri, procese verbale, rapoarte și registre.

Înainte de a invita un organism de certificare ISO 27001 pentru auditul de certificare, societatea dvs. trebuie să pregătească documentele SMSI (manual, politici, proceduri, formulare ISO), să efectueze instruirea angajaților, să implementeze ISO 27001 pentru o perioadă suficientă de timp și să efectueze audituri interne și revizuiri ale conducerii. Aceste formulare ISO 27001 realizate și completate corespunzător reprezintă o parte importantă a acestui proces.

Planificarea necorespunzătoare sau nefinalizarea documentației ISO 27001 pentru securitatea informației sunt motivele principale pentru întârzierile înregistrate în proiectele de certificare ISO 27001.

 Pachetul nostru de formulare privind Sistemul de Management pentru Securitatea Informatiei contine urmatoarele 21 de modele de documente:

A.5. Declaratia de politica

Declaratia de Aplicabilitate

F1- SMSI-7.2.2 – Program anual de instruire SMSI

F1-SMSI- 10.1 Raport de neconformitate si actiune corectiva

F1-SMSI- 9.2 Program de audit

F1-SMSI- 9.3 PV Sedinta de analiza

F1-SMSI-A11 Registru conturi utilizatori

F1-SMSI-A16-Managementul incidentelor SMSI

F1-SMSI-A8.1 Registru resurse informationale

F1-SMSI-A9.1 Registru acces vizitatori

F2-SMSI-7.2.2 – Proces verbal de instruire

F2-SMSI-9.2 Plan de audit

F3-SMSI- 9.2 Raport de Audit

F3-SMSI-7.2.2 – Fisa de apreciere

Plan de obiective

PS-SMSI- 7.5-A1 – Responsabilitati E,V,Ap

PS-SMSI- 7.5-F1 – Lista de difuzare documente

PS-SMSI- 7.5-F2 – Lista de evidenta a documentelor in vigoare

PS-SMSI- 7.5-F3 – Lista formularelor in vigoare

PS-SMSI-7.5 IL 01-A1 – Pagina garda procedura

PS-SMSI-7.5 IL 01-A2 – Continut Procedura

 

  1. EVALUARE RISC INFORMATIC IN CONFORMITATE CU ISO 27001:2013

Raportul privind Identificarea si Evaluarea Riscurilor Sistemului Informational documenteaza vulnerabilitatile IT descoperite pe parcursul auditarii societatii, conform cu standardul ISO 27001:2013.

Evaluarea riscurilor SMSI furnizeaza recomandari pentru solutii eficiente din punct de vedere al costului care ar elimina sau minimiza efectele riscurilor indentificate pentru sistemul informatic. Documentul este conform cu ISO 27001:2013 pentru SMSI.

Evaluarea riscului se refera la un proces bazat pe stiinta si tehnologie, constand in patru etape si anume:

  1. identificarea amenintarilor
  2. caracterizarea amenintarilor
  3. expunerea evaluarilor
  4. analizelor si caracterizarea riscurilor.

Managementul riscului reprezinta procesul, distinct de cel anterior, de evaluarea riscului IT, de stabilire si analiza a tacticilor si politicilor alternative in etapa consultarilor cu partile interesate, in considerarea riscurilor evaluate si a altor factori legitimi, cat si, daca este necesar, selectarea optiunilor de prevenire si control.

Modelul de raport pentru Evaluarea Riscului Informatic reprezinta o radiografie a sistemului informational si retelei de calculatoare, ca o concluzie a datelor colectate din procesul de evaluare al activitatii in domeniul IT.

Metodologia de evaluarea a riscului informatic este un document care are 41 de pagini si cuprinde urmatoarele sectiuni:

  • Controlul documentului
  • Domeniul de aplicare a evaluarii de risc IT
  • Prezentarea metodei de evaluare a riscului
  • Descrierea sistemului IT
  • Identificarea amenintarilor (pericolelor)
  • Identificarea vulnerabilitatilor
  • Identificarea riscurilor IT
  • Clasificarea riscurilor IT
  • Determinarea probabilitatii de aparitie a riscului
  • Analiza riscului de impact
  • Evaluarea riscului general
  • Recomandari si mijloace de protective
  • Matricea evaluarii riscurilor
  1. MANUALUL SISTEMULUI RESURSELOR INFORMATICE SI DE COMUNICATII

Spre deosebire de Manualul SMSI (care pune accent pe sistemul de management, proceduri de sistem şi proceduri tehnice), Manualul Sistemului Resurselor Informatice şi de Comunicaţii (Manualul Sistemului RIC) se referă mai mult la partea tehnica pe echipamente şi solutii IT fără a intra “adânc” în procese de management şi suport precum Resurse Umane şi altele.

Acest model de Manual al Sistemului Resurselor Informatice şi de Comunicatii RIC este un document conform cu ISO 27001:2013, conţine 65 de pagini şi are următoarea structură:

Manualul realizat in conformitate cu ISO 27001:2013 contine:

Sistem de management al securităţii informaţiei

– Cerinţe generale

– Stabilirea şi administrarea SMSI

– Stabilirea SMSI

Politica de Securitate privind Sistemul Resurselor Informatice şi de Comunicaţii

– Introducere

– Scopul politicii de securitate

– Definiţii folosite în politica de securitate şi regulamentul de utilizare

– Clasificarea informatiei

Obligaţii, raspunderi si sancţiuni aferente clasificării informaţiilor

Confidenţialitate

Declaraţia de aplicabilitate a Sistemului de Management al Securtăţii Informaţiei

Procedura de identificare, evaluare a riscurilor de securitate

– Implementarea şi funcţionarea SMSI

– Monitorizarea, revizuirea şi îmbunătăţirea SMSI

– Cerinţe referitoare la documentaţie

– Generalităţi

– Controlul documentelor

– Controlul înregistrărilor

Responsabilitatea managementului

– Angajamentul managementului

– Managementul resurselor

– Analizele de management pentru SMSI

Elemente de intrare ale analizei

Elemente de ieşire ale analizei

Regulamentele de Utilizare a Resurselor Informatice şi de Comunicaţii (RIC) :

  1. Regulament de utilizare a RIC
  2. Utilizarea ocazională a RIC în scopuri personale
  3. Accesul Administrativ
  4. Accesul Fizic
  5. Conectarea la Sistemul Resurselor Informatice şi de Comunicaţii
  6. Configurarea Parametrilor de Acces la Reţea
  7. Tratarea Incidentelor de Securitate şi de nerespectare a Politicii şi Regulamentului de Securitate
  8. Monitorizarea Resurselor Informatice şi de Comunicaţii
  9. Securitatea Serverelor
  10. Crearea şi Utilizarea Copiilor de Siguranţă (Backup)
  11. Detectarea Tentativelor de Acces Neautorizat
  12. Utilizarea Calculatoarelor Portabile
  13. Modificări şi Modernizări ale Sistemului Resurselor Informatice şi de Comunicaţii
  14. Utilizare Internet şi Intranet
  15. Administrarea Conturilor
  16. Parole de Acces
  17. Sistemul de Mesagerie Electronică
  18. Detectarea viruşilor
  19. Licenţe de utilizare
  20. Relaţii cu terţi

Planul de Pregătire pentru Situaţii de Urgenţă şi Capacitatea de Răspuns

Măsuri Disciplinare

Proceduri generale de lucru privind exploatarea sistemului Resurselor Informatice şi de Comunicaţii

Procedura P.01 – Intervenţii în cazul defecţiunilor hardware

Procedura P.02 – Salvările de date, stocarea şi păstrarea acestora

Procedura P.03 – Achiziţii echipamente hardware şi/sau software pe bază de referat de necesitate, altele decât prin licitaţii

Procedura P.04 – Modificări sau defecţiuni ale aplicaţiilor software

Procedura P.05 – Exploatarea programelor informatice

Procedura P.06 – Activităţi de mentenanţă privind componentele harware

Procedura P.07 – Poşta electronică, sesizări pe site-ul firmei, sesizări pe alte site-uri de specialitate

Procedura P.08 – Rezolvarea documentelor/problemelor repartizate spre rezolvare

Procedura P.09 – Anunţarea defecţiunilor hardware firmei de service

Procedura P.10 – Părăsirea temporara a calculatorului

Procedura P.11 – Atribuirea/schimbarea/anularea utilizatorilor şi a parolelor de access

 

Codul de Bună Practică pentru Managementul Securităţii Informaţiei

A.5 Politica de securitate

A.5.1 Politica de securitate a informaţiei

A.6 Organizarea securităţii informaţiei

A.6.1 Organizarea interna

A.6.2 Părţi externe

A.7 Managementul resurselor

A.7.1 Responsabilitatea pentru resurse

A.7.2 Clasificarea informaţiei

A.8 Securitatea resurselor umane

A.B.1 Înaintea angajării

A.8.2 In timpul perioadei de angajare

A.8.3 Incetarea contractului sau schimbarea locului de munca

A.9 Securitatea fizica şi a mediului de lucru

A.9.1 Zone de securitate

A.9.2 Securitatea echipamentelor

A.10 Managementul comunicaţiilor şi operaţiunilor

A.10.1 Proceduri operaţionale şi responsabilităţi

A.10.2 Managementul serviciilor furnizate de terţi

A.10.3 Planificarea şi acceptanţa sistemelor

A.10.4 Protecţia împotriva codurilor mobile şi dăunătoare

A.10.5 Copie de siguranţă

A.10.6 Managementul securităţii reţelei

A.10.7 Manipularea mediilor de stocare

A.10.8 Schimbul de informaţii

A.10.9 Serviciile de comerţ electronic – nu se aplica in cadrul societatii

A.10.10 Monitorizarea

A.11 Controlul accesului

A.11.1 Cerinţele afacerii pentru controlul accesului

A.11.2 Managementul accesului utilizatorului

A.11.3 Responsabilităţile utilizatorului

A.11.4 Controlul de acces la reţea

A.11.5 Controlul accesului la sistemul de operare

A.11.6 Controlul accesului la aplicaţii şi informaţii

A.11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul la distanţă

A.12 Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice

A.12.1 Cerinţe de securitate pentru sistemele informaţionale

A.12.2 Procesarea corectă a datelor în cadrul aplicaţiilor

Lista legislaţiei din domeniu