ISO 27001

ISO / IEC 27001, parte din standardele ISO / IEC 27000 , este un Sistem de Management al Securitatii Informatiei (SMSI), standard publicat în octombrie 2005 de către Organizaţia Internaţională de Standardizare (ISO) şi Comisia Electrotehnică Internaţională (IEC). Numele său complet este ISO / IEC 27001:2005 – Tehnologia informaţiei – Tehnici de securitate -Sisteme de managementul securităţii informaţiei- Cerinţe.
ISO / IEC 27001 specifică în mod oficial un sistem de management, care este destinat să aducă securitatea informatiilor aflate sub controlul de gestionare explicită.

Descriere. Principalele Beneficii
Fiind o specificaţie formală înseamnă că necesită cerinţe specifice. Organizaţiile care susţin că au adoptat ISO / IEC 27001 pot fi, prin urmare, în mod oficial auditate şi certificate conform cu standardul.
Cum funcţionează modul standard ?
Cele mai multe organizaţii au o serie de controale ale securitaţii informaţiilor.  Fără SMSI controalele tind să fie oarecum dezorganizate şi incoerente,fiind puse în aplicare de multe ori ca soluţii punctuale la situaţii specifice sau pur şi simplu ca o chestiune de convenţie. Modelele mature de obicei se referă la acest stadiu ca “ad-hoc”.
ISO / IEC 27001 prevede că managementul:
* Examineaza sistematic riscurile securitaţii informaţiilor organizaţiei, ţinând seama de ameninţări, vulnerabilităţi şi impact;
* Designul şi punerea în aplicare a unei suite coerente şi cuprinzătoare a controalelor de securitate a informaţiilor şi / sau alte forme de tratament de risc (cum ar fi evitarea riscului sau de transferul de risc) pentru a aborda aceste riscuri, care sunt considerate inacceptabile
* Adoptarea unui proces de management general pentru a se asigura că controalele securitatii informaţiilor continuă să îndeplinească cerintele de securitate al organizaţiei.
Standardul cuprinde 2 anexe procedurale: Anexa A la ISO / IEC 27001 listeaza succint controalelor de securitate ale  informaţiilor de la ISO / IEC 27002, în timp ce ISO / IEC 27002 furnizează informaţii suplimentare şi  consiliere privind punerea în aplicare a controalelor.
Organizaţiile care pun în aplicare o suită de controale de securitate a informaţiilor, în conformitate cu ISO / IEC 27002 sunt simultan în măsură să răspundă multor dintre cerinţele ISO / IEC 27001, dar poate lipsi unuia dintre elementele sistemului de management general.
Sistemele tehnice de control al securitaţii cum ar fi antivirus şi firewall-uri nu sunt în mod normal auditate în ISO / IEC 27001 auditurile de certificare: organizaţia presupune că a adoptat toate controalele necesare, deoarece informaţiile de securitate globală a ISMS sunt în vigoare şi sunt considerată adecvate,  indeplinind cerinţele din ISO / IEC 27001. În plus, conducerea determină domeniul de aplicare al ISMS, în scopul certificării şi-l poate limita la, să zicem, o unitate de afaceri . Certificarea ISO / IEC 27001  nu implica neapărat că restul organizaţiei, în afara zonei analizate / certificare, are o abordare adecvate pentru managementul securitatii informatiei