ISO Compliance
platform · certificare · training
Audit gratuit
Ghiduri ISO 27001

Ghid complet ISO 27001:2022 — clauzele 4-10 explicate pentru ofițeri ISMS

Manual practic în limba română pentru toate cele 7 clauze obligatorii ale standardului ISO/IEC 27001:2022. Ce trebuie să documentezi, ce dovezi cere auditorul, cum mapezi pe Anexa A.

· 12 min citire ·
ISO 27001ISMSAnexa Aaudit

ISO/IEC 27001:2022 este standardul internațional pentru un Sistem de Management al Securității Informației (ISMS). Spre deosebire de un simplu set de bune practici, este un cadru auditabil care îți obligă să documentezi, să demonstrezi și să îmbunătățești continuu modul în care îți protejezi informațiile.

În acest ghid trecem prin cele 7 clauze obligatorii (4-10) și ce trebuie să livrezi concret pentru fiecare. La final ai și un link către un quiz interactiv care îți spune în 10 minute pe care clauze stai bine și unde ai gap-uri.

TL;DR — auditorul vine cu 7 întrebări

Clauzele 4 (Context), 5 (Leadership), 6 (Planning), 7 (Support), 8 (Operation), 9 (Performance), 10 (Improvement). Pentru fiecare trebuie să demonstrezi cu probe materiale: documente, jurnale, decizii formale.

Clauza 4 — Contextul organizației

Stabilește perimetrul ISMS-ului și pe cine afectează. Auditorul cere:

  • Scope ISMS documentat — ce procese, locații, sisteme, departamente sunt acoperite
  • Lista părților interesate (clienți, autorități, angajați, furnizori) și așteptările lor
  • Înțelegerea problemelor interne și externe care afectează ISMS-ul (PESTEL, SWOT)

Capcană tipică: scope prea larg → costuri și efort imposibil. Sau scope prea îngust → auditorul cere extindere.

Clauza 5 — Leadership și angajament

Aici se vede dacă ISMS-ul este real sau cosmetic. Auditorul cere:

  • Politica de securitate a informației aprobată oficial de top management (semnătură, dată, versiune)
  • Roluri și responsabilități definite (RACI, fișa postului, organigrama de securitate)
  • Resurse alocate (buget, timp, persoane)

În audituri reale, lipsa unei politici aprobate de CEO este una dintre cele mai frecvente neconformități majore.

Clauza 6 — Planificare

Risk management aici este coloana vertebrală. Auditorul cere:

  • Risk Assessment Report (Cl. 6.1.2) — riscuri identificate, evaluate, prioritizate
  • Risk Treatment Plan (Cl. 6.1.3) — pentru fiecare risc, ce strategie aplici (avoid / mitigate / transfer / accept / share)
  • Statement of Applicability (SoA) — pentru toate cele 93 controale Anexa A 27002:2022, justifici de ce le aplici sau nu
  • Obiective măsurabile de securitate

Clauza 7 — Suport

  • Resurse documentate (financiare, tehnologice, umane)
  • Competențe demonstrabile prin training și evaluări
  • Conștientizare angajați (training annual minimum, înregistrări participare)
  • Comunicare structurată internă și externă
  • Documented Information (Cl. 7.5) — control versiuni, aprobări, distribuție

Clauza 8 — Operare

Aici se demonstrează că ISMS-ul rulează în practică:

  • Operarea proceselor planificate
  • Risk assessment recurent (anual minim, recomandat trimestrial)
  • Risk treatment plan actualizat și urmărit

Clauza 9 — Evaluarea performanței

  • Monitoring & Measurement (Cl. 9.1) — KPI-uri, rapoarte periodice
  • Audit intern (Cl. 9.2) — programat, condus, raportat formal
  • Management Review (Cl. 9.3) — minim anual cu intrările și ieșirile cerute de standard

Clauza 10 — Îmbunătățire

Demonstrezi că ISMS-ul evoluează:

  • Tratarea neconformităților (incidente, audit findings) cu CAR documentate
  • Acțiuni corective și preventive cu owner și termen
  • Îmbunătățire continuă demonstrabilă între audituri

Anexa A — cele 93 controale

Anexa A este partea „concretă". Cele 93 controale sunt grupate în 4 teme:

  • Organizational (37 controale): politici, roluri, contracte, threat intelligence
  • People (8 controale): screening, training, conștientizare, NDA
  • Physical (14 controale): perimetru, acces, mediu, echipamente
  • Technological (34 controale): identitate, criptare, backup, monitoring, vulnerabilities

De unde pornești practic

Recomandare validată cu Lead Auditori, în această ordine:

  1. Definește scope-ul ISMS (1 zi cu management)
  2. Risk Assessment cu metodologie 5×5 (1-2 săpt)
  3. Statement of Applicability pe toate cele 93 controale (3-5 zile)
  4. Plan de tratament al riscurilor (1 săpt)
  5. Politici și proceduri (4-6 săpt cu șabloane validate)
  6. Implementare controale (60-90 zile)
  7. Audit intern (1 săpt) și management review
  8. Audit certificare etapa 1 + etapa 2 (1 lună total)
Cu platforma noastră, durata se reduce de la 12 luni la 90 de zile

Cele 93 controale Anexa A sunt pre-configurate, șabloanele de politici scrise de Lead Auditori, audit trail-ul rulează automat. Pornești de la 490 EUR/an cu pachetul Starter.

Verifică unde stai în 10 minute

Avem un quiz interactiv cu 10 întrebări care îți dă scor de maturitate pe 5 domenii și îți spune ce să tratezi în prioritate. La final primești raportul detaliat pe email și un workshop gratuit cu Lead Auditor.

→ Începe quiz-ul ISO 27001 (10 min, gratuit)

Sau descarcă brochure-ul comercial ISO 27001 (PDF, 5 pagini) dacă vrei să prezinți la consiliu sau procurement.

Articole relevante

ISO 27001 vs ISO 42001 — diferențe, suprapuneri, când ai nevoie de ambele

Comparație tehnică și comercială

Citește

Calculatorul real al implementării ISO 27001: manual vs platformă

Numere validate cu Lead Auditor

Citește

Amenzi GDPR vs investiție în ISO 27001

Analiză CFO friendly

Citește