G Ghid · ISO 27001

Ce este un sistem de management al securitatii informatiei (SMSI)?

SMSI este cadrul prin care firma controleaza riscurile pentru informatii. Componente, costuri si legatura cu NIS2 si GDPR in Romania.

Elena Tudor
Elena Tudor
Specialist ISO 27001 & GDPR
6 min citire Publicat 25 mai 2026
Ce este un sistem de management al securitatii informatiei (SMSI)?

Amenzile NIS2 pentru entitati esentiale ajung la 10 milioane EUR sau 2% din cifra de afaceri globala, iar prima cerinta verificata de DNSC este sa demonstrezi un sistem documentat de management al securitatii informatiei. SMSI este cadrul organizat prin care o firma identifica, evalueaza si controleaza riscurile pentru informatiile si sistemele sale. Acronimul vine din romana (Sistem de Management al Securitatii Informatiei) si corespunde termenului international ISMS (Information Security Management System).

Problema pe care o rezolva SMSI

Majoritatea firmelor din Romania trateaza securitatea informatiei punctual: antivirus pe statii, parole obligatorii, un backup pe undeva. Cand vine un audit de la un client mare sau o cerinta NIS2, nu exista un cadru unitar care sa lege deciziile, riscurile si controalele. Auditorul cere politica de securitate, registrul de riscuri si dovada ca masurile chiar functioneaza. Daca nu le ai documentate, nu treci verificarea.

Acelasi tipar apare la incidentele reale. Cand o aplicatie e compromisa sau un angajat trimite din greseala o baza de date in afara firmei, fara un SMSI nu stii cine raspunde, ce documente trebuie notificate si in cat timp. NIS2 cere notificare la DNSC in maximum 24 de ore. GDPR cere notificare la ANSPDCP in 72 de ore. Sistemul de management exista exact ca sa nu te prinda incidentul nepregatit.

SMSI vs ISO 27001: doua lucruri diferite

Multe articole confunda cele doua. Distinctia conteaza.

SMSI este sistemul de management. Este modul in care firma ta organizeaza securitatea informatiei: politica, oameni, procese, controale. Poti avea un SMSI fara sa fii certificat.

ISO/IEC 27001 este standardul international care defineste cerintele minime pentru un SMSI. Versiunea actuala (ISO/IEC 27001:2022, publicata pe 25 octombrie 2022) descrie ce trebuie sa contina sistemul ca sa fie auditabil. Citeste analiza completa in ce inseamna ISO 27001.

Certificarea ISO 27001 este atestarea oficiala, emisa de un organism acreditat, ca SMSI-ul tau respecta standardul. Adica: SMSI = sistemul; ISO 27001 = regula dupa care e construit; certificatul = dovada ca regula e respectata.

Componentele unui SMSI conform ISO 27001:2022

Un SMSI complet are sapte componente obligatorii. Lipsa oricareia inseamna ca sistemul nu trece certificarea:

  • Scopul SMSI (clauza 4.3). Decizi ce activitati, locatii si active intra in sistem. Poti certifica doar departamentul IT, sau intreaga firma.
  • Politica de securitate a informatiei (clauza 5.2). Documentul aprobat de conducere care declara obiectivele si principiile.
  • Evaluarea riscurilor (clauza 6.1.2). O metodologie documentata care identifica activele, amenintarile si vulnerabilitatile, apoi le clasifica dupa impact si probabilitate. Vezi metodologia completa in evaluarea riscurilor ISO 27001.
  • Declaratia de Aplicabilitate (SoA). Documentul care arata care dintre cele 93 de controale din Anexa A se aplica firmei tale si motivul includerii sau excluderii (clauza 6.1.3 lit. d).
  • Controalele operationale. Cele 93 de controale din Anexa A, grupate in 4 categorii: organizationale (37), de personal (8), fizice (14) si tehnologice (34).
  • Monitorizare si masurare (clauza 9.1). Indicatori (KPI) prin care urmaresti daca controalele functioneaza: numar incidente, timp de raspuns, rezultate teste de penetrare.
  • Audit intern si analiza de management (clauzele 9.2 si 9.3). Verificarea periodica a sistemului si decizia conducerii despre imbunatatiri.

Cum construiesti un SMSI in practica

Pasii standard pentru o firma din Romania care porneste de la zero:

  1. Defineste scopul. Stabilesti perimetrul: ce activitati, ce departamente, ce sisteme intra in SMSI.
  2. Identifica activele informationale. Servere, aplicatii, baze de date, documente, contracte, cod sursa.
  3. Faci evaluarea riscurilor. Pentru fiecare activ, listezi amenintarile (atac, eroare umana, defectiune) si vulnerabilitatile, apoi calculezi nivelul de risc.
  4. Selectezi controalele din Anexa A. Pentru riscurile peste pragul de toleranta, alegi controale care le reduc. Documentezi totul in SoA.
  5. Implementezi controalele. Politici scrise, instruirea angajatilor, configurari tehnice (autentificare, criptare, backup, monitorizare).
  6. Faci audit intern. Verifici ca sistemul functioneaza si corectezi neconformitatile.
  7. Treci auditul de certificare. Un organism acreditat verifica si emite certificatul.

Scenariu concret. O firma de outsourcing software din Cluj cu 25 de angajati lucreaza pentru clienti din Germania si Olanda. Un client nou cere ISO 27001 in 4 luni. Scopul SMSI acopera intreaga firma (toate echipele lucreaza pe cod sursa al clientilor). Activele identificate: cod sursa, sisteme de versionare, laptop-uri, infrastructura cloud, conturi de email. Evaluarea riscurilor scoate 47 de riscuri, din care 12 peste pragul de toleranta. Din Anexa A selecteaza 71 din 93 de controale, exclude 22 cu justificare (de exemplu, controale pentru centre de date proprii, irelevante pentru firma fara servere on-premise). Implementarea dureaza 3 luni, auditul intern o saptamana, certificarea inca 2 saptamani. Cost total pe primul an: 9.000-13.000 lei + TVA.

Costul si durata unui SMSI in Romania

Cifrele variaza cu marimea firmei si nivelul de pregatire existent.

OptiunePret pe primul ciclu (3 ani)Durata implementare
Certificare simpla (firma deja pregatita)1.500-3.500 lei + TVA1-2 saptamani
Cu consultanta partiala4.000-8.000 lei4-8 saptamani
Implementare completa de la zero8.000-15.000+ lei3-6 luni

Certificatul este valabil 3 ani, cu audit anual de supraveghere. Reinnoirea costa aproximativ 50% din pretul initial. Detalii in ghidul de preturi pentru certificare ISO si in analiza completa a costului ISO 27001. Pentru ghidul detaliat pe faze, consulta implementarea ISO 27001 in Romania.

SMSI in contextul NIS2 si GDPR

OUG 155/2024 (din 30 decembrie 2024) si Legea 124/2025 (in vigoare din 10 iulie 2025) au transpus Directiva NIS2 in Romania. Entitatile esentiale si importante trebuie sa implementeze masuri de management al riscului pentru securitatea retelelor si a informatiilor. SMSI conform ISO 27001 acopera majoritatea acestor cerinte: evaluarea riscurilor, politici documentate, controale tehnice si organizatorice, notificarea incidentelor.

GDPR (Regulamentul UE 2016/679), art. 32, cere masuri tehnice si organizatorice adecvate pentru securitatea prelucrarii datelor personale. Un SMSI documentat este cea mai usoara dovada de conformitate cu acest articol. Analiza detaliata in ISO 27001 si GDPR in Romania.

Important: SMSI nu inlocuieste obligatiile legale. Iti ofera cadrul si dovezile, dar trebuie sa-l calibrezi pe specificul firmei. Mai multe in ISO 27001 si Directiva NIS2 in Romania.

Intrebari frecvente

Pot avea un SMSI fara sa fiu certificat ISO 27001?

Da. Sistemul de management poate exista si fara certificat. Multe firme implementeaza SMSI conform ISO 27001 pentru a respecta NIS2 sau cerinte contractuale, dar amana certificarea pentru cand este ceruta de un client. Certificatul devine necesar cand un partener cere atestare oficiala sau cand intri intr-o licitatie unde standardul e cerinta de calificare.

Care e diferenta intre SMSI si ISO 27002?

ISO 27001 contine cerintele obligatorii si Anexa A cu lista controalelor. ISO 27002 este ghidul de implementare pentru fiecare control: ce inseamna, cum se aplica, ce riscuri trateaza. SMSI-ul tau respecta ISO 27001, iar ISO 27002 te ajuta sa intelegi cum sa implementezi controalele alese.

SMSI acopera doar IT-ul?

Nu. Securitatea informatiei include dosare fizice, contracte, conversatii, procese de business. Controalele de personal (8 in Anexa A) si cele fizice (14) acopera arii din afara IT-ului: verificarea angajatilor la angajare, gestionarea accesului in birou, politica de birou curat. Pentru o firma mica, SMSI poate sa fie 70% non-IT.

Cat dureaza pana SMSI e functional?

Daca pornesti de la zero, 3-6 luni pentru o firma sub 50 de angajati. Daca ai deja politici si proceduri rezonabile, 4-8 saptamani de aliniere si documentare. Vezi cat dureaza certificarea ISO 27001 pentru detalii.

Pentru cadrul general si standardele conexe, vezi pagina ISO 27001. Daca prelucrezi date personale la scara, citeste si ce inseamna ISO 27701, extensia de confidentialitate construita peste SMSI.

Elena Tudor
Scris de
Elena Tudor
Specialist ISO 27001 & GDPR

Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.

Vezi toate articolele

Citește și mai departe

Toate ghidurile →
Ghid

Ce inseamna ISO 27001?

ISO 27001 este standardul pentru securitatea informatiei. Afla ce certifica, cat costa, cum se leaga de GDPR si NIS2 in Romania.

Citește →
Ghid

ISO 27001 Anexa A: cele 93 de controale explicate

Ghid practic cu cele 93 de controale din Anexa A ISO 27001:2022, organizate pe 4 categorii, cu exemple si legatura cu NIS2.

Citește →
Ghid

Evaluarea riscurilor ISO 27001: metodologie si matrice

Cum faci evaluarea riscurilor de securitate a informatiei conform ISO 27001. Metodologie activ-amenintare-vulnerabilitate, matrice de risc si legatura cu SoA.

Citește →
Ghid

Declaratie de aplicabilitate ISO 27001 (SoA)

Ce este Declaratia de Aplicabilitate ISO 27001, ce coloane contine, cum justifici includerea sau excluderea controalelor din Anexa A si ce verifica auditorul.

Citește →