Anexa A din ISO 27001 contine 93 de controale de securitate a informatiei, grupate in 4 categorii: organizationale, de personal, fizice si tehnologice. Nu sunt obligatorii automat. Le selectezi pe baza evaluarii de risc a firmei tale si le documentezi intr-o Declaratie de Aplicabilitate.
Versiunea actuala (ISO/IEC 27001:2022, adoptata in Romania ca SR EN ISO/IEC 27001:2023 de ASRO) a redus numarul de controale de la 114 (in 14 domenii) la 93 (in 4 categorii). Au fost adaugate 11 controale noi, 24 comasate si 58 revizuite.
Intelege cele 4 categorii de controale
Fiecare control din Anexa A apartine uneia din cele 4 categorii. Tabelul de mai jos arata structura si ce acopera fiecare categorie in practica.
| Categorie | Cod | Nr. controale | Ce acopera |
|---|---|---|---|
| Organizationale | A.5 | 37 | Politici de securitate, roluri, clasificarea informatiilor, relatii cu furnizorii, managementul incidentelor |
| De personal | A.6 | 8 | Verificare angajati, constientizare, training, responsabilitati la plecare, munca la distanta |
| Fizice | A.7 | 14 | Perimetru de securitate, acces fizic, protectia echipamentelor, monitorizare fizica |
| Tehnologice | A.8 | 34 | Endpoint-uri, drepturi de acces, criptare, backup, protectie malware, codare securizata, DLP |
Controalele organizationale sunt cele mai multe (37 din 93). Ele acopera tot ce tine de politici, proceduri si responsabilitati. Aici gasesti controale pentru clasificarea informatiilor, gestionarea activelor, controlul accesului logic si securitatea in relatia cu furnizorii.
Controalele de personal sunt putine (8), dar acopera zona care genereaza cele mai multe brese: factorul uman. Verificarea angajatilor inainte de angajare, constientizarea si trainingul de securitate (A.6.3) si procesul la incetarea contractului sunt toate aici.
Controalele fizice protejeaza spatiile si echipamentele. Perimetrul de securitate, accesul in cladiri, protectia impotriva incendiilor sau inundatiilor, distrugerea echipamentelor vechi.
Controalele tehnologice sunt al doilea grup ca dimensiune (34). Aici intra tot ce tine de sisteme IT: protectie malware, backup, criptare, monitorizarea retelei, securitatea dezvoltarii software.
Identifica cele 11 controale noi din versiunea 2022
Versiunea 2022 a adaugat 11 controale care nu existau in editia din 2013. Acestea acopera amenintari aparute in ultimii ani: cloud, scurgeri de date, atacuri cibernetice avansate.
- A.5.7: colectarea si analiza informatiilor despre amenintari (threat intelligence)
- A.5.23: securitatea serviciilor cloud
- A.5.30: pregatirea ICT pentru continuitatea afacerii
- A.7.4: monitorizare fizica prin camere si senzori
- A.8.9: managementul configuratiilor (servere, retele, aplicatii)
- A.8.10: stergerea securizata a informatiilor cand nu mai sunt necesare
- A.8.11: mascarea datelor (data masking) pentru protectia informatiilor sensibile
- A.8.12: prevenirea scurgerii datelor (DLP)
- A.8.16: monitorizarea activitatilor si logurilor
- A.8.23: filtrarea traficului web
- A.8.28: codare securizata in dezvoltarea software
Daca firma ta foloseste servicii cloud (AWS, Azure, Google Cloud) sau dezvolta software, controalele A.5.23 si A.8.28 sunt aproape sigur aplicabile. Daca prelucrezi date personale, A.8.11 (mascarea datelor) si A.8.12 (DLP) te ajuta sa demonstrezi conformitatea cu GDPR.
Selecteaza controalele potrivite pentru firma ta
Nu implementezi toate cele 93 de controale. Procesul corect este:
- Faci evaluarea de risc conform clauzelor 6.1.2 si 6.1.3 din ISO 27001
- Identifici riscurile specifice firmei tale (ce informatii detii, ce amenintari exista, ce vulnerabilitati ai)
- Selectezi controalele din Anexa A care trateaza acele riscuri
- Documentezi totul in Declaratia de Aplicabilitate (Statement of Applicability)
- Pentru fiecare control din Anexa A, notezi daca il aplici sau nu, si de ce
Ai un SRL cu 15 angajati care dezvolta software pentru clienti din vestul Europei. Clientii cer ISO 27001 ca preconditie contractuala. La evaluarea de risc, identifici ca riscurile principale sunt: acces neautorizat la codul sursa, pierderea datelor clientilor, phishing pe email. Selectezi controalele A.8.28 (codare securizata), A.8.13 (backup), A.8.7 (protectie malware), A.5.23 (securitate cloud, pentru ca folosesti AWS), A.6.3 (training angajati). Excludi A.7.1 (perimetru fizic de securitate) pentru ca toata lumea lucreaza remote. In Declaratia de Aplicabilitate notezi excluderea si motivul.
Conecteaza controalele cu cerintele NIS2 si GDPR
Daca firma ta intra sub incidenta NIS2 (transpusa in Romania prin OUG 155/2024 si completata de Legea 124/2025), controalele din Anexa A acopera o parte din cerinte. OUG 155/2024 cere masuri tehnice si organizationale de securitate, gestionarea incidentelor si evaluarea riscurilor. Amenzi: pana la 10 milioane EUR pentru entitatile esentiale.
Controalele organizationale (A.5) acopera politicile de securitate si managementul incidentelor cerute de NIS2. Controalele tehnologice (A.8) acopera cerintele tehnice: criptare, monitorizare, protectie malware.
Pentru GDPR, controalele A.8.11 (mascare date), A.8.10 (stergere informatii) si A.8.12 (prevenire scurgeri) sunt direct relevante. Articolul 32 din GDPR cere masuri tehnice de securitate a prelucrarii. O certificare ISO 27001 acopera aceasta cerinta.
In Romania sunt 792 de certificate ISO 27001 active, dar peste 6.000 de organizatii intra sub NIS2. Diferenta arata cat de mult ramane de facut. Vezi comparatia ISO 27001:2022 vs 2013 pentru lista completa a diferentelor intre versiuni.