Plan de tratare a riscurilor ISO 27001: cele 4 opțiuni

Ce este planul de tratare a riscurilor din ISO 27001? Este documentul în care, pentru fiecare risc identificat la evaluare, decizi ce faci cu el: îl reduci, îl accepți, îl eviți sau îl transferi. Cerut de clauza 6.1.3, planul conține acțiunile, controalele alese, responsabilii, termenele și riscul rezidual rămas după tratare.

Planul vine după evaluarea riscurilor, nu odată cu ea. Întâi identifici și notezi riscurile în registru (clauza 6.1.2), apoi decizi ce faci cu fiecare (clauza 6.1.3). Dacă nu ai parcurs încă primul pas, începe cu evaluarea riscurilor de securitate, fiindcă planul de tratare se construiește direct pe rezultatele ei.

Cele patru opțiuni de tratare a riscului

Pentru fiecare risc care depășește pragul tău de toleranță alegi una dintre patru opțiuni.

Opțiune	Ce înseamnă	Când o alegi
Modificare (reducere)	Aplici controale care scad probabilitatea sau impactul	Ai control practic asupra riscului și îl poți reduce sub prag
Menținere (acceptare)	Lași riscul așa cum e, cu o acceptare documentată	Costul tratării depășește paguba posibilă, iar riscul e deja sub prag
Evitare	Renunți la activitatea sau tehnologia care produce riscul	Riscul e prea mare și nu îl poți reduce rezonabil
Partajare (transfer)	Muți o parte din risc la un terț: asigurare, externalizare	Nu poți elimina riscul, dar poți acoperi pierderea financiară

Modificarea este opțiunea folosită în majoritatea cazurilor. Acolo intervin controalele din Anexa A a ISO 27001: cele 93 de controale din versiunea 2022 sunt rezervorul din care alegi măsurile concrete (backup, criptare, control acces). Celelalte trei opțiuni se folosesc pentru riscurile unde controalele nu au sens sau nu ajung.

Ce cere clauza 6.1.3, pas cu pas

Clauza 6.1.3 din SR EN ISO/IEC 27001:2023 are șase cerințe, notate de la a) la f):

1. Alegi opțiunea de tratare pentru fiecare risc, pe baza rezultatelor evaluării.
2. Stabilești ce controale sunt necesare ca să aplici opțiunea aleasă.
3. Compari controalele alese cu cele din Anexa A și verifici că nu ai omis vreunul necesar.
4. Produci Declarația de Aplicabilitate, cu justificarea fiecărui control inclus sau exclus.
5. Formulezi planul de tratare propriu-zis: acțiuni, responsabili, termene.
6. Obții aprobarea proprietarilor de risc pentru plan și acceptarea riscurilor reziduale.

Punctele 1, 2, 5 și 6 țin de plan. Punctele 3 și 4 leagă planul de certificarea ISO 27001 prin documentul pe care auditorul îl cere primul. Restul implementării are același fir logic, descris în ghidul de implementare ISO 27001 în România.

Cum alegi opțiunea potrivită

Logica de decizie e simplă dacă o iei pe rând, risc cu risc.

• Poți reduce riscul cu măsuri rezonabile ca preț? Alegi modificarea și selectezi controale din Anexa A.
• Costul măsurilor depășește paguba, iar riscul e sub pragul tău? Alegi menținerea, cu o acceptare semnată.
• Riscul vine dintr-o activitate de care te poți lipsi? Alegi evitarea.
• Rămâne o pierdere financiară pe care o acoperi prin asigurare sau externalizare? Alegi partajarea.

Un risc poate primi și o combinație: reduci cât poți cu controale, apoi transferi restul printr-o poliță. Ce contează e ca decizia să aibă o justificare scrisă, nu să fie bifată la întâmplare.

Planul de tratare nu e același document cu SoA

Aici greșesc multe firme: cred că Declarația de Aplicabilitate (SoA) ține loc de plan de tratare. Sunt două documente diferite, ambele cerute de standard.

SoA este lista tuturor controalelor din Anexa A, fiecare marcat aplicabil sau neaplicabil, cu justificare (cerința 6.1.3 d). Planul de tratare arată ce faci concret cu fiecare risc: ce control aplici, cine răspunde, până când și ce risc rămâne după (cerința 6.1.3 e). SoA îți spune ce controale ai ales, planul îți spune cum și când le pui în practică.

Riscul rezidual și aprobarea proprietarului de risc

După ce aplici controalele, riscul nu dispare complet. Ce rămâne se numește risc rezidual, iar proprietarul de risc (persoana cu autoritate să decidă) trebuie să îl accepte în scris.

Greșeala frecventă: firma completează registrul, alege controalele, dar nu documentează nicăieri riscul rezidual și nu obține o semnătură de acceptare. La audit, asta înseamnă neconformitate pe cerința 6.1.3 f). Remediul e o coloană de risc rezidual în plan și o aprobare formală din partea proprietarului fiecărui risc.

Pentru firmele care intră sub NIS2 (transpusă în România prin OUG 155/2024 și consolidată prin Legea 124/2025), planul de tratare devine și dovada că gestionezi riscurile cerută de DNSC. Amenzile ajung la 10.000.000 EUR sau 2% din cifra de afaceri pentru entitățile esențiale și la 7.000.000 EUR sau 1,4% pentru cele importante.

Exemplu concret: de la risc la plan de tratare

Ai un SRL de IT cu 18 angajați care dezvoltă software pentru clienți din UE. La evaluare, identifici un risc: atac ransomware pe serverul cu codul sursă, fără backup offline. Probabilitate medie, impact mare, peste pragul acceptat.

Opțiunea aleasă: modificare. Controalele din Anexa A: backup securizat (A.8.13), protecție împotriva programelor malițioase (A.8.7), gestionarea vulnerabilităților tehnice (A.8.8). Responsabil: administratorul IT. Termen: 30 de zile. Buget alocat: o soluție de backup offline plus actualizarea politicii de patch-uri.

Riscul rezidual după implementare: scăzut, fiindcă rămâne posibilitatea unei erori umane la restaurare. Directorul tehnic, ca proprietar al riscului, semnează acceptarea. Rândul acesta din plan se reflectă apoi în Declarația de Aplicabilitate, unde cele trei controale apar marcate ca aplicabile, cu justificarea legată de risc.

Întrebări frecvente

Cine aprobă planul de tratare a riscurilor?

Proprietarii de risc, adică persoanele cu autoritate să decidă pentru fiecare risc. Ei aprobă planul și acceptă în scris riscurile reziduale, conform cerinței 6.1.3 f). De regulă sunt manageri de departament sau conducerea, nu responsabilul de securitate.

Câte opțiuni de tratare a riscului există în ISO 27001?

Patru: modificare (reducere prin controale), menținere (acceptare), evitare și partajare (transfer). Un risc poate primi o singură opțiune sau o combinație, atâta timp cât decizia e justificată în scris.

Ce este riscul rezidual?

Riscul care rămâne după ce ai aplicat controalele de tratare. Standardul cere să îl evaluezi și să îl documentezi, iar proprietarul de risc trebuie să îl accepte formal înainte de certificare.

Planul de tratare e obligatoriu pentru certificare?

Da. Clauza 6.1.3 e) îl cere explicit, iar auditorul îl verifică alături de evaluarea riscurilor și de Declarația de Aplicabilitate. Fără el nu obții certificatul ISO 27001.