O firma de software din Iasi cu 28 de angajati a picat auditul de certificare ISO 27001 la prima incercare. Nu din cauza controalelor tehnice. Auditorul a deschis politica de securitate a informatiei, a gasit doua pagini copiate dintr-un template generic si a constatat ca nu mentiona nici macar domeniul de aplicare al SMSI. Neconformitate majora, audit oprit.
Politica de securitate a informatiei este documentul pe care auditorul il cere primul. Clauza 5.2 din ISO 27001:2022 o face obligatorie, iar continutul ei determina daca restul sistemului de management are o directie clara.
Intelege ce cere clauza 5.2
Clauza 5.2 pune responsabilitatea direct pe managementul de top. Nu pe departamentul IT, nu pe responsabilul de securitate. Directorul general sau consiliul de administratie trebuie sa stabileasca, sa aprobe si sa semneze politica.
Standardul cere ca politica sa indeplineasca patru conditii:
- Sa fie adecvata scopului organizatiei
- Sa includa obiective de securitate sau cadrul pentru stabilirea lor
- Sa contina angajamentul de a respecta cerintele legale aplicabile
- Sa contina angajamentul de imbunatatire continua a SMSI
Dupa aprobare, politica trebuie sa existe ca informatie documentata, sa fie comunicata in interiorul organizatiei si sa fie disponibila partilor interesate relevante (clienti, parteneri, autoritati).
Cat de detaliata trebuie sa fie politica SMSI?
Raspunsul scurt: nu foarte. Politica din clauza 5.2 este un document de nivel strategic. Ar trebui sa incapa pe o pagina, maxim doua. Ea stabileste directia generala, nu procedurile concrete. Procedurile si regulile detaliate intra in politicile specifice (controlul A.5.1 din Anexa A).
Structureaza politica pe sectiuni clare
Un model practic de structura contine sapte sectiuni. Fiecare are un rol precis in audit:
| Sectiune | Ce scrii |
|---|---|
| Scopul politicii | De ce exista documentul si ce urmareste |
| Domeniul de aplicare | Ce sisteme, procese, locatii si persoane acopera SMSI |
| Principii de securitate | Confidentialitate, integritate, disponibilitate aplicate la contextul firmei |
| Obiective | Obiective masurabile (ex: zero incidente cu pierdere de date personale in 12 luni) |
| Angajamente | Conformitate legala si imbunatatire continua (obligatorii prin clauza 5.2) |
| Responsabilitati | Cine raspunde de implementare, monitorizare si revizuire |
| Revizuire | Frecventa de actualizare si conditiile care declanseaza o revizuire anticipata |
Angajamentele din sectiunea 5 sunt cele pe care auditorul le cauta in mod explicit. Daca lipseste angajamentul de imbunatatire continua, ai neconformitate. Daca lipseste referinta la cerintele legale, la fel.
Separa politica SMSI de politicile specifice
Aici se incurca majoritatea organizatiilor. ISO 27001 cere doua niveluri de politici, iar ele au roluri diferite:
Politica SMSI (clauza 5.2) este documentul strategic, semnat de conducere. Ea spune „ne angajam sa protejam informatiile conform ISO 27001 si legislatiei aplicabile.” Nu contine reguli tehnice.
Politicile specifice (Anexa A, control 5.1) sunt documentele operationale. Ele descriu regulile concrete pentru fiecare domeniu:
- Politica de control al accesului (cine primeste acces, cum se aproba, cand se revoca)
- Politica de parole (lungime minima, frecventa schimbarii, interdictia reutilizarii)
- Politica de backup (ce date, cat de des, unde se stocheaza copiile, cum se testeaza restaurarea)
- Politica de gestionare a incidentelor (cum se raporteaza, cine coordoneaza raspunsul, termene)
- Politica de utilizare acceptabila (ce pot face angajatii cu echipamentele si datele firmei)
O firma medie are intre 8 si 15 politici specifice. Numarul depinde de complexitatea operatiunilor si de controalele selectate in Declaratia de Aplicabilitate.
De ce conteaza aceasta separare la audit?
Auditorul verifica mai intai daca politica SMSI exista si este aprobata de conducere. Apoi verifica daca politicile specifice sunt conforme cu directia stabilita in politica SMSI. Daca ai o politica de parole care permite parole de 4 caractere, dar politica SMSI mentioneaza „protectia informatiilor conform bunelor practici”, auditorul va nota inconsistenta.
Comunica politica angajatilor si partilor interesate
ISO 27001 nu accepta politica de securitate tinuta intr-un sertar. Clauza 5.2 cere explicit comunicare. In practica, asta inseamna:
- Prezentare in cadrul unui training de constientizare la angajare
- Accesibilitate permanenta (intranet, folder partajat, afisare la sediu)
- Confirmare scrisa ca angajatul a citit si inteles documentul
- Recomunicare la fiecare revizuire a politicii
Pentru partile interesate externe (clienti, furnizori), politica SMSI se poate pune la dispozitie la cerere. Unele firme o publica pe site in versiune simplificata.
Daca organizatia ta intra sub incidenta OUG 155/2024 (transpunerea NIS2), art. 14 cere formarea profesionala a membrilor consiliului de administratie in gestionarea riscurilor de securitate cibernetica. Politica SMSI devine referinta directa pentru aceasta formare.
Revizuieste politica periodic si la schimbari
Standardul nu precizeaza o frecventa exacta, dar practica acceptata este revizuirea cel putin o data pe an. Pe langa revizuirea planificata, politica trebuie actualizata cand:
- Firma schimba sediul, adauga o locatie noua sau trece la munca remote
- Apare legislatie noua (cum a fost Legea 124/2025 care a completat cadrul NIS2 in Romania)
- Se produce un incident de securitate care releva o lacuna in politica
- Se modifica domeniul de aplicare al SMSI (sisteme noi, clienti noi, servicii noi)
Fiecare revizuire trebuie documentata: data, ce s-a modificat, cine a aprobat noua versiune. Auditorul de supraveghere compara versiunea curenta cu cea din auditul anterior.
Pune in practica: exemplu concret
Ai un SRL cu 40 de angajati care dezvolta o aplicatie fintech si prelucrezi date financiare ale clientilor. Esti entitate importanta conform OUG 155/2024, deci ai obligatii NIS2. Vrei sa obtii certificarea ISO 27001.
Politica SMSI va mentiona: scopul (protejarea datelor financiare si personale ale clientilor), domeniul (platforma, infrastructura cloud, angajatii cu acces la date), angajamentul de conformitate cu GDPR si OUG 155/2024, obiectivul de zero incidente cu pierdere de date in urmatoarele 12 luni si angajamentul de imbunatatire continua.
Din aceasta politica vei deriva 10 politici specifice: acces, parole, criptare, backup, gestionare incidente, utilizare acceptabila, securitate fizica, securitate furnizori, clasificare informatii si gestionare vulnerabilitati. Fiecare va contine reguli concrete, cu responsabili si termene. Intregul set de documente se construieste in faza de implementare, dupa evaluarea de risc.