Controale organizaționale ISO 27001: Anexa A.5
Cele 37 de controale organizaționale din Anexa A.5 ISO 27001:2022, grupate pe teme, cu legătura la GDPR și NIS2 și un exemplu de selecție în SoA.
Anexa A.5 din ISO 27001:2022 conține 37 de controale organizaționale, cel mai mare dintre cele patru grupuri de controale ale Anexei A. Ele acoperă politicile, rolurile, relația cu furnizorii, managementul incidentelor și cerințele legale. Nu le implementezi pe toate. Le selectezi pe baza evaluării de risc și le justifici în Declarația de Aplicabilitate.
Spre deosebire de controalele tehnologice (A.8), controalele A.5 nu cer echipamente sau software. Cer decizii: cine răspunde de ce, ce reguli scrii, cum verifici furnizorii. Fără ele, restul sistemului nu are cadru, motiv pentru care sunt printre primele verificate la audit.
Cum sunt grupate cele 37 de controale organizaționale?
Standardul le listează de la A.5.1 la A.5.37, fără subcategorii. În practică se împart pe șapte teme care urmează modul în care funcționează o firmă.
| Temă | Controale | Ce acoperă |
|---|---|---|
| Guvernanță și politici | A.5.1-A.5.8 | Politici, roluri, separarea sarcinilor, contact cu autoritățile, analiza amenințărilor, securitate în proiecte |
| Active și clasificare | A.5.9-A.5.14 | Inventar, utilizare acceptabilă, returnare, clasificare, etichetare, transfer |
| Acces și identitate | A.5.15-A.5.18 | Control acces, management identitate, autentificare, drepturi de acces |
| Furnizori și cloud | A.5.19-A.5.23 | Relația cu furnizorii, acorduri, lanț de aprovizionare, monitorizare, servicii cloud |
| Incidente | A.5.24-A.5.28 | Planificare, evaluare evenimente, răspuns, lecții învățate, colectarea probelor |
| Continuitate | A.5.29-A.5.30 | Securitate pe durata întreruperilor, pregătirea sistemelor pentru continuitate |
| Conformitate legală | A.5.31-A.5.37 | Cerințe legale, proprietate intelectuală, protecția înregistrărilor, date personale, revizuiri |
Gruparea ajută la Declarația de Aplicabilitate: tratezi tema cu tema, nu control cu control izolat. Clasificarea informațiilor și controlul accesului au ghiduri separate, fiind cele mai voluminoase: vezi clasificarea informațiilor și controlul accesului.
Ce acoperă politicile, rolurile și separarea sarcinilor?
Primele opt controale formează baza de guvernanță. Fără ele, celelalte teme nu au un cadru de aplicare.
A.5.1 Politici pentru securitatea informației cere un set de politici aprobate de conducere și comunicate angajaților. Documentul principal este politica de securitate a informației, completată de politici pe teme: parole, acces, utilizarea dispozitivelor.
A.5.2 Roluri și responsabilități stabilește cine răspunde de fiecare zonă de securitate. Într-un SRL mic, o singură persoană poate cumula rolurile, atât timp cât acestea sunt scrise și asumate.
A.5.3 Separarea sarcinilor cere ca aceeași persoană să nu controleze un proces de la cap la coadă fără verificare. Cel care aprobă un cont nou nu ar trebui să fie și cel care îl creează, ca să reduci riscul de fraudă internă.
A.5.4 Responsabilitățile managementului obligă conducerea să ceară activ respectarea regulilor, nu doar să le semneze. Controalele A.5.5 și A.5.6 cer puncte de contact cu autoritățile (de exemplu DNSC sau ANSPDCP) și cu grupuri de specialiști.
Cum gestionezi activele, clasificarea și accesul?
Nu poți proteja ce nu știi că ai. Controalele A.5.9-A.5.14 pornesc de la inventar și ajung la reguli de manipulare:
- A.5.9 Inventarul activelor: o listă cu echipamente, aplicații, baze de date și responsabilul fiecăruia
- A.5.10 Utilizarea acceptabilă: ce au voie angajații să facă cu laptopul, emailul și datele firmei
- A.5.11 Returnarea activelor: recuperezi laptopul, cardul de acces și conturile la plecarea unui angajat
- A.5.12 și A.5.13 Clasificarea și etichetarea: împarți informațiile pe niveluri (public, intern, confidențial) și le marchezi
- A.5.14 Transferul informațiilor: reguli pentru trimiterea datelor pe email, stick sau platforme externe
Controalele A.5.15-A.5.18 acoperă accesul logic: cine intră în ce sistem, cum se autentifică și ce drepturi are. Regula practică este accesul minim necesar, adică fiecare angajat primește doar drepturile cerute de postul lui. Detaliile sunt în ghidul despre controlul accesului.
Cum tratezi securitatea furnizorilor și serviciile cloud?
O greșeală frecventă: firma semnează cu un furnizor de hosting sau cu un dezvoltator extern fără nicio clauză de securitate în contract. Când furnizorul are o breșă, datele clienților tăi sunt expuse, iar răspunderea rămâne la tine. La audit, ți se cere dovada că ai evaluat furnizorul înainte de colaborare.
Controalele A.5.19-A.5.22 cer să verifici furnizorii, să incluzi cerințe de securitate în contracte și să monitorizezi serviciile primite. A.5.20 vizează direct clauzele contractuale: confidențialitate, notificarea incidentelor, dreptul de audit.
A.5.23 Securitatea serviciilor cloud este un control nou în versiunea 2022. Dacă firma ta folosește platforme cloud, stabilești cine răspunde de configurare, cum se face backupul și ce se întâmplă cu datele la încetarea contractului.
Cum acoperă A.5 incidentele, continuitatea și cerințele legale?
Controalele A.5.24-A.5.28 formează procedura de gestionare a incidentelor de securitate: planificare, evaluarea evenimentelor, răspuns, lecții învățate și colectarea probelor pentru o eventuală anchetă. A.5.29 și A.5.30 cer ca sistemele să reziste pe durata întreruperilor și să existe un plan de continuitate.
Ultimele controale leagă ISO 27001 de obligațiile legale:
- A.5.31 Cerințe legale și contractuale: identifici ce legi ți se aplică, de exemplu obligațiile din OUG 155/2024, transpunerea NIS2
- A.5.32 Proprietate intelectuală: licențe software, drepturi de autor
- A.5.33 Protecția înregistrărilor: păstrarea documentelor pe perioadele cerute de lege
- A.5.34 Confidențialitatea și protecția datelor personale: aici intră GDPR și Legea 190/2018
- A.5.35 și A.5.36 Revizuiri independente și verificarea conformității cu politicile
Pentru A.5.34, articolul 32 din GDPR cere măsuri tehnice și organizatorice de securitate, iar Legea 190/2018 adaugă reguli pentru prelucrarea CNP-ului și desemnarea unui responsabil cu protecția datelor. Autoritatea care verifică este ANSPDCP. O firmă care tratează corect A.5.34 acoperă deja o parte din obligațiile GDPR.
Care sunt cele trei controale noi din versiunea 2022?
Versiunea 2022 a adăugat în grupul A.5 trei controale care nu existau în ediția 2013:
- A.5.7 Analiza amenințărilor: colectezi și analizezi informații despre atacuri și vulnerabilități relevante pentru domeniul tău
- A.5.23 Securitatea serviciilor cloud: reguli pentru folosirea platformelor cloud
- A.5.30 Pregătirea sistemelor pentru continuitate: planuri prin care serviciile IT funcționează și după un incident major
Dacă firma ta folosește cloud sau a trecut printr-un incident în ultimii ani, aceste trei controale sunt aproape sigur aplicabile.
Cum selectezi controalele A.5 pentru firma ta?
Ai un SRL cu 15 angajați care dezvoltă software pentru clienți din Germania. Clienții cer ISO 27001 ca o condiție contractuală. La evaluarea de risc identifici riscurile principale: acces neautorizat la codul sursă, scurgerea datelor clienților și lipsa unui plan pentru incidente.
Din grupul A.5 incluzi: A.5.1 și A.5.2 (politici și roluri), A.5.7 (analiza amenințărilor, pentru că lucrezi cu cod expus online), A.5.19 și A.5.20 (furnizorii de hosting), A.5.23 (folosești servicii cloud), A.5.24-A.5.28 (procedura de incidente) și A.5.34 (prelucrezi date ale clienților, deci GDPR). Excluzi A.5.21 (lanțul de aprovizionare hardware), pentru că nu produci echipamente, și notezi motivul în Declarația de Aplicabilitate.
Fiecare control inclus primește o procedură sau o politică, fiindcă A.5.37 cere proceduri operaționale documentate. Fiecare control exclus primește o justificare scrisă. Aceasta este, în fond, toată logica grupului A.5: decizii clare, scrise, asumate. Pentru imaginea completă, vezi ghidul despre toate cele 93 de controale din Anexa A.
Întrebări frecvente
Sunt obligatorii toate cele 37 de controale organizaționale?
Nu. Le selectezi pe baza evaluării de risc. Orice control pe care nu îl aplici trebuie justificat în Declarația de Aplicabilitate. Multe firme mici exclud controalele legate de lanțul de aprovizionare hardware sau de proiecte mari de dezvoltare.
Care este diferența dintre controalele A.5 și clauzele 4-10 din ISO 27001?
Clauzele 4-10 sunt cerințe obligatorii ale sistemului de management: context, conducere, planificare, evaluare. Controalele A.5 din Anexa A sunt măsuri de securitate pe care le alegi în funcție de risc. Clauzele spun ce trebuie să faci, iar Anexa A oferă lista de controale din care alegi.
Cum dovedesc la audit că am implementat controalele A.5?
Prin documente și înregistrări: politici aprobate, fișe de rol, contracte cu furnizorii, registre de incidente și dovezi de instruire. Auditorul verifică dacă regulile scrise se aplică în practică, nu doar dacă există pe hârtie.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele