UNIVERSITETI I TIRANËS

FAKULTETI I EKONOMISË
DEPARTAMENTI
STATISTIKË DHE INFORMATIKË E ZBATUAR

TEMA:Një vështrim i përgjithshëm i standartit

27001 dhe 27002

Lënda:Siguri Informacioni

Punoi:Kristo Tarifa Pranoi:Prof Jorgo Çipa

Grupi:IE 304
 Një vështrim i përgjithshëm i standartit 27001
dhe 27002

Abstrakti: Ky artikull analizon ose hedh një vështrim të përgjithshëm mbi standartet 27001 dhe
27002.Synimi kryesor është argumentimi se sa të rëndësishme janë standartet për jetën tonë,(si p.sh në
mbrojtejen e informacionit,marrjen e rreziqeve etj).Këto dhe informacione të tjera të lidhura me standartet
do trajtohen më poshtë më hollësisht.
 1. Hyrje
ISO (International Organization for Standardization) eshte organizata boterore per hartimin dhe
publikimin e standarteve nderkombetare ne fusha te ndryshme. ISO ofron mjete dhe udhezime praktike
per te organizuar dhe perballur me sukses sfidat e sotme globale neper institucione. ISO ka nje sere
standartesh ne fushen e Shendetesise dhe Sigurise, Sherbimeve, Ushqimit, Teknologjive te Informacionit
etj.
Standartet ISO garantojne qe produktet dhe sherbimet jane te sigurta, te besueshme dhe te nje cilesie te
mire.
Kështu, në mënyrë të përmbledhur, nëse merrni këshilla për të marrë një kopje të të dy 27001 dhe 27002,
nuk janë dy standarde të veçanta të çertifikimit, por një standard çertifikimi dhe një dokument shoqërues
udhëzues.
Certifikimi me ISO Standarde është prioritet i lartë për bizneset dhe institucionet sipas kërkesave
ndërkombëtare që ndikon në lehtësimin e hyrjes në tregjet Evropiane dhe botërore.
 2. Çfarë është ISO 27001?
ISO 27001 është standardi ndërkombëtar i cili njihet globalisht për administrimin e rreziqeve për sigurinë
e informacionit që ju mbani. Çertifikimi në ISO 27001 ju lejon t'ju provoni klientëve tuaj dhe palëve të
tjera të interesuara që po menaxhoni sigurinë e informacionit tuaj. ISO 27001: 2013 (versioni aktual i ISO
27001) ofron një seri kërkesash të standardizuara për një sistem të menaxhimit të sigurisë së
informacionit (ISMS). Standardi adopton një qasje të bazuar në proces për krijimin, zbatimin,
funksionimin, monitorimin, mirëmbajtjen dhe përmirësimin e ISMS-it tuaj.
Standardi ISO 27001 dhe ISMS sigurojnë një kornizë për praktikën më të mirë të administrimit të sigurisë
së informacionit që ndihmon organizatat:
- Mbroni informacionin e klientit dhe të punonjësve.
- Menaxhoni rreziqet për sigurinë e informacionit në mënyrë efektive.
- Arritja e pajtueshmërisë me rregulloret siç është Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave të
Bashkimit Evropian (EU GDPR).
- Mbroni imazhin e markës së kompanisë.

2.1 Çfarë është një ISMS (SMSI)?

Një SMSI është një qasje sistematike për të menaxhuar informacionet sensitive të kompanisë, për ti mbajt
ato të sigurta.SMSI përfshin njerzit,proceset dhe sistemet IT,duke integruar të menaxhimit të riskut.

2.2 Përfitimet e ISO 27001.

Mbrojtja e informacionit të organizatës suaj është thelbësore për menaxhimin e suksesshëm dhe
funksionimin e qetë të organizatës suaj. Arritja e ISO 27001 do të ndihmojë organizatën tuaj në
administrimin dhe mbrojtjen e të dhënave tuaja të vlefshme dhe aseteve të informacionit. Duke arritur
çertifikimin në ISO 27001 organizata juaj do të jetë në gjendje të korr përfitime të shumta dhe të
qëndrueshme, duke përfshirë:
- Mban informacione konfidenciale.
- Ju siguron klientëve dhe palëve të interesit besim në mënyrën e menaxhimit të rrezikut.
- Lejon për shkëmbim të sigurt të informacionit.
- Ju ndihmon të respektoni rregulloret e tjera (p.sh. SOX).
- Ju ofrojmë një avantazh konkurrues.
- Kënaqësi e rritur e klientit që përmirëson mbajtjen e klientit.
- Konsistencë në ofrimin e shërbimit ose produktit tuaj.
- Menaxhon dhe minimizon ekspozimin ndaj rrezikut.
- Ndërton një kulturë të sigurisë.
- Mbron kompaninë, asetet, aksionarët dhe drejtorët.

2.3 Akreditimi ISO 27001.

Certifikimi Evropë është akredituar nga INAB për të audituar dhe certifikuar organizatat në ISO 27001.
Termi "Akreditim" mund të çojë në konfuzion për organizatat. Për të sqaruar, vetëm organet e certifikimit
mund të akreditohen për një standard. Si një organizatë, ju jeni të çertifikuar në një standard. Si një organ
çertifikimi i akredituar, ne i çertifikojmë klientët tanë kur ata i kanë përmbushur me sukses kërkesat e ISO
27001. Akreditimi është procesi me të cilin një organ çertifikues njihet për të ofruar shërbime çertifikimi.
Në mënyrë që të bëhen të akredituar, Certifikimi Evropë u kërkohet të implementojë ISO 17021 i cili
është një grup kërkesash për organet certifikuese që ofrojnë auditim dhe çertifikim të sistemeve të
menaxhimit. Ificationertifikimi Evropa kontrollohet çdo vit nga organet tona të akreditimit për të siguruar
që shërbimet e saj plotësojnë kërkesat e sakta të standardeve përkatëse të akreditimit.

2.4 Cilat industri implementojnë ISO 27001?

Certifikimi ISO 27001 është i përshtatshëm për çdo organizatë, të madhe apo të vogël, në çdo sektor.
Standardi është veçanërisht i përshtatshëm kur mbrojtja e informacionit është kritike, siç është në sektorin
bankar, financiar, shëndetësi, publik dhe IT. Standardi është gjithashtu i zbatueshëm për organizatat që
menaxhojnë vëllime të mëdha të të dhënave, ose informacione në emër të organizatave të tjera, të tilla si
qendrat e të dhënave dhe kompanitë që japin shërbime informatike.

3. Çfarë është ISO 27002?

ISO / IEC 27002 është standardi ndërkombëtar që përshkruan praktikat më të mira për zbatimin e
kontrolleve të sigurisë së informacionit. ISO / IEC 27002 është standardi shoqërues për ISO / IEC 27001,
standard ndërkombëtar që përshkruan specifikimet për një sistem të menaxhimit të sigurisë së
informacionit (ISMS).
Ky standard përfshin kontrollet që janë pjesë e rëndësishme e menaxhimit të sigurisë së informacionit për
të gjitha organizatat. Çdo organizatë që ruan dhe administron informacionin duhet të ketë kontrolle për të
adresuar rreziqet e sigurisë së informacionit.
Megjithëse kërkesat specifike për trajtimin e sigurisë së informacionit mund të jenë të ndryshme, ka
shumë organizata të ngjashme kontrolli që mund të vendosen për të siguruar të dhënat e tyre dhe në
përputhje me standardet ligjore.

3.1 Cilat janë qëllimet e saj?

Qëllimi kryesor i ISO 27002 është të krijojë udhëzime dhe parime të përgjithshme për fillimin, zbatimin,
ruajtjen dhe përmirësimin e menaxhimit të sigurisë së informacionit në një organizatë. Kjo gjithashtu
përfshin përzgjedhjen, zbatimin dhe menaxhimin e kontrolleve, duke marrë parasysh mjediset e rrezikut
që gjenden në kompani.
 3.2 Përfitime e ISO 27002?
Përparësitë e ofruara nga certifikimi ISO 27002 janë përfaqësuese për kompanitë, kryesisht sepse ato
njihen në të gjithë botën. Njihni disa përfitime që lidhen me aplikimin e standardit:
- Ndërgjegjësim më i mirë për sigurinë e informacionit.
- Kontroll më i madh i pasurive dhe informacioneve të ndjeshme.
- Siguron një qasje për zbatimin e politikave të kontrollit.
- Mundësia për të identifikuar dhe korrigjuar dobësitë.
- Ulja e rrezikut të përgjegjësisë për mos zbatimin e një ISMS ose përcaktimi i politikave dhe
procedurave.
- Ai bëhet një diferencial konkurrues për arritjen e klientëve që vlerësojnë certifikimin.
- Organizim më i mirë me procese dhe mekanizma të mirë-dizajnuar dhe të menaxhuar.
- Promovon uljen e kostos me parandalimin e incidenteve të sigurisë së informacionit.
- Pajtueshmëria me legjislacionin dhe rregulloret e tjera.

3.3 Cilat janë pikat kryesore që përmbajnë ISO 27002?

Pjesa kryesore e standardit është vendosur në seksionet e mëposhtme, të cilat korrespondojnë me
kontrollet e sigurisë së informacionit. Vlen të kujtohet se organizata mund t'i përdorë këto udhëzime si
bazë për zhvillimin e ISMS. Si në vazhdim:
- Politika e sigurisë së informacionit
Një dokument duhet të krijohet mbi politikën e sigurisë së informacionit të kompanisë, që përmban
konceptet e sigurisë së informacionit, një strukturë për të vendosur qëllimet dhe format e kontrollit,
angazhimin e menaxhmentit ndaj politikës, midis shumë faktorëve të tjerë.
- Organizimi i sigurisë së informacionit
Për të zbatuar Sigurinë e Informacionit në një kompani është e nevojshme të krijoni një kornizë për ta
menaxhuar atë si duhet. Për këtë, aktivitetet e sigurisë së informacionit duhet të koordinohen nga
përfaqësues të organizatës, të cilët duhet të kenë përgjegjësi të përcaktuara mirë, duke mbrojtur
informacione me një natyrë konfidenciale.
- Menaxhimi i pasurive
Pasuria, sipas normës, është gjithçka që ka vlerë për organizatën dhe e cila duhet të mbrohet. Për këtë,
aktivi duhet të identifikohet dhe klasifikohet në mënyrë që një inventar të strukturohet dhe të mirëmbahet
më pas. Për më tepër, ata duhet të ndjekin rregulla të dokumentuara, të cilat përcaktojnë se çfarë lloj
përdorimi lejohet për ato pasuri.
- Siguria e burimeve njerëzore
Para punësimit të punonjësve - apo edhe furnitorëve - është e rëndësishme që ata të analizohen siç duhet,
veçanërisht nëse merren me informacion të ndjeshëm. Synimi i kësaj pjese është të zbusë rrezikun e
vjedhjes, mashtrimit ose keqpërdorimit të burimeve. Kur disa punonjës janë duke punuar në kompani, ata
duhet të jenë të vetëdijshëm për kërcënimet në lidhje me sigurinë e informacionit, si dhe përgjegjësitë dhe
detyrimet e tyre.
- Siguria fizike dhe e mjedisit
Pajisjet dhe pajisjet për përpunimin kritik ose të ndjeshëm të informacionit duhet të ruhen në zona të
sigurta, me nivele të përshtatshme dhe kontrolle aksesi, duke përfshirë mbrojtjen ndaj kërcënimeve fizike
dhe mjedisore.
- Siguria e operacioneve dhe komunikimit
Shtë e rëndësishme të përcaktohen procedurat dhe përgjegjësitë për menaxhimin dhe funksionimin e të
gjitha burimeve të përpunimit të informacionit. Kjo përfshin menaxhimin e shërbimit të jashtëm,
planifikimin e burimeve të sistemit për të minimizuar rrezikun e dështimeve, krijimin e procedurave
rezervë dhe rimëkëmbjen, dhe administrimin e sigurt të rrjeteve të komunikimit.
- Kontrolli i qasjes
Qasja në informacion, si dhe burimet e përpunimit të informacionit dhe proceset e biznesit, duhet të
kontrollohen bazuar në kërkesat e biznesit dhe sigurinë e informacionit. Duhet të sigurohet qasja e
autorizuar e përdoruesit, si dhe të parandalohet qasja e paautorizuar në sistemet e informacionit, në
mënyrë që të shmanget dëmtimi i dokumenteve dhe burimeve të përpunimit të informacionit që janë në
dispozicion të kujtdo.
- Blerja, zhvillimi dhe mirëmbajtja e sistemeve
Kërkesat e sigurisë së sistemeve të informacionit duhen identifikuar dhe rënë dakord përpara zhvillimit të
tyre dhe / ose zbatimit të tyre, në mënyrë që ato të mbrohen në mënyrë që të ruajnë konfidencialitetin,
origjinalitetin ose integritetin e tyre me mjete kriptografike.
- Menaxhimi i incidenteve të sigurisë së informacionit
Procedurat zyrtare të regjistrimit dhe përshkallëzimit duhet të vendosen; punonjësit, furnitorët dhe palët e
treta duhet të jenë të vetëdijshëm për procedurat për raportimin e ngjarjeve të sigurisë së informacionit për
të siguruar që ato raportohen sa më shpejt që të jetë e mundur dhe korrigjohen në kohën e duhur.
- Menaxhimi i vazhdimësisë së biznesit
Planet e vazhdimësisë së biznesit duhet të hartohen dhe zbatohen për të parandaluar ndërprerjen e
aktiviteteve të biznesit, si dhe për të siguruar që operacionet thelbësore të rikuperohen shpejt.
- Pajtueshmëria
Shtë e rëndësishme të shmangni shkeljen e ndonjë ligji penal ose civil, duke siguruar statut, rregullore ose
detyrime kontraktuale, si dhe çdo kërkesë për sigurinë e informacionit. Nëse është e nevojshme,
kompania mund të punësojë një konsulencë të specializuar për të verifikuar pajtueshmërinë e saj dhe
respektimin e kërkesave ligjore dhe rregullatore.
 4. Diferenca midis ISO 27001 dhe ISO 27002?
Me pak fjalë, ISO 27001 është standardi për zbatimin e një sistemi të menaxhimit të sigurisë së
informacionit (ISMS), ndaj të cilit kompanitë janë të çertifikuara kundër. Ai detajon se çfarë organizatash
duhet të zbatojnë në mënyrë që të ketë një ISMS që plotëson kërkesat e ISO 27001. Për të përgjithësuar,
ISO 27002 dhe një numër standardesh të tjera në të njëjtën familje 27000, mund të konsiderohet se janë
dokumente mbështetës për ISO 27001, duke dhënë udhëzime dhe këshilla për zbatimin.
Titujt zyrtarë të dy standardeve janë si më poshtë:
- ISO 27001: 2013 Sistemet e menaxhimit të sigurisë së informacionit - kërkesat
- ISO 27002: 2013 Kodi i praktikës për kontrollet e sigurisë së informacionit
Në tërësi, ndërsa pajtueshmëria me ISO 27001 diskutohet zakonisht, ekzistojnë një numër standardesh të
tjera në familjen ISO 27000, të cilat ndihmojnë në ofrimin e udhëzimeve për zbatimin e ISO 27001. ISO
27002 është më i njohuri nga këto. Për ta thënë një mënyrë tjetër, ISO 27002 është udhëzim zbatimi për
ISO 27001 - i ndihmon organizatat të konsiderojnë ato që duhet të vendosin për të përmbushur kërkesat e
ISO 27001. Vlen të lexohet ISO 27002 për të parë mënyrat tipike që një kërkesë prej 27001 mund të Ji i
kenaqur. Një auditor mund të ju tregojë udhëzimet e zbatimit në 27002 nëse diskutoni se si mund të
adresohet një hendek në pajtueshmëri. Pikat kryesore janë:
- Një kompani nuk mund të çertifikohet në ISO 27002. Ajo është vetëm një dokument udhëzues.
Kompania është çertifikuar kundër 27001.
- Pajtueshmëria me ISO 27002 mund të mos nënkuptojë shumë, pasi do të ishte shumë e kushtueshme të
respektohen të gjitha udhëzimet e zbatimit, në mënyrë alternative zgjedhja e udhëzimeve për tu përdorur
pa vlerësimin dhe menaxhimin e rrezikut të përfshirë me ISO 27001 e bën të pakuptimtë. Pajtueshmëria
me 27001 ka më shumë kuptim, megjithatë kjo do të ishte pa certifikim nga një Organ Çertifikues që do
të bënte auditime të rregullta dhe vetë do të auditohet.
Pra, nëse shihni një kompani që thotë se ata janë të ankesës ndaj ISO 27002, duke ofruar auditime të
pajtueshmërisë ISO 27002, apo edhe duke ofruar trajnim ISO 27002, konsideroni kujdes, pasi në të gjithë
skenarët e trainimit të ngrohtë, ISO 27001 do të ishte standardi i pritshëm dhe mund të tregojë një
mungesë mirëkuptimi.
Referencat:
1) 27001:
 https://www.certificationeurope.com/certification/iso-27001-information-security/
 https://fzkm.org/certifikimi-iso-27001/
 http://www.acg-kosova.com/certifikimi-iso/

2) 27002:
 https://ostec.blog/en/general/iso-27002-best-practices-ism

3) Ndryshimet midis tyre:

 https://www.dionach.com/blog/what-is-the-difference-between-iso-27001-and-iso-27002