ISO 27001 Sistem menadžmenta bezbednošću informacija
Šta je ISO 27001?
Vrednost saznanja ili očuvanja određenih informacija ili podataka često ume da bude neuporedivo veća od vrednosti velike količine robe ili vremena i resursa potrebnih za pružanje određene usluge. Nije mali broj eksperata i stručnjaka koji tvrde da upravo oni koji kontrolišu i vladaju informacijama u isto vreme vladaju i kontrolišu tržište.
Bespredmetno je naznačavati koliko je za svaku firmu ili organizaciju važno da zaštiti svoje poverljive podatke i informacije. Sačuvati poverljivost važnih podataka je dodatno otežano usled raznih izazova koje donosi savremeno doba, ali je ipak ostvarivo i to uz pomoć ISO 27001 Sistema menadžmenta bezbednosti informacija.
Standard ISO 27001 je međunarodno prepoznati okvir prema kojem se vrši upravljanje bezbednosti informacija. Pripada seriji standarda ISO 27000 (uključujući ISO 27002 i ISO 27005) i pomaže organizacijama da identifikuju rizike otkrivanja bitnih informacija, te da, u skladu sa tim, postave odgovarajuće mere kontrole sa ciljem smanjenja tog rizika.
Standard ISO 27001 pomaže kompanijama i organizacijama da:
- Prepoznaju rizike i uspostave adekvatne mere kontrole koje će njima upravljati ili ih smanjiti;
- Uspostave fleksibilnost tokom procesa prilagođavanja postavljenih mera kontrola u svim izabranim oblastima svog poslovanja;
- Pridobiju poverenje zainteresovanih strana i klijenata tako što im garantuju zaštitu njihovih podataka;
- Demonstriraju skladnost i pridobiju status poželjnog dobavljača;
- Ispune više zahteva tendera, prikazivajući skladnost.
Kome je namenjen ISO 27001?
ISO 27001 standard je značajan standard za organizacije koje se bave uslugama u oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i potrebom za očuvanje poverljivosti informacija. Implementacija i primena standarda ISO 27001 omogućavaju bolju saradnju sa sličnim organizacijama širom sveta koje posluju po ovom modelu. Ovim standardom, organizacije demonstriraju svojim korisnicima i ostalim zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa sigurnosti i da je poslovna politika usmerena na stalna poboljšavanja u Sistemu menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa njim.
Struktura standarda ISO 27001?
Tipovi informacija na koje se odnosi Sistem menadžmenta bezbednošću informacija su pisane informacije, štampane informacije, informacije u elektronskim formatima, informacije poslane poštom, informacije poslane elektronskom poštom, foto, audio, video informacije – audiovizuelne informacije.
Dokumentovani Sistem menadžmenta bezbednošću informacija sastoji se od niza dokumenata: Poslovnika bezbednosti informacija (Politika bezbednosti informacija), Procedura, Instrukcija i Zapisa.
Izvori pretnji po bezbednost informacija mogu biti interni ili eksterni i namerni ili nenamerni. Najčešći incidenti informacione bezbednosti su prirodne nepogode (zemljotres, poplava, požar, udar groma), zlonamerni napadi (malware), interni napadi (zloupotrebe), nenamerne, nesvesne ljudske greške, kvarovi opreme i/ili instalacija informacionog sistema.
Sigurnosne mere koje će se implementirati su obično u formi pravila, procedura i tehničkih rešenaja (npr. softvera i opreme). Međutim, u većini slučajeva organizacije već imaju sav potreban hardver i softver, ali ih koriste na nesiguran način – zato se većina primene ISO 27001 odnosi na uspostavu organizaciskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se sprečilo narušavanje sigurnosti – bezbednosti informacija.
Budući da će takva primena rešenja – upravljanje mnogobrojnim pravilima, procedurama, ljudstvom, sredstvima itd., narušiti postojeća pravila i politiku kuće, ISO 27001 opisuje kako uklopiti sve te elemente u postojeći sistem upravljanja informaciskom bezbednošću. Upravljanje bezbednošću informacija se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku zaštitu i slično.
Prednosti uvođenja ISO 27001?
- Čuva poverljive informacije organizacije i zainteresovanih strana,
- Zaštita podataka o ličnosti u skladu sa Zakonom ili zahtevima GDPR,
- Pruža korisnicima i zainteresovanim stranama poverenje u načinu upravljanja rizikom,
- Omogućuje bezbednu razmenu informacija,
- Omogućuje usaglašenost sa zakonskim propisima,
- Poboljšava konkurentnost,
- Konzistentnost u isporuci usluge ili proizvoda,
- Smanjuje pojavu rizika u poslovanju,
- Izgrađuje bezbednosnu kulturu,
- Štiti organizaciju, imovinu i zainteresovane strane.
Standard ISO 27001 je međunarodni standard koji se odnosi na zaštitu i bezbednost informacija. Standard podleže različitim područjima primene kao i za razlikovanje mogućih procesa u organizaciji koji su povezani sa upravljanjem kontrole sigurnosti kao sto su: politika sigurnosti, sigurnost organizacije, kontrola i klasifikacija izvora, sigurnost osoblja, sigurnost materijalnih dobara i životne sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje raznih sistema i upravljanje kontinuitetom poslovanje.
Ova serija obuhvata standarde koji: definišu zahteve za ISMS kao i zahteve za tela koja sertifikuju ISMS; obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planiraj-uradi-proveri-deluj (Plan-Do-Check-Act); daje specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS.
Šta je to implementacija ISO 27001?
U sklopu Vašeg poslovanja osigurajte svoje bitne podatke i informacije primenom standarda ISO 27001. Svaki posao ima jedinstveni spoj podataka sa kojima upravlja i jedinstvene vrste rizika kojima treba da upravlja. Svaka organizacija je u posebnoj fazi upravljanja ovog sistema. Standard ISO 27001 može da bude prilagođen samo proizvodima i uslugama koje nudi Vaša organizaciji. Implementiranjem standarda ISO 27001, organizacija može smanjiti troškove na suvišnim proizvodima i uslugama i lakše prevazići probleme sa kojima se svakodnevno suočava.
Saveti za implementaciju standarda ISO 27001
- Obezbedite podršku i posvećenost višeg menadžmenta;
- U celokupnom poslovanju obezbedite dobru internu komunikaciju;
- Uporedite stanje postojećeg Sistema menadžmenta bezbednošću informacija sa zahtevima standarda ISO 27001;
- Uspostavite i odredite tim za implementaciju;
- Isplanirajte i dodelite uloge, obaveze i rasporede;
- Prilagodite osnovne zahteve standarda ISO 27001 Vašem poslovanju;
- Motivišite uključenost zaposlenih raznim obukama i treninzima;
- Delite svoje znanje o načinu upravljanja sistema ISO 27001 sa svojim kolegama i podstaknite zaposlene da se obuče za interne auditore;
- Redovno preispitujte sistem ISO 27001 kako biste bili sigurni da ga neprestano unapređujete.
Šta je to sertifikacija ISO 27001?
Pomoću sertifikovanog standarda ISO 27001 svoje informacije čuvajte bezbednim i pokažite da držite pod kontrolom rizike vezane za bezbednost informacija. Usklađenost sa svetskim standardima može da vam pomogne da pridobijete poverenje vaših klijenata i da vam otvori nove poslovne mogućnosti.
- Analiza neusaglašenosti
Analiza neusaglašenosti predstavlja opcionu aktivnost u kojoj se sagledava Vaš postojeći sistem bezbednosti informacija i upoređuje se sa zahtevima standarda ISO 27001. Na ovaj način, identifikuju se oblasti koje treba unaprediti pre nego što se nastavi sa formalnom procenom.
- Formalna procena
Formalna procena je dvostepeni proces, u kojoj će konsultant najpre da ispita spremnost Vaše organizacije za procenu, tako što će proveriti neophodne procedure standarda ISO 27001 i razvijenost uspostavljenih kontrola. Detalji naših analiza će biti podeljeni sa Vama i u slučaju pronalazaka neusaglašenosti, imaćete mogućnost rešavanja istih. U slučaju kada su svi zahtevi ispunjeni, prelazi se na procenu nivoa implementacije procedura i kontrolu u okviru organizacije, prema zahtevima sertifikacije standarda ISO 27001.
- Sertifikacija
Kada se završi sa formalnom procenom, dobija se sertifikat ISO 27001, koji ima važnost tri godine, pod uslovom godišnjeg nadzora.
Koraci ka sertifikaciji / dobijanju sertifikata ISO 27001
- Popis imovine,
- Analiza rizika,
- Tretman analize rizika,
- Obuka,
- Izrada dokumentacije,
- Implementacija,
- Obuka za interne proveravače i održavanje interne provere,
- Preispitivanje od strane rukovodstva,
- Prijava za sertifikaciju,
- Faza 1 – sertifikaciona provera,
- Faza 2 – sertifikaciona provera,
- Izdavanje ISO 27001 sertifikata,
- Kontinuirano unapređenje sistema kroz dodatni konsalting i obuku.
Related Posts