ISO/IEC 27001 sistem upravljanja sigurnosti informacija

Porastom ovisnosti o informacijskim tehnologijama, otvorenosti organizacija i povećanjem značaja informacija u svakodnevnom poslovanju nastao je  standard za upravljanje sigurnosti informacija ISO/IEC 17799 i ISO/IEC 27001 kao rezultat želje da se urede i ujedine iste. Standard je alat nezavisan o upravljanju poslovanjem i pojedinim tehnološkim rješenjima a nudi cjelovit pregled sigurnosti informacija pri poslovanju organizacije. Ocjena informacijskih rizika je osnova za izradu sistema upravljanja sigurnosti informacija i od temeljnog je značaja.

Standard ISO/IEC 27002 nudi niz mjera za nadzor prepoznatih rizika, a koji su se kroz godine upotrebe unutar organizacija po svijetu pokazale kao primjeri dobre prakse. U četrnaest poglavlja opisanih je 114 kontrole. Prepoznatih je 35 različitih ciljeva.

Standard ISO/IEC 27001 zapisan  je u obliku zahtjeva, koje organizacija mora ispuniti, ukoliko želi pridobiti certifikat. Zahtjevi iz poglavlja 4, 5, 6, 7, 8, 9 i 10  moraju se poštovati u cijelosti i bez izostavljanja.

Uz spomenuta poglavlja standard sadrži i prilog A, gdje je izvadak 114 kontrola iz norme ISO/IEC 17799 i potrebno je za svaku izostavljenu kontrolu navesti razlog izostavljanja.

Standard je cjelovit u pogledu informacijske sigurnosti.  To znači  da ne definiše informacijske tehnologije i informacije u elektronskom obliku, nego informacije svih oblika i na svim medijima. U tom smislu je navedeno puno kontrola u potpunosti organizacijske prirode koje nisu povezane s tehnologijom (npr.: klasifikacija informacija, politika praznih stolova, fizičko osiguranje objekata ili opis čuvanja informacija u ugovorima o zapošljavanju).

Poslovne koristi uspostave sistema

  • prepoznavanje i smanjivanje sigurnosnih rizika na željeni nivo, 
  • poboljšavanje poslovnog partnerstva (veće povjerenje u razmjeni informacija), 
  • usvajanje procesa zaštite informacija.

    Tok certifikacije

    SIQ u saradnji sa CIS (Certification Information Security) iz Beča izvodi provjere i dodjeljuje akreditirane certifikate po zahtjevima standarda ISO/IEC 27001.

    Certifikacijski postupak uključuje provjeru dokumentacije i certifikacijsku provjeru, koja je sastavljena iz dva dijela.

    U prvom dijelu  certifikacijske provjere se fokusiramo na uspostavljenost i dokumentovanost sistema upravljanja sigurnosti informacijama. Provjeru u načelu izvodimo izvan organizacije i obuhvata slijedeće:

    • pregled sigurnosne politike i ciljeva,
    • pregled obima sistema, potpornih postupaka i kontrole,
    • izvještaj o ocjeni rizika,uvođenje programa i mjera za smanjenje rizika,
    • izjavu o primjerenosti, itd.

    Drugi dio certifikacijske provjere izvodimo u organizaciji Naglasak provjere je  na izvođenju i efikasnosti sistema upravljanja sigurnosti informacija, ispunjavanju  zahtjeva standarda ISO/IEC 27001, zakonskih zahtjeva i zahtjeva zainteresovanih stranaka.

    Nakon dodjele certifikata  jednom godišnje provjeravamo jednu trećinu vašeg poslovnog sistema i tu provjerimo da li Vaša organizacija još uvijek ispunjava propisane zahtjeve. Svake treće godine u toku recertifikacijske provjere ocjenjujemo cijeli sistem i njegovu  efikasnost. Certifikat je validan za period od tri godine.

    Šta donosi nov standard ISO 27001:2013?