Certificiranje organizacija

Uvod

U studenom 2013. godine je izdana je nova verzija norme ISO/IEC 27001 Informacijske tehnologije — Tehnike sigurnosti — Sustavi upravljanja sigurnošću informacija — Zahtjevi.
Međunarodna norma ISO/IEC 27001:2013 pripremila je grupa u okviru tehničkog odbora Međunarodne organizacije za normizaciju i Međunarodne elektrotehničke komisije ISO/IEC JTC 1/SC 27 Tehnike sigurnosti u informacijskoj tehnologiji.

Struktura i sadržajne promjene

Struktura nove verzije norme usklađena je sa strukturom koju je propisao Tehnički odbor ISO i koja je istovremeno jednaka strukturi predviđenoj za sve norme za sustave upravljanja, tako da će organizacije lakše integrirati različite sustave upravljanja (npr. Sustav upravljanja  kvalitetom, okolišem, zaštitom zdravlja i sigurnošću na radu). Iz tog razloga norma ima 10 poglavlja.
Sadržajne promjene su na području upravljanja sustavom, ali i tehničkom dijelu, jer sada norma većoj mjeri obuhvaća sva aktualna područja informacijskih tehnologija. Ona je usredotočena  na ocjenu i otklanjanje rizika sa svrhom da se zadovolje potrebe organizacije.

Glavne promjene navedene po svakom od poglavlja

1. Predmet i područje primjene
Poglavlje definira izuzimanja. Izuzimanja u 4. i 10 poglavlju nisu dozvoljena, što ne vrijedi za kontrole date u Prilogu A.

2. Normativne reference
ISO/IEC 27002 nije više naveden kao obavezan dokument, kao što je bio slučaj u prethodnoj verziji.

3. Termini i definicije
U poglavlju se više ne navode definicije i termini koji su navedeni u normi ISO 27000:2012.

4. Kontekst organizacije
Novo poglavlje navodi da organizacija mora razumjeti eksterne i interne zahtjeve i poziva se na ISO 31000:2009 Upravljanje rizicima – Principi i smjernice. Predmet i područje upravljanja sigurnošću informacija (ISMS) mora uzeti u  obzir potrebe i očekivanja zainteresiranih strana.

5. Liderstvo
Poglavlje opisuje zahtjeve koji se odnose na opredijeljenost uprave, politiku, kao i uloge, odgovornosti i ovlaštenja u sustavu upravljanja  sigurnošću informacija. Definirani su zahtjevi i značenja politike sigurnošću informacija (nema više pozivanja na sistemsku politiku upravljanja sigurnošću).

6. Planiranje
Zahtijevana je identifikacija rizika u vezi s gubitkom povjerljivosti, integriteta i raspoloživosti. Istovremeno se zahtjeva definiranje vlasnika rizika (prije nego kao vlasnika sredstava)

7. Podrška
U poglavlju su rezimirani zahtjevi u vezi s resursima, kompetentnošću, razvojem svijesti i komuniciranjem. Revidirani su i zahtjevi za upravljanje dokumentima i zapisima. Norma se poziva na upravljanje dokumentiranim informacijama koja obuhvaća:

  • Predmet i područje (obujam) sustava upravljanja sigurnošću informacija (4.3),
  • Politiku sigurnosti informacija (5.2),
  • Proces ocjenjivanja rizika po sigurnost informacija (6.1.2),
  • Proces upravljanja rizicima po sigurnost informacija (6.1.3),
  • Izjava o upotrebljivosti (6.1.3 d),
  • Ciljevi sigurnosti informacija (6.2),
  • Dokazi o kompetentnosti osoblja (7.2),
  • Dokumentirane informacije potrebne za efektivnost sustava (7.5.1b),
  • Planiranje i upravljanje dokumentiranim informacijama (8.1),
  • Rezultati ocjenjivanja rizika po sigurnost informacija (8.2),
  • Rezultati upravljanja rizicima po sigurnost informacija (8.3),
  • Dokazi o programima provjera i rezultatima provjera (9.2),
  • Dokazi o rezultatima preispitivanja od strane uprave (9.3),
  • Dokazi o prirodi nesukladnosti svim posljedičnim mjerama i o rezultatima korektivnih mjera (10.1).

8. Funkcioniranje
Poglavlje uključuje uvođenje i funkcioniranje iz prethodne verzije. Uključuje i zahtjeve da su procesi iz outsoursa utvrđeni i da se njima upravlja.

9. Vrednovanje
Poglavlje rezimira praćenje, mjerenje, analizu i vrednovanje usklađenosti sa zakonskim zahtjevima, interne provjere i preispitivanje od strane uprave. Preispitivanje od strane rukovodstva više nema definiranih izlaznih podataka.

10. Poboljšavanje Poglavlje donosi novi zahtjev da organizacija reagira na nesukladnosti i da provodi mjere za upravljanje njima i za njihovu korekciju. Zahtjev za stalno poboljšavanje je proširen: uključuje adekvatnost i usuglašenost, kao i efektivnost ISMS.

Aneks A Kontrole Promijenio se broj kontrola (sa 131 na 113) radi pokrivanja izmijenjenih prijetnji po sigurnost (npr. “cloud” poslovanje), uklanjanja dupliranja i uspostavljanja logičnog grupiranja. Dodane su bile kriptografske kontrole i sigurnost informacija u relacijama s isporučiocima.

Važenje i prijelazni period

ISO i akreditacijska tijela su za prelazak na novu normu  postavili sljedeća pravila:

  • U prijelaznom periodu, koji traje do 01.10.2015. godine, certifikati izdati prema zahtjevima norme ISO/IEC 27001:2005 i ISO/IEC 27001:2013 su podjednako važeći.
  • Prelazak na novu verziju norme ISO/IEC 27001:2013 će se provoditi prijelaznom provjerom tijekom redovne ili obnavljajuće provjere, najkasnije do kraja kolovoza 2015.
  • Poslije 12 mjeseci od objavljivanja ISO/IEC 27001:2013, a to je 01.10.2014. godine, moraju sve certifikacijske provjere izvoditi samo po ovom normi
  • Poslije 24 mjeseca od izdavanja norme ISO/IEC 27001:2013, a to je 01.10.2015. svi certifikati izdani prema normi ISO/IEC 27001:2005 će postati nevažeći.

Priprema organizacija na novo izdanje norme

Organizacije, koje već imaju certificiran sustav sigurnosti informacija u skladu sa zahtjevima norme ISO 27001:2005 imat će rok za prijelaz na novo izdanje norme do sredine 2015. godine. To znači da je na raspolaganju ostalo još malo vremena.

Sve naše klijente smo obavijestili o objavljivanju novog izdanja norme i upoznali ih s postupkom prijelaza. Organizacije moraju prije prijelaza detaljno proučiti zahtjeve nove norme, analizirati koje izmijenjene zahtjeve će organizacija morati uključiti u svoj sustav upravljanja sigurnošću upravljanja informacijama (ISMS) i da te izmjene provedu kroz adekvatne mjere u okviru ISMS. Dogovoreno je da organizacije pripreme plan prijelaza i da ga pošalju prosuditeljima prijelazne provjere.