Certificiranje organizacija
Uvod
U studenom 2013. godine je izdana je nova verzija norme ISO/IEC 27001 Informacijske tehnologije — Tehnike sigurnosti — Sustavi upravljanja sigurnošću informacija — Zahtjevi.
Međunarodna norma ISO/IEC 27001:2013 pripremila je grupa u okviru tehničkog odbora Međunarodne organizacije za normizaciju i Međunarodne elektrotehničke komisije ISO/IEC JTC 1/SC 27 Tehnike sigurnosti u informacijskoj tehnologiji.
Struktura i sadržajne promjene
Struktura nove verzije norme usklađena je sa strukturom koju je propisao Tehnički odbor ISO i koja je istovremeno jednaka strukturi predviđenoj za sve norme za sustave upravljanja, tako da će organizacije lakše integrirati različite sustave upravljanja (npr. Sustav upravljanja kvalitetom, okolišem, zaštitom zdravlja i sigurnošću na radu). Iz tog razloga norma ima 10 poglavlja.
Sadržajne promjene su na području upravljanja sustavom, ali i tehničkom dijelu, jer sada norma većoj mjeri obuhvaća sva aktualna područja informacijskih tehnologija. Ona je usredotočena na ocjenu i otklanjanje rizika sa svrhom da se zadovolje potrebe organizacije.
Glavne promjene navedene po svakom od poglavlja
1. Predmet i područje primjene
Poglavlje definira izuzimanja. Izuzimanja u 4. i 10 poglavlju nisu dozvoljena, što ne vrijedi za kontrole date u Prilogu A.
2. Normativne reference
ISO/IEC 27002 nije više naveden kao obavezan dokument, kao što je bio slučaj u prethodnoj verziji.
3. Termini i definicije
U poglavlju se više ne navode definicije i termini koji su navedeni u normi ISO 27000:2012.
4. Kontekst organizacije
Novo poglavlje navodi da organizacija mora razumjeti eksterne i interne zahtjeve i poziva se na ISO 31000:2009 Upravljanje rizicima – Principi i smjernice. Predmet i područje upravljanja sigurnošću informacija (ISMS) mora uzeti u obzir potrebe i očekivanja zainteresiranih strana.
5. Liderstvo
Poglavlje opisuje zahtjeve koji se odnose na opredijeljenost uprave, politiku, kao i uloge, odgovornosti i ovlaštenja u sustavu upravljanja sigurnošću informacija. Definirani su zahtjevi i značenja politike sigurnošću informacija (nema više pozivanja na sistemsku politiku upravljanja sigurnošću).
6. Planiranje
Zahtijevana je identifikacija rizika u vezi s gubitkom povjerljivosti, integriteta i raspoloživosti. Istovremeno se zahtjeva definiranje vlasnika rizika (prije nego kao vlasnika sredstava)
7. Podrška
U poglavlju su rezimirani zahtjevi u vezi s resursima, kompetentnošću, razvojem svijesti i komuniciranjem. Revidirani su i zahtjevi za upravljanje dokumentima i zapisima. Norma se poziva na upravljanje dokumentiranim informacijama koja obuhvaća:
- Predmet i područje (obujam) sustava upravljanja sigurnošću informacija (4.3),
- Politiku sigurnosti informacija (5.2),
- Proces ocjenjivanja rizika po sigurnost informacija (6.1.2),
- Proces upravljanja rizicima po sigurnost informacija (6.1.3),
- Izjava o upotrebljivosti (6.1.3 d),
- Ciljevi sigurnosti informacija (6.2),
- Dokazi o kompetentnosti osoblja (7.2),
- Dokumentirane informacije potrebne za efektivnost sustava (7.5.1b),
- Planiranje i upravljanje dokumentiranim informacijama (8.1),
- Rezultati ocjenjivanja rizika po sigurnost informacija (8.2),
- Rezultati upravljanja rizicima po sigurnost informacija (8.3),
- Dokazi o programima provjera i rezultatima provjera (9.2),
- Dokazi o rezultatima preispitivanja od strane uprave (9.3),
- Dokazi o prirodi nesukladnosti svim posljedičnim mjerama i o rezultatima korektivnih mjera (10.1).
8. Funkcioniranje
Poglavlje uključuje uvođenje i funkcioniranje iz prethodne verzije. Uključuje i zahtjeve da su procesi iz outsoursa utvrđeni i da se njima upravlja.
9. Vrednovanje
Poglavlje rezimira praćenje, mjerenje, analizu i vrednovanje usklađenosti sa zakonskim zahtjevima, interne provjere i preispitivanje od strane uprave. Preispitivanje od strane rukovodstva više nema definiranih izlaznih podataka.
10. Poboljšavanje Poglavlje donosi novi zahtjev da organizacija reagira na nesukladnosti i da provodi mjere za upravljanje njima i za njihovu korekciju. Zahtjev za stalno poboljšavanje je proširen: uključuje adekvatnost i usuglašenost, kao i efektivnost ISMS.
Aneks A Kontrole Promijenio se broj kontrola (sa 131 na 113) radi pokrivanja izmijenjenih prijetnji po sigurnost (npr. “cloud” poslovanje), uklanjanja dupliranja i uspostavljanja logičnog grupiranja. Dodane su bile kriptografske kontrole i sigurnost informacija u relacijama s isporučiocima.
Važenje i prijelazni period
ISO i akreditacijska tijela su za prelazak na novu normu postavili sljedeća pravila:
- U prijelaznom periodu, koji traje do 01.10.2015. godine, certifikati izdati prema zahtjevima norme ISO/IEC 27001:2005 i ISO/IEC 27001:2013 su podjednako važeći.
- Prelazak na novu verziju norme ISO/IEC 27001:2013 će se provoditi prijelaznom provjerom tijekom redovne ili obnavljajuće provjere, najkasnije do kraja kolovoza 2015.
- Poslije 12 mjeseci od objavljivanja ISO/IEC 27001:2013, a to je 01.10.2014. godine, moraju sve certifikacijske provjere izvoditi samo po ovom normi
- Poslije 24 mjeseca od izdavanja norme ISO/IEC 27001:2013, a to je 01.10.2015. svi certifikati izdani prema normi ISO/IEC 27001:2005 će postati nevažeći.
Priprema organizacija na novo izdanje norme
Organizacije, koje već imaju certificiran sustav sigurnosti informacija u skladu sa zahtjevima norme ISO 27001:2005 imat će rok za prijelaz na novo izdanje norme do sredine 2015. godine. To znači da je na raspolaganju ostalo još malo vremena.
Sve naše klijente smo obavijestili o objavljivanju novog izdanja norme i upoznali ih s postupkom prijelaza. Organizacije moraju prije prijelaza detaljno proučiti zahtjeve nove norme, analizirati koje izmijenjene zahtjeve će organizacija morati uključiti u svoj sustav upravljanja sigurnošću upravljanja informacijama (ISMS) i da te izmjene provedu kroz adekvatne mjere u okviru ISMS. Dogovoreno je da organizacije pripreme plan prijelaza i da ga pošalju prosuditeljima prijelazne provjere.
Kontakt
- SIQ Ljubljana
- Mašera – Spasićeva ulica 10
- SI-1000 Ljubljana
- Petra Domijan, dipl.ing.
- Stručni suradnik za sustave upravljanja
- Tel: +385 98 360 891
- domijan.petra@siq.si