ISO/IEC 27001

Со се поголемата зависност од информатичката технологија, отвореноста на организациите и зголемената содржина на информациите во современото работење и потребата за уредување и создавање на услови во организацијата на подрачјето на безбедноста на информациите настанат е стандардот за управување со безбедноста на информациите ISO/IEC 27002 и ISO/IEC 27001. Стандардот стана независна алатка од работењето и поединечните технолошките решенија, кој нуди целосен преглед на безбедноста на информациите при работењето на организацијата. Оценката на информациските ризици е основа за изградбата на системот за управување со безбедноста на информациите и е негова темелна значајност.

Стандардот ISO/IEC 27002  нуди избор на можни мерки за надзор на препознатите ризици, кои се со години употребувани во различни организации во светот и се покажале како примери на добра пракса. Во четиринаесет поглавија се опишани 114 контроли, кои се наменети за достигнување на 35 различни цели.

Стандардот ISO/IEC 27001 е запишан во форма на барања, кои морате да ги исполните во организацијата, ако сакате да добиете сертификат. Барањата од поглавијата 4, 5, 6, 7, 8, 9 и 10  морате да ги уважувате во целост без исклучувања.

Покрај споменатите поглавја стандардот содржи прилог А, кој е извадок од 114-те контроли од стандардот ISO/IEC 27002  и е потребно за секоја неуважена контрола да се наведат причините за исклучувањето.

И двата стандарди се целосни во смисла на безбедност на  информациите. Тоа значи дека не ги разгледува само информатичката технологија и електронските информации, туку информациите во сите можни форми и медиуми. Во таа смисла опишани се многу контроли пред се од организациска природа и истите не се поврзани со технологијата (на пример класификација на информациите, политика на празна маса, физичка безбедност на објектите или опис на безбедноста на информациите во договорите за вработување).

Деловна корист од воспоставените системи:

• препознавање и намалување на безбедносните ризици на саканото ниво,
• подобрување на деловното партнерство (поголема доверливост во меѓусебно разменетите информации),
• владеење на процесот на безбедност на информациите.

Тек на сертификацијата

SIQ во соработка со  CIS (Certification Information Security) од Виена изведува проверки и доделува акредитирани сертификати по барањата на стандардот  ISO/IEC 27001.

Сертификациската постапка вклучува проверка на документацијата и сертификациска проверка, која се состои од два дела.

Во првиот дел на сертификациската проверка се концентрираме на воспоставеноста и документираноста на системот за управување со безбедноста на информациите. Проверката начелно се изведува надвор од организацијата и опфаќа:

• преглед на безбедносната политика и целите,
• преглед на обемот на системот, постапките за поддршка и контрола,
• извештај за оценка на ризиците, вклучени програми и мерки за намалување на ризиците,
• Изјава за примерност и тн.

Другиот дел од сертификациската проверка ја изведуваме во организацијата. Поголемо значење е дадено на изведувањето и на ефективноста на системот за управување на безбедноста на информациите, исполнување на барањата на стандардот  ISO/IEC 27001, законските барања и барањата на заинтересираните страни.

По доделувањето на сертификатот еднаш годишно со редовни проверки на поедини делови на системот проверуваме, дали вашата организација ги исполнува пропишаните барања. На секои три години со обновителна проверка  го оценуваме целиот систем и неговата ефективност. Сертификатот важи три години.