Usluge

Sistem menadžmenta bezbednošću informacija

 

Značaj bezbednosti informacija Usled sve veće zavisnosti od informacionih tehnologija, otvorenosti organizacija i porasta značaja informacija u modernom poslovanju, kreirani su standardi ISO/IEC 27001 i ISO/IEC 27002 za menadžment bezbednošću informacija, sa željom da se uredi i standardizuje oblast bezbednosti informacija u organizacijama.

Standardi predstavljaju upravljačke alate koji su nezavisni od pojedinačnih tehnoloških rešenja i nude sveobuhvatan pregled bezbednosti informacija tokom poslovanja organizacije. Ocenjivanje rizika u vezi sa informacijama je osnova za uspostavljanje sistema menadžmenta bezbednošću informacija i predstavlja njegovu osnovnu karakteristiku.

Standard ISO/IEC 27002 nudi niz mera za kontrolu identifikovanih rizika, a koje su se tokom godina korišćenja u različitim organizacijama širom sveta pokazali kao primeri dobre prakse. U 14 poglavlja je opisano 113 kontrola koje su namenjene ostvarivanju 35 različitih ciljeva.

Standard ISO/IEC 27001 je napisan u formi zahteva koje mora da ispuni organizacija ukoliko želi da dobije sertifikat. Poglavlja 4, 5, 6, 7 i 8 morate da razmotrite bez ikakvih isključenja i u potpunosti. Pored pomenutih poglavlja, standard sadrži i prilog A koji predstavlja rezime 113 kontrola iz standarda ISO/IEC 27002. Za svaku kontrolu koja je isključena je potrebno da se navede razlog za isključenje.

Standardi su sveobuhvatni u smislu bezbednosti informacija. To znači da ne uzimaju u obzir samo informacione tehnologije i informacije u elektronskom obliku, već i informacije u svim mogućim oblicima i na svim medijima. U tom smislu, mnoge od opisanih kontrola su u potpunosti organizacione prirode i nisu povezane sa tehnologijom (npr. klasifikacija informacija, politika praznog stola, fizičko obezbeđenje objekata ili opis bezbednosti informacija u ugovorima o zapošljavanju).

Zašto dobiti sertifikat?

Poslovne koristi:

  • identifikacija i smanjenje bezbedonosnih rizika na željeni nivo,
  • poboljšavanje poslovnih partnerstava (veća poverljivost međusobno razmenjenih informacija),
  • investiranje u prava (akutna) mesta,
  • konkurentska prednost prilikom sklapanja poslovnih partnerstava,
  • uređeno upravljanje procesima u vezi sa bezbednošću informacija.

Postupak sertifikacije

Postupak sertifikacije obuhvata pregled dokumenata i sertifikacionu proveru, koja se sastoji iz dva dela. U prvom delu se fokusiramo na uspostavljenost i dokumentovanost sistema menadžmenta bezbednošću informacija. Tokom provere sprovodimo pregled:

  • politike i ciljeva bezbednosti,
  • predmeta i područja sertifikacije, pratećih procedura i kontrola,
  • izveštaja o proceni rizika,
  • izjave o primenljivosti (eng. “Statement of applicability”) itd.

U drugom delu je akcenat na primeni i efikasnosti sistema menadžmenta bezbednošću informacija, ispunjavanju zahteva standarda ISO/IEC 27001, zakonskih zahteva i zahteva zainteresovanih strana.

Nakon dodele sertifikata, nadzornim proverama pojedinih delova sistema se jednom godišnje proverava da li vaša organizacija i dalje ispunjava propisane zahteve. Sertifikat važi tri godine.

Usluge iz oblasti bezbednosti informacija:

  • proveravanje i sertifikacija,
  • predprovera,
  • ocena stanja,
  • ocena stanja kod vaših isporučilaca.