ISO | Međunarodni Standardi

ISO 27001 IEC

ISO 27001
Sistem Menadžmenta Zaštite i Bezbednosti Informacija

ISO / IEC 27001 je Sistemi menadžmenta bezbednošću informacija – sigurnosni standard (27001: 2015 objavljen 25. Sep 2013 i zamjenjuje ISO / IEC 27001: 2005). Ovaj standard je objavljen od strane Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) pod zajedničim nazivom ISO/IEC 27001:2013 i opisuje kako upravljati bezbednošću informacija u organizacijama. On predstavlja specifikacije za sistem za upravljanje sigurnošću informacija (ISMS). Organizacije koje ispunjavaju standard mogu biti sertifikvane od strane nezavisnog i akreditovane sertifikacionog tela uz uspešan završetak procesa formalnr revizije i ispunjenosti uslova. ISO/IEC 27001:2013, u punom nazivu, Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi (eng. Information technology – Security techniques – Information security management systems – Requirements) je međunarodni standard koji daje zahteve za ISMS – Sisteme Menadžmenta Bezbednošću Informacija.

Najnovija verzija ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC 27001:2013. Prva revizija standarda je objavljena 2005. godine a razvijena je na temelju britanskog standarda BS 7799-2. ISO 27001 može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja informacijskom sigurnošću u organizaciji. Također, omogućava tvrtkama dobivanje certifikata, što znači da nezavisno certifikacijsko tijelo daje potvrdu da je organizacija implementirala protokole i rešenja koji omogućavaju informacijsku sigurnost u skladu sa zahtevima standarda ISO/IEC 27001.

ISO 27000 je familija standarda koja pomaže organizacijama da obezbede svoje informacije i sredstva. Koristeći ovu seriju standarda olakšaćete i pomoći vašoj organizaciji u procesima upravljanja – tokova informacija, kao što su financijske informacije, intelektualno vlasništvo, informacije od značaja i zaposlenima, ali  i informacije koje vam poveri treća strana.

Serija standarda ISO 27001 :

ISO/IEC 27000 Informaciona tehnologija – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija – Pregled i rečnik
ISO/IEC 27001 Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi
ISO/IEC 27002 Informaciona tehnologija – Tehnike sigurnosti – Pravila prakse za upravljanje sigurnošću informacija

Uvođenje sistema menadžmenta bezbednošću informacija uz ispunjavanje zahteva standarda ISO 27001:2013 doneće brojne koristi organizaciji: sertifikat koji je najbolji dokaz da je ISMS usaglašen sa međunarodnim standardom ISO 27001:2013, dokaz da je ISMS usaglašen sa najboljom međunarodnom praksom u oblasti bezbednosti informacija,     usaglašenost sa zakonodavstvom, sistemsku zaštitu u oblasti informacione bezbednosti, smanjenje rizika od gubitka informacija (smanjenje rizika od povećanih troškova), odgovornost svih zaposlenih u organizaciji za bezbednost informacija, povećan ugled i poverenje kod zaposlenih, klijenata i poslovnih partnera, bolju marketinšku poziciju na tržištu, konkurentnost, a time veće ekonomske mogućnosti i finansijsku dobit.

ISO 27001 je usresređen na zaštitu poverljivosti, celovitosti i raspoloživosti podataka u organizaciji. To se postiže prepoznavanjem koji se potencijalni problemi mogu dogoditi podatcima (tj. procjena rizika), te definiše što treba preduzeti da se takvi problemi spreče (tj. tretman ili obrada rizika). Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima: prepoznavanju i sistemskoj obradi rizika.

Struktura –  ISO/IEC 27001:2013 
(information security management standard)

Standardom su specificirani zahtevi za: uspostavljanje ISMS, implementaciju ISMS, primenu ISMS, praćenje ISMS,    preispitivanje ISMS, održavanje ISMS i poboljšavanje ISMS.

Tipovi informacija na koje se odnosi ISMS – Sistem Menadžmenta Bezbednošću Informacija su pisane informacije,    štampane informacije, informacije u elektronskim formatima, informacije poslane poštom, informacije poslane elektronskom poštom, foto, audio, video informacije – audiovizuelne informacije.

Dokumentovani ISMS – Sistem Menadžmenta Bezbednošću Informacija sastoji se od niza dokumenata: Poslovnika bezbednosti informacija (Politika bezbednosti informacija), Procedura, Instrukcija i Zapisa.

Izvori pretnji po bezbednost informacija mogu biti interni ili eksterni i namerni ili nenamerni. Najčešći incidenti informacione bezbednosti su prirodne nepogode (zemljotres, poplava, požar, udar groma), zlonamerni napadi (malware), interni napadi (zloupotrebe), nenamerne, nesvesne ljudske greške, kvarovi opreme i/ili instalacija informacionog sistema.

Sigurnosne mere koje će se implementirati su obično u formi pravila, procedura i tehničkih rešenaja (npr. softvera i opreme). Međutim, u većini slučajeva organizacije već imaju sav potreban hardver i softver, ali ih koriste na nesiguran način – zato se većina primene ISO 27001 odnosi na uspostavu organizaciskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se sprečilo narušavanje sigurnosti – bezbednosti informacija.

Budući da će takva primena rešenja – upravljanje mnogobrojnim pravilima, procedurama, ljudstvom, sredstvima itd., narušiti postojeća pravila i politiku kuće, ISO opisuje kako uklopiti sve te elemente u postojeći sistem upravljanja informaciskom bezbednošću (ISMS).  Dakle, upravljanje bezbednošću informacija se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku zaštitu i slično.

Organizacije sertifikovane prema ISO/IEC 27001: 2005 moraju proći na novu verziju tokom  2015. godine ukoliko žele zadržati sertifikat.

Za sve dodatne informacija u vezi implementacije i sertifikacije sistema ISO 27001 ili potrebnim uslovima za reviziju postojećeg naš tim stoji Vam na raspolaganju.

Pozovite nas ili nam pošaljite Vaš upit emailom !

ISO/IEC 27001 je podeljen u 11 poglavlja i Aneks A, gdje su poglavlja od 0 do 3 uvodna (i nisu obvezna za primenu), dok su poglavlja od 4 do 10 obvezna – što znači da se svi njihovi zahtjevi moraju primijeniti u organizaciji ako želi biti u skladu sa  standardom. Sigurnosne mere iz Aneksa A moraju biti sprovedene samo ako su deklarisane kao primenjive u Izjavi o primenljivosti.

Poglavlje 0: Uvod – objašnjava svrhu ISO 27001 i njegovu kompatibilnost s drugim standardima upravljanja.
Poglavlje 1: Opseg – objašnjava da je ovaj standard primenjiv u bilo kojoj organizaciji.
Poglavlje 2: Upućivanje na druge norme –upućuje na ISO/IEC 27000 kao standard u kojemu su navedeni pojmovi i definicije.
Poglavlje 3: Pojmovi i definicije – također upućuje na ISO/IEC 27000.
Poglavlje 4: Kontekst organizacije – ovo poglavlje je deo faze planiranja u PDCA krugu (uspostavljanje, upravljanje, kontrola, poboljšanja) i definše uslove za razumevanje spoljnih i unutrašnjih pitanja, zainteresiranih strana i njihovih zahteva, definše okvir sistema upravljanja bezbednpću informacija.
Poglavlje 5: Rukovođenje – ovo poglavlje je deo faze planiranja PDCA ciklusa i definisanja odgovornost top menadžmenta, određuje uloge i odgovornosti, sadržaj krovne politike bezbednosti podataka.
Poglavlje 6: Planiranje – ovo poglavlje je deo postupka planiranja u PDCA krugu i definiše uslove za procenu rizika, obradu rizika, izjavu o primenjivosti, plan obrade rizika, postavlja ciljeve bezbednosti podataka.
Poglavlje 7: Podrška – ovo poglavlje je deo faze planiranja u PDCA krugu i definiše uslovete za dostupnost resursa, nadležnosti, informisanost, komunikaciju i kontrolu dokumenata i zapisa.
Poglavlje 8: Delovanje – ovo poglavlje je deo faze (primene) u PDCA krugu i definše modele za spovodjenje procene i obrade rizika, kao i sigurnosne mere i druge procese potrebne za postizanje bezbednosti podataka.
Poglavlje 9: Ocena učinaka – ovo poglavlje je deo faze pregledavanja u PDCA krugu i definiše uslove za praćenje, merenje, analizu, procenu, unutrašnju reviziju i pregled menadžmenta.
Poglavlje 10: Poboljšanja – ovo poglavlje je deo faze poboljšanja u PDCA krugu i definše uslove za uskladjnost, ispravke, korektivne mere i trajna poboljšanja.
Aneks A – ovaj aneks nudi niz sigurnosnih mera koje se nalaze u 14 poglavlja (poglavlja od A.5 do A.18).

Da biste implementirali ISO 27001 , morate slediti ovih 16 koraka: Osigurati podršku top menadžmenta, Koristiti metodologiju upravljanja projektima, Definisati opseg sistema upravljanja bezbednosti informacija, Napisati krovnu politiku zaštite podataka, Definsati metodologiju procene rizika, Izvršiti procenu i obradu rizika, Napisati Izjavu o primjenjivosti, Napisati plan obrade rizika, Definsati načine merenja učinkovitost sigurnosnih mera i sistema upravljanja bezbednosšću, Implementirati sve primenjive sigurnosne mere i procedure, Spovesti programe obuke i informisanosti, Izvršiti sve svakodnevne poslove propisane dokumentacijom vašeg sistma upravljanja bezbednošću informacija, Pratiti i meriti postavljeni sistem, Sprovesti interni audit, Sprovesti pregled od strane menadžmenta i na kraju Sprovesti korektivne mere.


Zašto je ISO 27001 dobar za Vas i  Vaše poslovanje?

Postoje 4 ključne poslovne prednosti koje organizacija može postići sa primenom ovog standarda:

1. Zadovoljavanje pravnih zahteva – postoji sve više zakona, propisa i ugovornih zahteva u vezi informacijske sigurnosti, a dobra vest je da se većina može rešiti primenom ISO 27001 – ovaj standard vam pruža savršenu metodologiju za uskldjivanje sa svima njima.
2. Ostvarivanje marketinške prednosti – ako vaša organizacija dobije certifikat, a vaši konkurenti ne, to vam daje prednost u očima kupaca koji su osetljivi na zaštitu svojih podataka.
3. Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki incident, mali ili veliki, košta – dakle, sprečavajući incidente vaša organizacija će uštedeti dosta novca. Najbolje od svega je da je investiranje u ISO 27001 daleko manje od uštede koju ćete ostvariti.
4. Bolja organizacija – obično brzorastuće organizacije nemaju vremena da zastanu i definišu svoje procese i procedure – a posledica toga je da zaposleni vrlo često ne znaju šta, kada i ko treba učiniti. Primena ISO 27001 pomaže rešiti takvu situaciju jer podstiče organizacije da napišu svoje osnovne procese (čak i one koji nisu u vezi sa bezbednošću), što im omogućava da redukuju izgubljeno i optimizuju radno vreme zaposlenih.


Sertifikacija

Postoje dve vrste ISO 27001 sertifikata: (A) za organizacije i (B) za pojedince. Organizacije se mogu sertifikovati da bi dokazale uskladjnost sa svim obaveznim klauzulama standarda; Pojedinci mogu izvršiti obuku i položiti ispit da bi dobili sertifikat. Da bi ste se sertifikovali kao organizacija, morate implementirati standard kako je navedeno, i potom proći sertifikacijski audit od strane nezavisnog sertifikacionog tela.

Sertifikacijski audit se sprovodi kroz sledeće korake: Faza 1 (pregled dokumentacije) – auditori će pregledati svu dokumentaciju i Faza 2 (glavni audit) – auditori će izvršiti audit na licu mesta kako bi proverili da li su sve aktivnosti organizacije uskladjene sa ISO 27001. (Nadzor – nakon izdavanja sertifikata, tokom perioda važnosti od 3 godine, auditori će proveriti minimu još 2 puta da li organizacija održava sistem upravljanja bezbednošću).

ISO 27001 je prvi put objavljen 2005. godine a revidiran 2013. godine – dakle trenutno je važeća inačica ISO/IEC 27001:2013.   Izmene nisu zapravo mnogo promenile standard u celini – njegova temeljna filozofija se i dalje bazira na proceni i obradi rizika. Nova verzija standarda je lakša za čitanje i razumevanje, samim tim je mnogo jednostavnija za integrisanje s drugim standardima upravljanja kao što su ISO 9001, ISO 22301, ISO 20000-1, GDPR, itd.