ISO 27001 standard | PMS

ISO 27001

ISO 27001 – sistem menadžmenta bezbednošću informacija

 

ISMS (Information security management system) ili ISO 27001 je standard koji se bavi bezbednošću informacija. To je sistematičan pristup, skup polisa i procedura koje uključuju zakonske, fizičke i tehničke kontrole koje su uključene u rizike informacionog sistema. Dakle, akcenat je na fizičkom i tehničkom obezbedjivanju IT infrastrukture i zaštiti senzitivnih informacija od neovlašćenog korišćenja. 

 

U suštini, kako se kaže u uvodu dokumentaciji ovog standarda:

ISO 27001 je pripremljen da bi se obezbedio model za uspostavljanje, primenu, kontrolu, održavanje i stalno poboljšanje sistema menadžmenta bezbednošću informacija.

 

Standard pokriva kompanije svih veličina (male, srednje i velike), svih oblika uređenja (javni i državni sektor, privatne firme, nevladine organizacije), kao i sve vrste industrije, odnosno oblasti poslovanja (bankarstvo, proizvodnja,  IT sektor, komunalne usluge, zdravstvo, državna uprava, bezbednost…). Svima je cilj identičan.

A to je da informacije ostanu bezbedne i da svi zaposleni znaju precizne korake kako zaštiti kompanijske podatke.

 

 

ISO 27001 zahteva određenu vrsta monitoringa i upravljanja IT sistemom koje se pre svega odnosi na:

  • Sistematične, organizovane i planirane preglede bezbednosnih rizika za organizacijske informacije,
  • Vođenje računa o potencijalnim pretnjama i ranjivostima IT sistema, kao i posledicama upada u sistem, tj. štetnih uticaja na samu kompaniju,
  • Dizajniranje i sprovođenje sveobuhvatnog paketa sigurnosnih kontrola senzitivnih kompanijskih informacija,
  • Primena strategija reagovanja na pojavu rizika po bezbednost kako bi se pravovremeno zaštitile informacije,
  • Konstantna provera i unapređenje procesa bezbedonosne kontrole osetljivih informacija kako bi sistem ostao bezbedan i otporan na pojavu novih pretnji, a sve sa ciljem dodatne zaštite i sprečavanja nedozvoljenog korišćenja informacija.

 

Koristi se top-down pristup analizi rizika pri čemu su zahtevi tehnološki neutralni, odnosno ne zavise od bilo koje primenjene tehnologije. Specifikacija definiše planiranje koje se sastoji iz šest koraka:

  1. Definisanje bezbedonosne polise
  2. Definisanje obima ISMS-a
  3. Procena rizika
  4. Upravljanje identifikovanim rizicima
  5. Izbor kontrolnih objekata i kontrola koje treba implementirati
  6. Izrada izjave o primenljivosti 

 

ISO 27001 standard nije obavezujući i predstavlja nadogradnju na postojeći ISO 9001 standard. Međutim, kompanije koje reše da se sertifikuju za ISO 27001, postižu daleko veće efekte od onih koje primenjuju standard, ali nisu sertfikovane, jer ih standard tera da se dodatno bave svojim procesima i da ih kontinuirano unapređuju. Tome služe i redovne kontrolne/nadzorne provere.

 

 

Rezultat uvođenja standarda ISO 27001 

Kao rezultat naših konsultantskih ativnosti nastaje potrebna dokumentacija za sertifikaciju, gde ubrajamo sledeća dokumenta:

  • Područje primene ISMS
  • Security polise – bezbedonosne polise
  • Proces procene rizika po bezbednost IT sistema i proces tretmana uočenih rizika
  • Rezultati procene i strategije tretiranja uočenih rizika
  • Ciljevi sistema
  • Dokaz kompetentnosti zaposlenih koji se bave bezbednošću informacija
  • Dokaz monitoringa i merenja bezbednosti informacija
  • Uočene neusaglašenosti i preduzete korektivne mere
  • Učestvovanje top menadžmenta u preispitivanju bezbednosti IT sistema, 
  • … 

Indirektna posledica gore pomenutih aktivnosti je buđenje svesti zaposlenih da su informacije kompanije koje nastaju u toku procesa rada vrlo senzitivne informacije i da treba voditi računa o njihovoj zaštiti.

 


Preduslov za uvođenje ISO 27001 standara: ISO 9001