ISO 27001 standard: uvodjenje i sertifikacija | PMS

ISO 27001

ISO 27001 – sistem menadžmenta bezbednošću informacija

 

ISMS (Information security management system) ili ISO 27001 je standard koji se bavi bezbednošću informacija. To je sistematičan pristup, skup polisa i procedura koje uključuju zakonske, fizičke i tehničke kontrole koje su uključene u rizike informacionog sistema. Dakle, akcenat je na fizičkom i tehničkom obezbedjivanju IT infrastrukture i zaštiti senzitivnih informacija od neovlašćenog korišćenja. 

 

U suštini, kako se kaže u uvodu dokumentaciji ovog standarda:

ISO 27001 je pripremljen da bi se obezbedio model za uspostavljanje, primenu, kontrolu, održavanje i stalno poboljšanje sistema menadžmenta bezbednošću informacija.

 

Međunarodni standard upravljanja sistemom za bezbednost informacija može Vam pomoći da bolje upravljate svojim informacionim sredstvima i implementirate kontrole koje pomažu u zaštiti Vaše organizacije od narušavanja bezbednosti informacija.

ISO 27001 – sistem menadžmenta bezbednošću informacija

  

Osnovni cilj zaštite informacija u nekoj organizaciji je da se obezbedi kontinuitet poslovanja, kao i da se rizici od potencijalnih šteta svedu na minimum.

 

Sistem menadžmenta bezbednošću informacija ISMS odnosi se na različite tipove informacija kao što su:

  • Elektronske informacije
  • Informacije u pisanoj i štampanoj formi
  • Pošta
  • Elektronska pošta
  • Audiovizuelne informacije

 

Standard ISO 27001 podrazumeva sledeće mere zaštite informacija:

  • Tehničke (pravo pristupa, lozinke…)
  • Administrativne (procedure, pravilnici…)
  • Fizičke (video nadzor, zaštita prostorija…)

 

 

Zašto je važna bezbednost informacija, odnosno ISO 27001?

Informacione tehnologije danas prožimaju svaki aspekt svakodnevnog života. Sa razvojem informacionih tehnologija informacija je postala lako dostupna, ali u isto vreme i veoma ugrožena. Pretnje po bezbednost informacija dolaze sa različitih strana, pa je od vitalnog značaja za funkcionisanje i opstanak orgaizacije obezbeđivanje sigurnosti informacija kojima organizacija raspolaže.

Osigurati bezbednosti informacije znači obezbediti: poverljivost, integritet i dostupnost informacije.

  • Poverljivost – pristup informacijama je ograničen samo na ovlašćena lica
  • Integritet – osiguranje tačnosti i potpunosti informacija i zaštita od neovlašćene promene njihovog sadržaja
  • Dostupnost – informacije su dostupne samo osobama sa ovlašćenjem onda kada se to zahteva

 

Uvođenjem standarda ISO 27001 mogu se prepoznati potencijalni rizici i uvesti odgovarajuće kontrole što će smanjiti ili eliminisati mogućnost narušavanja bezbednosti informacija bilo delovanjem spoljašnjih ili unutrašnjih faktora, slučajnih ili namernih.

Procena rizika je zapravo ključni element uspostavljanja ISMS-a.

Procena rizika podrazumeva procenu verovatnoće pojavljivanja neželjeih efekata po bezbednost informacije i posledice koje se mogu tom prilikom javiti.

Upravljanje rizicima mora biti stalan, kontinuiran proces sa neprekidnim proveravanjem potencijalnih opasnosti po bezbednost informacija. Kvalitetno sproveden proces procene rizika olakšava donošenje odluka o načinu upravljanja bezbednosti informacija.

Implementacija standarda ISO 27001 pruža uverenje Vašim klijentima i saradnicima da je Vaše poslovanje profesionalno a njihovi podaci bezbedni.

Standard ISO 27001 omogućava nesmetano i kotinuirano poslovanje Vaše organizacije kao modernog i pouzdanog partnera na tržištu.

 

 

 7 Prednosti koje se postižu uvođenjem standarda ISO 27001

 

 1. Kredibilitet i konkurentska prednost

Uvođenje standarda ISO 27001 Vašim klijentima i poslovim saradicima pruža poverenje u Vaš informacioni sistem, način upravljanja rizikom, kao i Vaše poslovanje što stvara pozitivnu reputaciju i izdvaja Vas iz konkurencije.

 

2. Pouzdana i bezbedna razmena informacija

Sistematski pristup i procedure standarda ISO 27001 daju prednost da se identifikuju pretnje po bezbedost informacija i kreiraju planovi za njihovo rešavanje. Ovakvim procesom može se upravljati i smanjiti izloženost riziku, što dovodi do sigurnije razmene informacija.

 

3. Razvija se svest zaposlenih o značaju zaštite informacija

Implementacijom stadarda ISO 27001 razvija se svest među zaposlenima o značaju informacije kao ključnom resorsu u poslovanju, a u isto vreme i odgovornost za bezbednost informacija od strane svih zaposlenih i na nivou cele organizacije.

 

4. Usaglašenost sa važećim zakonskim propisima

Uvođenje sistema menadžmenta bezbednošću informacija pomaže Vam da ispunite zahteve različitih zakona o zaštiti podataka

 

5. Bolja analiza troškova

Smanjenje rizika od oštećenja, gubitaka i zloupotrebe informacija dovodi i do manjih troškova po organizaciju a time i do povećane profitabilnosti.

 

6. Uspeh u poslovanju na međunarodnom tržištu

Poslovanje sa procesima zasnovanim na principu sigurnosti omogućava bolju saradnju sa organizacijama širom sveta koje rade po istom modelu.

 

7. Uspeh na tenderima

Uvođenjem standarda ISO 27001 postiže se prednost u dobijanju poslova koji podrazumevaju rad sa poverljivim informacijama

 

Sertifikacijom za ISO 27001 predstavljate se klijentima kao pouzdan partner odgovoran za bezbednost i zaštitu informacija na svim nivoima organizacije. Pružate im sigurnost:

  • Da su informacije koje posedujete zaštićene i nedostupne za neovlašćena lica
  • Osigurane i tačne i kao takve se mogu menjati samo od strane ovlašćenih lica
  • Da se bavite procenom rizika, kao i da ste postavili sistemske kontrole kako biste sprecili narušavanje bezbednosti

 

Procesni pristup

Procesni pristup sistema menadžmenta bezbednošću informacija zasnovan je na principu jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan – Do – Check – Act

  • Plan – uspostaviti politiku i ciljeve, procese i procedure ISMS koji su relevantni za upravljanje rizikom i poboljšanje bezbedosti informacija
  • Do – implementiranje i primena procesa, procedura i kontrola ISMS-a
  • Check – merenje i ocenjivanje performansi procesa u odosu na politiku i ciljeve ISMS-a
  • Act – preduzimanje korektivnih i preventivnih mera zasnovanih na rezultatima provere sa ciljem održavanja i poboljšanja ISMS-a

 

Kome je namenjen standard ISO 27001?

Standard pokriva kompanije svih veličina (male, srednje i velike), svih oblika uređenja (javni i državni sektor, privatne firme, nevladine organizacije), kao i sve vrste industrije, odnosno oblasti poslovanja (bankarstvo, proizvodnja,  IT sektor, komunalne usluge, zdravstvo, državna uprava, bezbednost…). Svima je cilj identičan. A to je da:

 

Informacije ostanu bezbedne i da svi zaposleni znaju precizne korake kako zaštiti kompanijske podatke.

 

ISO 27001 zahteva određenu vrsta monitoringa i upravljanja IT sistemom koje se pre svega odnosi na:

  • Sistematične, organizovane i planirane preglede bezbednosnih rizika za organizacijske informacije,
  • Vođenje računa o potencijalnim pretnjama i ranjivostima IT sistema, kao i posledicama upada u sistem, tj. štetnih uticaja na samu kompaniju,
  • Dizajniranje i sprovođenje sveobuhvatnog paketa sigurnosnih kontrola senzitivnih kompanijskih informacija,
  • Primena strategija reagovanja na pojavu rizika po bezbednost kako bi se pravovremeno zaštitile informacije,
  • Konstantna provera i unapređenje procesa bezbedonosne kontrole osetljivih informacija kako bi sistem ostao bezbedan i otporan na pojavu novih pretnji, a sve sa ciljem dodatne zaštite i sprečavanja nedozvoljenog korišćenja informacija.
  • Obezbeđivanje kontiniuteta poslovanja (back up sistema, redundansa vitalnih delova IT infrastrukture, disaster recovery plan) 

 

Koristi se top-down pristup analizi rizika pri čemu su zahtevi tehnološki neutralni, odnosno ne zavise od bilo koje primenjene tehnologije. Specifikacija definiše planiranje koje se sastoji iz šest koraka:

  1. Definisanje bezbedonosne polise
  2. Definisanje obima ISMS-a
  3. Procena rizika
  4. Upravljanje identifikovanim rizicima
  5. Izbor kontrolnih objekata i kontrola koje treba implementirati
  6. Izrada izjave o primenljivosti 

 

ISO 27001 standard nije obavezujući i predstavlja nadogradnju na postojeći ISO 9001 standard. Međutim, kompanije koje reše da se sertifikuju za ISO 27001, postižu daleko veće efekte od onih koje primenjuju standard, ali nisu sertfikovane, jer ih standard tera da se dodatno bave svojim procesima i da ih kontinuirano unapređuju. Tome služe i redovne kontrolne/nadzorne provere.

 

 

Rezultat uvođenja standarda ISO 27001 

Kao rezultat naših konsultantskih ativnosti nastaje potrebna dokumentacija za sertifikaciju, gde ubrajamo sledeća dokumenta:

  • Područje primene ISMS
  • Security polise – bezbedonosne polise
  • Proces procene rizika po bezbednost IT sistema i proces tretmana uočenih rizika
  • Rezultati procene i strategije tretiranja uočenih rizika
  • Ciljevi sistema
  • Dokaz kompetentnosti zaposlenih koji se bave bezbednošću informacija
  • Dokaz monitoringa i merenja bezbednosti informacija
  • Uočene neusaglašenosti i preduzete korektivne mere
  • Učestvovanje top menadžmenta u preispitivanju bezbednosti IT sistema, 
  • … 

Indirektna posledica gore pomenutih aktivnosti je buđenje svesti zaposlenih da su informacije kompanije koje nastaju u toku procesa rada vrlo senzitivne informacije i da treba voditi računa o njihovoj zaštiti.

 


Preduslov za uvođenje ISO 27001 standarda: ISO 9001