• info@project-management-srbija.com
  • 063 104 27 15
Prijavi se

ISO 27001 - sistem menadžmenta bezbednošću informacija

ISMS (Information security management system) ili ISO 27001 je standard koji se bavi bezbednošću informacija. To je sistematičan pristup, skup polisa i procedura koje uključuju zakonske, fizičke i tehničke kontrole koje su uključene u rizike informacionog sistema. Dakle, akcenat je na fizičkom i tehničkom obezbedjivanju IT infrastrukture i zaštiti senzitivnih informacija od neovlašćenog korišćenja.

U suštini, kako se kaže u uvodu dokumentaciji ovog standarda:

ISO 27001 je pripremljen da bi se obezbedio model za uspostavljanje, primenu, kontrolu, održavanje i stalno poboljšanje sistema menadžmenta bezbednošću informacija.

Međunarodni standard upravljanja sistemom za bezbednost informacija može Vam pomoći da bolje upravljate svojim informacionim sredstvima i implementirate kontrole koje pomažu u zaštiti Vaše organizacije od narušavanja bezbednosti informacija.

Osnovni cilj zaštite informacija u nekoj organizaciji je da se obezbedi kontinuitet poslovanja, kao i da se rizici od potencijalnih šteta svedu na minimum. Sistem menadžmenta bezbednošću informacija ISMS odnosi se na različite tipove informacija kao što su:

  • Elektronske informacije
  • Informacije u pisanoj i štampanoj formi
  • Pošta
  • Elektronska pošta
  • Audiovizuelne informacije
 

Standard ISO 27001 podrazumeva sledeće mere zaštite informacija:

  • Tehničke (pravo pristupa, lozinke…)
  • Administrativne (procedure, pravilnici…)
  • Fizičke (video nadzor, zaštita prostorija…)
 

Zašto je važna bezbednost informacija, odnosno ISO 27001?

Informacione tehnologije danas prožimaju svaki aspekt svakodnevnog života. Sa razvojem informacionih tehnologija informacija je postala lako dostupna, ali u isto vreme i veoma ugrožena. Pretnje po bezbednost informacija dolaze sa različitih strana, pa je od vitalnog značaja za funkcionisanje i opstanak orgaizacije obezbeđivanje sigurnosti informacija kojima organizacija raspolaže.

Osigurati bezbednosti informacije znači obezbediti: poverljivost, integritet i dostupnost informacije.

  • Poverljivost – pristup informacijama je ograničen samo na ovlašćena lica
  • Integritet – osiguranje tačnosti i potpunosti informacija i zaštita od neovlašćene promene njihovog sadržaja
  • Dostupnost – informacije su dostupne samo osobama sa ovlašćenjem onda kada se to zahteva
 

Uvođenjem standarda ISO 27001 mogu se prepoznati potencijalni rizici i uvesti odgovarajuće kontrole što će smanjiti ili eliminisati mogućnost narušavanja bezbednosti informacija bilo delovanjem spoljašnjih ili unutrašnjih faktora, slučajnih ili namernih.

Procena rizika je zapravo ključni element uspostavljanja ISMS-a.

Procena rizika podrazumeva procenu verovatnoće pojavljivanja neželjeih efekata po bezbednost informacije i posledice koje se mogu tom prilikom javiti.

Upravljanje rizicima mora biti stalan, kontinuiran proces sa neprekidnim proveravanjem potencijalnih opasnosti po bezbednost informacija. Kvalitetno sproveden proces procene rizika olakšava donošenje odluka o načinu upravljanja bezbednosti informacija.

Implementacija standarda ISO 27001 pruža uverenje Vašim klijentima i saradnicima da je Vaše poslovanje profesionalno a njihovi podaci bezbedni. Standard ISO 27001 omogućava nesmetano i kotinuirano poslovanje Vaše organizacije kao modernog i pouzdanog partnera na tržištu.

 7 Prednosti koje se postižu uvođenjem standarda ISO 27001

Prva i najvažnija prednost primene standarda ISO 27001 je poboljšano upravljanje rizicima i bezbednost informacija.

ISO standardizuje način upravljanja sigurnošću informacija u organizaciji. Zasnovan na robusnom okviru za upravljanje rizikom, ISO primenjuje pristup odozgo prema dole, koji zahteva da svi od top menadžmenta pa do ostalih zaposlenih imaju odgovarajuće znanje o informacionoj sigurnosti.

ISO  27001 takođe insistira na skupu standardnih politika bezbednosti informacija koje utvrđuju pristup organizacije načinu sprovođenja kontrola. Ove politike i kontrole pružaju objedinjavanje i standardizaciju ponašanja i procedura koje preduzeće želi da promoviše u saradnji sa obezbeđivanjem adekvatne informacione bezbednosti.

Na primer, ISO insistira na strogoj strategiji upravljanja pristupom. Mora postojati politika koja detaljno opisuje kako organizacija pristupa upravljanju pristupom, to mora biti dostupno svim zaposlenima, a takođe treba biti uključeno u bilo koju obuku koja se organizuje.

Standard takođe zahteva od organizacija da vode ažurne i tačne spiskove pojedinaca kojima je dozvoljen pristup određenoj informativnoj imovini, mora postojati postupak za upravljanje i mora postojati obrazloženje kome je dozvoljen pristup. Da bi se osiguralo da se ovaj proces prati, on se takođe mora nadgledati i revidirati, a sve nepravilnosti treba brzo rešavati.

Još jedna prednost ISO sertifikata je što je to međunarodno priznati standard najbolje prakse, a to znači da preduzeća mogu lako da pokažu kupcima i klijentima svoj bezbednosni status. Organizacije mogu da uključe ISO sertifikat kao preduslov svog nezavisnog procesa upravljanja i nabavke, pružajući poverenje u sigurnost lanca snabdevanja preduzeća.

ISO standard 27001 je često zahtev za preduzeća koja se nadmeću za ugovore, posebno ako ti ugovori uključuju rukovanje i obradu podataka i informacija. Mnogi veliki komercijalni i vladini ugovori sada zahtevaju sertifikat ISO 27001 kao standard, tako da preduzeća koja su postigla ovu potvrdu imaju izrazitu konkurentsku prednost.

Na osnovu svega možemo zaključiti da standatd ISO 27001 organizaciji obezbeđuje sledeće benefite:

 1. Kredibilitet i konkurentska prednost

Uvođenje standarda ISO 27001 Vašim klijentima i poslovim saradicima pruža poverenje u Vaš informacioni sistem, način upravljanja rizikom, kao i Vaše poslovanje što stvara pozitivnu reputaciju i izdvaja Vas iz konkurencije.

2. Pouzdana i bezbedna razmena informacija

Sistematski pristup i procedure standarda ISO 27001 daju prednost da se identifikuju pretnje po bezbedost informacija i kreiraju planovi za njihovo rešavanje. Ovakvim procesom može se upravljati i smanjiti izloženost riziku, što dovodi do sigurnije razmene informacija.

3. Razvija se svest zaposlenih o značaju zaštite informacija

Implementacijom stadarda ISO 27001 razvija se svest među zaposlenima o značaju informacije kao ključnom resorsu u poslovanju, a u isto vreme i odgovornost za bezbednost informacija od strane svih zaposlenih i na nivou cele organizacije.

4. Usaglašenost sa važećim zakonskim propisima

Uvođenje sistema menadžmenta bezbednošću informacija pomaže Vam da ispunite zahteve različitih zakona o zaštiti podataka

5. Bolja analiza troškova

Smanjenje rizika od oštećenja, gubitaka i zloupotrebe informacija dovodi i do manjih troškova po organizaciju a time i do povećane profitabilnosti.

6. Uspeh u poslovanju na međunarodnom tržištu

Poslovanje sa procesima zasnovanim na principu sigurnosti omogućava bolju saradnju sa organizacijama širom sveta koje rade po istom modelu.

7. Uspeh na tenderima

Uvođenjem standarda ISO 27001 postiže se prednost u dobijanju poslova koji podrazumevaju rad sa poverljivim informacijama

Sertifikacijom za ISO 27001 predstavljate se klijentima kao pouzdan partner odgovoran za bezbednost i zaštitu informacija na svim nivoima organizacije. Pružate im sigurnost:

  • Da su informacije koje posedujete zaštićene i nedostupne za neovlašćena lica
  • Osigurane i tačne i kao takve se mogu menjati samo od strane ovlašćenih lica
  • Da se bavite procenom rizika, kao i da ste postavili sistemske kontrole kako biste sprecili narušavanje bezbednosti
 

Procesni pristup

Procesni pristup sistema menadžmenta bezbednošću informacija zasnovan je na principu jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan – Do – Check – Act

  • Plan – uspostaviti politiku i ciljeve, procese i procedure ISMS koji su relevantni za upravljanje rizikom i poboljšanje bezbedosti informacija
  • Do – implementiranje i primena procesa, procedura i kontrola ISMS-a
  • Check – merenje i ocenjivanje performansi procesa u odosu na politiku i ciljeve ISMS-a
  • Act – preduzimanje korektivnih i preventivnih mera zasnovanih na rezultatima provere sa ciljem održavanja i poboljšanja ISMS-a

Kome je namenjen standard ISO 27001?

Standard pokriva kompanije svih veličina (male, srednje i velike), svih oblika uređenja (javni i državni sektor, privatne firme, nevladine organizacije), kao i sve vrste industrije, odnosno oblasti poslovanja (bankarstvo, proizvodnja,  IT sektor, komunalne usluge, zdravstvo, državna uprava, bezbednost…). Svima je cilj identičan. A to je da:

Informacije ostanu bezbedne i da svi zaposleni znaju precizne korake kako zaštiti kompanijske podatke.

ISO 27001 zahteva određenu vrsta monitoringa i upravljanja IT sistemom koje se pre svega odnosi na:

  • Sistematične, organizovane i planirane preglede bezbednosnih rizika za organizacijske informacije,
  • Vođenje računa o potencijalnim pretnjama i ranjivostima IT sistema, kao i posledicama upada u sistem, tj. štetnih uticaja na samu kompaniju,
  • Dizajniranje i sprovođenje sveobuhvatnog paketa sigurnosnih kontrola senzitivnih kompanijskih informacija,
  • Primena strategija reagovanja na pojavu rizika po bezbednost kako bi se pravovremeno zaštitile informacije,
  • Konstantna provera i unapređenje procesa bezbedonosne kontrole osetljivih informacija kako bi sistem ostao bezbedan i otporan na pojavu novih pretnji, a sve sa ciljem dodatne zaštite i sprečavanja nedozvoljenog korišćenja informacija.
  • Obezbeđivanje kontiniuteta poslovanja (back up sistema, redundansa vitalnih delova IT infrastrukture, disaster recovery plan)

Koristi se top-down pristup analizi rizika pri čemu su zahtevi tehnološki neutralni, odnosno ne zavise od bilo koje primenjene tehnologije. Specifikacija definiše planiranje koje se sastoji iz šest koraka:

  1. Definisanje bezbedonosne polise
  2. Definisanje obima ISMS-a
  3. Procena rizika
  4. Upravljanje identifikovanim rizicima
  5. Izbor kontrolnih objekata i kontrola koje treba implementirati
  6. Izrada izjave o primenljivosti

ISO 27001 standard nije obavezujući i predstavlja nadogradnju na postojeći ISO 9001 standard. Međutim, kompanije koje reše da se sertifikuju za ISO 27001, postižu daleko veće efekte od onih koje primenjuju standard, ali nisu sertfikovane, jer ih standard tera da se dodatno bave svojim procesima i da ih kontinuirano unapređuju. Tome služe i redovne kontrolne/nadzorne provere.

ISO 27001 STATISTIKA I ČINJENICE

Najnovija ISO anketa je otkrila porast potražnje za standard ISO 27001, dobrovoljni standard koji se fokusira na sisteme upravljanja bezbednošću informacija. Standard je zauzeo vodeću poziciju u poslovnom okruženju kako broj pretnji raste, a i očekivanja zainteresovanih strana rastu.

Koordinirano od strane Međunarodne organizacije za standardizaciju, ISO istraživanje navodi broj organizacija širom sveta koje su dobile sertifikat za jedan ili više standarda sistema menadžmenta. Ovaj pregled se fokusira na ISO 27001, vodeći standard koji pruža smernice za uvođenje robusnog i efikasnog sistema upravljanja bezbednošću informacija.

Sa skoro duplo više sertifikovanih organizacija u periodu od dve godine (351 u 2019. godina, 606 sertifikata u 2021. godini), svi dokazi pokazuju da ISO/IEC 27001 dobija značajnu pažnju u Francuskoj. Ova uzlazna kriva je u skladu sa globalnim trendovima, pošto je broj važećih sertifikata širom sveta skočio sa 36.000 u 2019. na 58.000 u 2021. Ovi sertifikati su sada izloženi na blizu 100.000 lokacija širom sveta, uključujući skoro 1.600 u Francuskoj.

Kada je reč o zemljama sa najvećim broje sertifikata ISO 27001, prve tri su Kina, Japan i Velika Britanija, od kojih svaka ima preko 5.000 sertifikata. Ovaj ogroman rast se u početku može objasniti time što su pitanja zaštite podataka jasno stavljena u središte pažnje.

„ISO 27001 se bavi bezbednošću informacionih sistema i tiče se i digitalnih i papirnih podataka“, objašnjava Bris Gilbert, menadžer ISO 27001 za AFNOR sertifikaciju.

„Pre nekoliko godina, 62% kompanija koje su se bavile standardom donelo je svoju odluku samostalno. Ali, suočene sa sve strožim skupom propisa, većina organizacija sada usvaja standard kako bi demonstrirala svoju usklađenost i nastavila da učestvuje na tenderima. Naravno da nije iznenađujuće što ISO istraživanje otkriva da sektor koji pokriva najveći broj ISO/IEC 27001 sertifikata je IT sektor.

Rezultat uvođenja standarda ISO 27001

Kao rezultat naših konsultantskih ativnosti nastaje potrebna dokumentacija za sertifikaciju, gde ubrajamo sledeća dokumenta:

  • Područje primene ISMS
  • Security polise – bezbedonosne polise
  • Proces procene rizika po bezbednost IT sistema i proces tretmana uočenih rizika
  • Rezultati procene i strategije tretiranja uočenih rizika
  • Ciljevi sistema
  • Dokaz kompetentnosti zaposlenih koji se bave bezbednošću informacija
  • Dokaz monitoringa i merenja bezbednosti informacija
  • Uočene neusaglašenosti i preduzete korektivne mere
  • Učestvovanje top menadžmenta u preispitivanju bezbednosti IT sistema,

Indirektna posledica gore pomenutih aktivnosti je buđenje svesti zaposlenih da su informacije kompanije koje nastaju u toku procesa rada vrlo senzitivne informacije i da treba voditi računa o njihovoj zaštiti.

 Česta pitanja o ISO 27001

Da li je ISO 27001 samo za IT firme?

Ne. ISO 27001 je namenjen svim organizacijama koje obrađuju osetljive informacije: podatke klijenta, ugovore, finansijske podatke, tehničku dokumentaciju, personalne podatke zaposlenih i slično. Standard je posebno važan za firme koje rade sa korporativnim klijentima, bankama, državnim institucijama ili učestvuju na tenderima.

Da li ISO 27001 znači kupovinu skupe IT opreme ili softvera?

Ne nužno. ISO 27001 ne propisuje konkretne tehnologije, već traži da organizacija upravlja rizicima po bezbednost informacija.
U većini firmi to znači uvođenje pravila, procedura i kontrole pristupa, a ne velika ulaganja u infrastrukturu.

Koliko traje uvođenje ISO 27001 standarda?

Za male i srednje organizacije proces pripreme do sertifikacije obično traje između 30 i 45 dana, u zavisnosti od složenosti sistema, broja zaposlenih i nivoa postojećih kontrola.

Ko mora da bude uključen u projekat?

Ključnu ulogu ima osoba odgovorna za bezbednost informacija (često iz menadžmenta ili administracije), kao i rukovodioci sektora koji rade sa važnim podacima. Nije potrebno uključivati sve zaposlene u svaki korak, ali je važno da ključne osobe razumeju svoja zaduženja.

Da li ISO 27001 pomaže kod GDPR-a?

Da. ISO 27001 i GDPR nisu isto, ali se značajno preklapaju. Uvođenje ISO 27001 sistema olakšava usklađivanje sa zahtevima zaštite podataka o ličnosti jer uvodi kontrolu pristupa, upravljanje rizicima, evidencije i procedure postupanja sa podacima.

Šta tačno dobijamo uvođenjem ISO 27001?

Dobijate:

  • jasan sistem upravljanja informacijama i rizicima
  • definisana pravila ko ima pristup kojim podacima
  • veću sigurnost u radu sa klijentima i partnerima
  • konkurentsku prednost na tenderima
  • i sertifikat koji potvrđuje da je sistem usklađen sa međunarodnim standardom
 

Da li sertifikat znači da je firma “100% bezbedna”?

Ne. ISO 27001 ne garantuje da se incidenti nikada neće desiti, već da organizacija ima sistem da prepozna rizike, smanji verovatnoću incidenata i reaguje na kontrolisan i dokumentovan način

Koliko traje sertifikat i šta se dešava posle?

Sertifikat važi 3 godine, uz godišnje nadzorne provere od strane sertifikacione kuće. Sistem se održava kroz redovne interne provere i ažuriranje procedura kada se promene procesi ili tehnologije.

PRIJAVI SE ZA UVODJENJE ISO 27001

 

strelica

    Ime i prezime (neophodno)

    Vaš email (neophodno)

    Telefon (neophodno)

    Firma (neophodno)

    Želim da uvedem sledeće standarde

    Poruka

    Koje ISO standarde možete uvesti?

    NAJČEŠĆI ISO STANDARDI

    OSTALI TRAŽENI ISO STANDARDI

    ISO standardi