• info@project-management-srbija.com
  • 063 104 27 15
Prijavi se

ISO 27001 - sistem menadžmenta bezbednošću informacija (ISMS)

ISO 27001 je međunarodni standard za uspostavljanje sistema menadžmenta bezbednošću informacija (ISMS – Information Security Management System). To je skup polisa i procedura koje uključuju zakonske, fizičke i tehničke kontrole koje su uključene u rizike informacionog sistema. Dakle, akcenat je na fizičkom i tehničkom obezbedjivanju IT infrastrukture i zaštiti senzitivnih informacija od neovlašćenog korišćenja.

Ako vaša organizacija obrađuje podatke klijenata, ugovore, finansijske informacije, tehničku dokumentaciju ili lične podatke zaposlenih, uvođenje ISO 27001 pomaže da te informacije zaštitite na sistemski, kontrolisan i međunarodno priznat način.

Ovaj standard nije samo IT tema. On uređuje način na koji cela organizacija upravlja informacijama i rizicima vezanim za njih.

Prijavi se za procenu uvođenja ISO 27001

Šta je ISO 27001?

ISO 27001 definiše kako organizacija:

  • identifikuje informacione rizike
  • procenjuje pretnje i ranjivosti
  • uvodi tehničke, organizacione i fizičke kontrole
  • prati, proverava i stalno unapređuje bezbednost informacija

Cilj standarda je da obezbedi poverljivost, integritet i dostupnost informacija.

Tri osnovna principa bezbednosti informacija

Poverljivost – pristup informacijama imaju samo ovlašćena lica
Integritet – informacije su tačne, potpune i zaštićene od neovlašćenih izmena
Dostupnost – informacije su dostupne kada su potrebne, onima koji imaju pravo pristupa.

Koje informacije štiti ISO 27001?

ISMS se odnosi na sve vrste informacija u organizaciji:

  • elektronske podatke i baze podataka
  • dokumente u papirnoj formi
  • e-mail komunikaciju
  • ugovore i poslovnu dokumentaciju
  • audio i video zapise
  • lične podatke zaposlenih i klijenata
 

ISO 27001 posmatra informaciju kao poslovnu imovinu koju treba zaštititi.

Koje mere obuhvata ISO 27001?

Standard ISO 27001 podrazumeva sledeće mere zaštite informacija:

Tehničke mere

  • kontrola pristupa sistemima
  • lozinke, autentikacija, enkripcija
  • backup i disaster recovery planovi
  • zaštita mreže i servera

Organizacione mere

  • bezbednosne politike i procedure
  • pravila korišćenja opreme i podataka
  • upravljanje dobavljačima i pristupima trećih lica
  • planovi reagovanja na bezbednosne incidente

Fizičke mere

  • kontrola pristupa prostorijama
  • video nadzor i zaštita opreme
  • zaštita arhiva i dokumentacije

Zašto je uvođenje ISO 27001 važno za tvoju organizaciju?

Digitalno okruženje donosi sve više pretnji: hakerske napade, krađu podataka, interne greške, gubitak podataka i prekide poslovanja.

Uvođenje standarda ISO 27001 pomaže da:

  • smanjite rizik od curenja podataka
  • zaštitite poverljive informacije klijenata
  • obezbedite kontinuitet poslovanja
  • izbegnete finansijske i reputacione gubitke

Procena rizika je zapravo ključni element uspostavljanja ISMS-a. Podrazumeva procenu verovatnoće pojavljivanja neželjenih efekata po bezbednost informacija i posledice koje se mogu tom prilikom javiti. Upravljanje rizicima mora biti stalan, kontinuiran proces sa neprekidnim proveravanjem potencijalnih opasnosti po bezbednost informacija. Kvalitetno sproveden proces procene rizika olakšava donošenje odluka o načinu upravljanja bezbednošću informacija.

Implementacija ISMS-a daje vašim partnerima jasan signal da je bezbednost informacija deo vašeg sistema rada, a ne improvizacija.

Prednosti koje se postižu uvođenjem standarda ISO 27001

Na primer, ISO insistira na strogoj strategiji upravljanja pristupom. Mora postojati politika koja detaljno opisuje kako organizacija upravljanja pristupom. To mora biti dostupno svim zaposlenima, a takođe treba biti uključeno u bilo koju obuku koja se organizuje.

Standard takođe zahteva od organizacija da vode ažurne i tačne spiskove pojedinaca kojima je dozvoljen pristup određenoj informativnoj imovini, mora postojati postupak za upravljanje i mora postojati obrazloženje kome je dozvoljen pristup. Da bi se osiguralo da se ovaj proces prati, on se takođe mora nadgledati i revidirati. Sve nepravilnosti treba brzo rešavati.

Mnogi veliki komercijalni i vladini ugovori sada zahtevaju sertifikat ISO 27001 kao standard, tako da preduzeća koja su postigla ovu potvrdu imaju izrazitu konkurentsku prednost.

Na osnovu svega možemo zaključiti da standatd ISO 27001 organizaciji obezbeđuje sledeće benefite:

  1. Kredibilitet i poverenje klijenata
    Pokazujete da ozbiljno upravljate podacima i rizicima.
  2. Konkurentska prednost na tenderima
    ISO 27001 je često uslov za ugovore sa velikim kompanijama i državnim institucijama.
  3. Bolja kontrola pristupa informacijama
    Jasno se definiše ko ima pristup kojim podacima i zašto.
  1. Smanjenje rizika od incidenata
    Pretnje se identifikuju unapred, a ne kada šteta već nastane.
  2. Usklađenost sa zakonima o zaštiti podataka
    ISMS pomaže usklađivanje sa zahtevima poput GDPR-a.
  3. Razvijanje svesti zaposlenih
    Zaposleni postaju svesni da su informacije vredan resurs koji mora biti zaštićen.
  4. Kontinuitet poslovanja
    Planovi za backup, oporavak i reagovanje na incidente smanjuju zastoje u radu.

Procena rizika – srce ISO 27001 sistema

Procena rizika je ključni deo ISMS-a. Organizacija:

  • identifikuje pretnje i ranjivosti
  • procenjuje verovatnoću i posledice incidenata
  • određuje koje kontrole treba uvesti

Upravljanje rizicima je kontinuiran proces, a ne jednokratna aktivnost.

Procesni pristup (PDCA model)

ISO 27001 koristi isti model upravljanja kao i drugi sistemi menadžmenta, poput ISO 9001 i ISO 14001.

  • Plan – definisanje politike bezbednosti i procena rizika
  • Do – primena kontrola i procedura
  • Check – praćenje i provera efikasnosti sistema
  • Act – unapređenje sistema na osnovu rezultata provere

Kome je namenjen ISO 27001?

ISO 27001 je namenjen organizacijama svih veličina i delatnosti, posebno onima koje:

  • obrađuju osetljive podatke klijenata

  • rade u IT sektoru, finansijama, pravnim uslugama

  • sarađuju sa državnim institucijama

  • učestvuju na tenderima gde je bezbednost informacija uslov

Šta dobijate uvođenjem ISO 27001?

  • sistem upravljanja bezbednošću informacija
  • jasno definisane uloge i odgovornosti
  • procedure za kontrolu pristupa i zaštitu podataka
  • plan reagovanja na incidente
  • dokumentovan i proverljiv sistem
  • sertifikat priznat na međunarodnom nivou

 Česta pitanja o ISO 27001

Da li je ISO 27001 samo za IT firme?

Ne. ISO 27001 je namenjen svim organizacijama koje obrađuju osetljive informacije: podatke klijenta, ugovore, finansijske podatke, tehničku dokumentaciju, personalne podatke zaposlenih i slično. Standard je posebno važan za firme koje rade sa korporativnim klijentima, bankama, državnim institucijama ili učestvuju na tenderima.

Da li ISO 27001 znači kupovinu skupe IT opreme ili softvera?

Ne nužno. ISO 27001 ne propisuje konkretne tehnologije, već traži da organizacija upravlja rizicima po bezbednost informacija.
U većini firmi to znači uvođenje pravila, procedura i kontrole pristupa, a ne velika ulaganja u infrastrukturu.

Koliko traje uvođenje ISO 27001 standarda?

Za male i srednje organizacije proces pripreme do sertifikacije obično traje između 30 i 45 dana, u zavisnosti od složenosti sistema, broja zaposlenih i nivoa postojećih kontrola.

Ko mora da bude uključen u projekat?

Ključnu ulogu ima osoba odgovorna za bezbednost informacija (često iz menadžmenta ili administracije), kao i rukovodioci sektora koji rade sa važnim podacima. Nije potrebno uključivati sve zaposlene u svaki korak, ali je važno da ključne osobe razumeju svoja zaduženja.

Da li ISO 27001 pomaže kod GDPR-a?

Da. ISO 27001 i GDPR nisu isto, ali se značajno preklapaju. Uvođenje ISO 27001 sistema olakšava usklađivanje sa zahtevima zaštite podataka o ličnosti jer uvodi kontrolu pristupa, upravljanje rizicima, evidencije i procedure postupanja sa podacima.

Šta tačno dobijamo uvođenjem ISO 27001?

Dobijate:

  • jasan sistem upravljanja informacijama i rizicima
  • definisana pravila ko ima pristup kojim podacima
  • veću sigurnost u radu sa klijentima i partnerima
  • konkurentsku prednost na tenderima
  • i sertifikat koji potvrđuje da je sistem usklađen sa međunarodnim standardom
 

Da li sertifikat znači da je firma “100% bezbedna”?

Ne. ISO 27001 ne garantuje da se incidenti nikada neće desiti, već da organizacija ima sistem da prepozna rizike, smanji verovatnoću incidenata i reaguje na kontrolisan i dokumentovan način

Koliko traje sertifikat i šta se dešava posle?

Sertifikat važi 3 godine, uz godišnje nadzorne provere od strane sertifikacione kuće. Sistem se održava kroz redovne interne provere i ažuriranje procedura kada se promene procesi ili tehnologije.

PRIJAVI SE ZA PROCENU UVOĐENJA ISO 27001 STANDARDA

Ako vaša organizacija želi da zaštiti podatke, poveća poverenje klijenata i stekne prednost na tržištu, onda je ISO 27001 je logičan sledeći korak.

 

strelica

    Ime i prezime (neophodno)

    Vaš email (neophodno)

    Telefon (neophodno)

    Firma (neophodno)

    Želim da uvedem sledeće standarde

    Poruka

    Koje ISO standarde možete uvesti?

    NAJČEŠĆI ISO STANDARDI

    OSTALI TRAŽENI ISO STANDARDI

    ISO standardi