ISO 27001:2013 IEC

Uvodjenje ISO 27001:2013

Iskoristite naše iskustvo i konsultante da uvedete Menadžment Zaštite i Bezbednosti Informacija

Postoje 4 ključne poslovne prednosti koje organizacija može postići sa primenom ovog standarda:

1. Zadovoljavanje pravnih zahteva – postoji sve više zakona, propisa i ugovornih zahteva u vezi informacijske sigurnosti, a dobra vest je da se većina može rešiti primenom ISO 27001 – ovaj standard vam pruža savršenu metodologiju za uskldjivanje sa svima njima.

2. Ostvarivanje marketinške prednosti – ako vaša organizacija dobije certifikat, a vaši konkurenti ne, to vam daje prednost u očima kupaca koji su osetljivi na zaštitu svojih podataka.

3. Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki incident, mali ili veliki, košta – dakle, sprečavajući incidente vaša organizacija će uštedeti dosta novca. Najbolje od svega je da je investiranje u ISO 27001 daleko manje od uštede koju ćete ostvariti.

4. Bolja organizacija – obično brzorastuće organizacije nemaju vremena da zastanu i definišu svoje procese i procedure – a posledica toga je da zaposleni vrlo često ne znaju šta, kada i ko treba učiniti. Primena ISO 27001 pomaže rešiti takvu situaciju jer podstiče organizacije da napišu svoje osnovne procese (čak i one koji nisu u vezi sa bezbednošću), što im omogućava da redukuju izgubljeno i optimizuju radno vreme zaposlenih.

ISO / IEC 27001 je Sistemi menadžmenta bezbednošću informacija – sigurnosni standard omogućiće vam preduslove da poštujete zakon o zaštiti podataka o ličnosti – GDPR direktivu EU.

Sertifikacija ISO 27001:2013 Sistem Menadžmenta Zaštite i Bezbednosti Informacija

ISO 27001 standard je objavljen od strane Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) pod zajedničim nazivom ISO/IEC 27001:2013 i opisuje kako upravljati bezbednošću informacija u organizacijama. On predstavlja specifikacije za sistem za upravljanje sigurnošću informacija (ISMS).

ISO/IEC 27001:2013, u punom nazivu, Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi (eng. Information technology – Security techniques – Information security management systems – Requirements) je međunarodni standard koji daje zahteve za ISMS – Sisteme Menadžmenta Bezbednošću Informacija.

Najnovija verzija ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC 27001:2013. Prva revizija standarda je objavljena 2005. godine a razvijena je na temelju britanskog standarda BS 7799-2. ISO 27001 može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja informacijskom sigurnošću u organizaciji.

ISO 27000 je familija standarda koja pomaže organizacijama da obezbede svoje informacije i sredstva. Koristeći ovu seriju standarda olakšaćete i pomoći vašoj organizaciji u procesima upravljanja – tokova informacija, kao što su financijske informacije, intelektualno vlasništvo, informacije od značaja i zaposlenima, ali  i informacije koje vam poveri treća strana.

Organizacije koje ispunjavaju zahteve standard mogu biti sertifikvane od strane nezavisnog sertifikacionog tela uz uspešan završetak procesa formalnr revizije i ispunjenosti uslova.

SERTIFIKAT ISO 27001

Sertifikacija ISO 27001:2022

Postoje dve vrste ISO 27001 sertifikata: (A) za organizacije i (B) za pojedince. Organizacije se mogu sertifikovati da bi dokazale uskladjnost sa svim obaveznim klauzulama standarda; Pojedinci mogu izvršiti obuku i položiti ispit da bi dobili sertifikat. Da bi ste se sertifikovali kao organizacija, morate implementirati standard kako je navedeno, i potom proći sertifikacijski audit od strane nezavisnog sertifikacionog tela.

Sertifikacijski audit se sprovodi kroz sledeće korake: Faza 1 (pregled dokumentacije) – auditori će pregledati svu dokumentaciju i Faza 2 (glavni audit) – auditori će izvršiti audit na licu mesta kako bi proverili da li su sve aktivnosti organizacije uskladjene sa ISO 27001. (Nadzor – nakon izdavanja sertifikata, tokom perioda važnosti od 3 godine, auditori će proveriti minimu još 2 puta da li organizacija održava sistem upravljanja bezbednošću).

ISO 27001 je prvi put objavljen 2005. godine a poslednji put revidiran 2022. godine – dakle trenutno je važeća verzija  ISO/IEC 27001:2022.   Izmene nisu zapravo mnogo promenile standard u celini – njegova temeljna filozofija se i dalje bazira na proceni i obradi rizika. Nova verzija standarda je lakša za čitanje i razumevanje, samim tim je mnogo jednostavnija za integrisanje s drugim standardima upravljanja kao što su ISO 9001, ISO 22301, itd.

UVODJENJE ISO 27001 - KORACI

16 koraka do implementacije ISO 27001 :

Osigurati podršku top menadžmenta, Koristiti metodologiju upravljanja projektima, Definisati opseg sistema upravljanja bezbednosti informacija, Napisati krovnu politiku zaštite podataka, Definsati metodologiju procene rizika, Izvršiti procenu i obradu rizika, Napisati Izjavu o primjenjivosti, Napisati plan obrade rizika, Definsati načine merenja učinkovitost sigurnosnih mera i sistema upravljanja bezbednosšću, Implementirati sve primenjive sigurnosne mere i procedure, Spovesti programe obuke i informisanosti, Izvršiti sve svakodnevne poslove propisane dokumentacijom vašeg sistma upravljanja bezbednošću informacija, Pratiti i meriti postavljeni sistem, Sprovesti interni audit, Sprovesti pregled od strane menadžmenta i na kraju Sprovesti korektivne mere.

IMPLEMENTACIJA ISO 27001

STRUKTURA ISO 27001

ISO 27001 je usresređen na zaštitu poverljivosti, celovitosti i raspoloživosti podataka u organizaciji. To se postiže prepoznavanjem koji se potencijalni problemi mogu dogoditi podatcima (tj. procjena rizika), te definiše što treba preduzeti da se takvi problemi spreče (tj. tretman ili obrada rizika). Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima: prepoznavanju i sistemskoj obradi rizika.

Struktura –  ISO/IEC 27001:2013
(information security management standard)

Standardom su specificirani zahtevi za: uspostavljanje ISMS, implementaciju ISMS, primenu ISMS, praćenje ISMS,    preispitivanje ISMS, održavanje ISMS i poboljšavanje ISMS.

Tipovi informacija na koje se odnosi ISMS – Sistem Menadžmenta Bezbednošću Informacija su pisane informacije,    štampane informacije, informacije u elektronskim formatima, informacije poslane poštom, informacije poslane elektronskom poštom, foto, audio, video informacije – audiovizuelne informacije.

Dokumentovani ISMS – Sistem Menadžmenta Bezbednošću Informacija sastoji se od niza dokumenata: Poslovnika bezbednosti informacija (Politika bezbednosti informacija), Procedura, Instrukcija i Zapisa.

Izvori pretnji po bezbednost informacija mogu biti interni ili eksterni i namerni ili nenamerni. Najčešći incidenti informacione bezbednosti su prirodne nepogode (zemljotres, poplava, požar, udar groma), zlonamerni napadi (malware), interni napadi (zloupotrebe), nenamerne, nesvesne ljudske greške, kvarovi opreme i/ili instalacija informacionog sistema.

Sigurnosne mere koje će se implementirati su obično u formi pravila, procedura i tehničkih rešenaja (npr. softvera i opreme). Međutim, u većini slučajeva organizacije već imaju sav potreban hardver i softver, ali ih koriste na nesiguran način – zato se većina primene ISO 27001 odnosi na uspostavu organizaciskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se sprečilo narušavanje sigurnosti – bezbednosti informacija.

Budući da će takva primena rešenja – upravljanje mnogobrojnim pravilima, procedurama, ljudstvom, sredstvima itd., narušiti postojeća pravila i politiku kuće, ISO opisuje kako uklopiti sve te elemente u postojeći sistem upravljanja informaciskom bezbednošću (ISMS).  Dakle, upravljanje bezbednošću informacija se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku zaštitu i slično.

SPISAK DOKUMENATA ISO 27001

ZAHTEVI ISO 27001

ISO/IEC 27001 je podeljen u 11 poglavlja i Aneks A, gdje su poglavlja od 0 do 3 uvodna (i nisu obvezna za primenu), dok su poglavlja od 4 do 10 obvezna – što znači da se svi njihovi zahtjevi moraju primijeniti u organizaciji ako želi biti u skladu sa  standardom. Sigurnosne mere iz Aneksa A moraju biti sprovedene samo ako su deklarisane kao primenjive u Izjavi o primenljivosti.

Poglavlje 0: Uvod – objašnjava svrhu ISO 27001 i njegovu kompatibilnost s drugim standardima upravljanja.
Poglavlje 1: Opseg – objašnjava da je ovaj standard primenjiv u bilo kojoj organizaciji.
Poglavlje 2: Upućivanje na druge norme –upućuje na ISO/IEC 27000 kao standard u kojemu su navedeni pojmovi i definicije.
Poglavlje 3: Pojmovi i definicije – također upućuje na ISO/IEC 27000.
Poglavlje 4: Kontekst organizacije – ovo poglavlje je deo faze planiranja u PDCA krugu (uspostavljanje, upravljanje, kontrola, poboljšanja) i definše uslove za razumevanje spoljnih i unutrašnjih pitanja, zainteresiranih strana i njihovih zahteva, definše okvir sistema upravljanja bezbednpću informacija.
Poglavlje 5: Rukovođenje – ovo poglavlje je deo faze planiranja PDCA ciklusa i definisanja odgovornost top menadžmenta, određuje uloge i odgovornosti, sadržaj krovne politike bezbednosti podataka.
Poglavlje 6: Planiranje – ovo poglavlje je deo postupka planiranja u PDCA krugu i definiše uslove za procenu rizika, obradu rizika, izjavu o primenjivosti, plan obrade rizika, postavlja ciljeve bezbednosti podataka.
Poglavlje 7: Podrška – ovo poglavlje je deo faze planiranja u PDCA krugu i definiše uslovete za dostupnost resursa, nadležnosti, informisanost, komunikaciju i kontrolu dokumenata i zapisa.
Poglavlje 8: Delovanje – ovo poglavlje je deo faze (primene) u PDCA krugu i definše modele za spovodjenje procene i obrade rizika, kao i sigurnosne mere i druge procese potrebne za postizanje bezbednosti podataka.
Poglavlje 9: Ocena učinaka – ovo poglavlje je deo faze pregledavanja u PDCA krugu i definiše uslove za praćenje, merenje, analizu, procenu, unutrašnju reviziju i pregled menadžmenta.
Poglavlje 10: Poboljšanja – ovo poglavlje je deo faze poboljšanja u PDCA krugu i definše uslove za uskladjnost, ispravke, korektivne mere i trajna poboljšanja.
Aneks A – ovaj aneks nudi niz sigurnosnih mera koje se nalaze u 14 poglavlja (poglavlja od A.5 do A.18).

Da biste implementirali ISO 27001 , morate slediti ovih 16 koraka: Osigurati podršku top menadžmenta, Koristiti metodologiju upravljanja projektima, Definisati opseg sistema upravljanja bezbednosti informacija, Napisati krovnu politiku zaštite podataka, Definsati metodologiju procene rizika, Izvršiti procenu i obradu rizika, Napisati Izjavu o primjenjivosti, Napisati plan obrade rizika, Definsati načine merenja učinkovitost sigurnosnih mera i sistema upravljanja bezbednosšću, Implementirati sve primenjive sigurnosne mere i procedure, Spovesti programe obuke i informisanosti, Izvršiti sve svakodnevne poslove propisane dokumentacijom vašeg sistma upravljanja bezbednošću informacija, Pratiti i meriti postavljeni sistem, Sprovesti interni audit, Sprovesti pregled od strane menadžmenta i na kraju Sprovesti korektivne mere.