- Implementirajte i naučite
- Resursi
- Za partnere
- O nama
ISO 27001 stručnjak - Kontaktirajte nas
ISO 27001 je međunarodni standard objavljen od strane Međunarodne Organizacije za Standardizacije (ISO) i opisuje kako upravljati informacijskom sigurnošću u tvrtkama. Najnovija inačica ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC 27001:2013. Prva revizija standarda je objavljena 2005. godine a razvijena je na temelju britanskog standarda BS 7799-2.
ISO 27001 može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja informacijskom sigurnošću u organizaciji. Također, omogućava tvrtkama dobivanje certifikata, što znači da neovisno certifikacijsko tijelo daje potvrdu da je organizacija implementirala informacijsku sigurnost sukladno ISO 27001.
ISO 27001 je postao najpopularniji standard informacijske sigurnosti u svijetu, te su mnoge kompanije certificirane prema njemu – ovdje možete vidjeti broj certifikata u posljednje dvije godine.
Izvor: The ISO Survey of Management System Standard Certifications
ISO 27001 je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u tvrtki. To se postiže prepoznavanjem koji se potencijalni problemi mogu dogoditi podacima (tj. procjena rizika), te definiranje što treba poduzeti da se takvi problemi spriječe (tj. tretman ili obrada rizika).
Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima: prepoznavanju i sustavnoj obradi rizika.
Sigurnosne mjere koje će se implementirati su obično u formi politika, procedura i tehničke primjene (npr. softvera i opreme). Međutim, u većini slučajeva tvrtke već imaju sav potreban hardver i softver ali ih koriste na nesiguran način – stoga se većina primjene ISO 27001 odnosi na uspostavu organizacijskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se spriječilo narušavanje sigurnosti.
Budući da će takva primjena zahtijevati upravljanje mnogobrojnim politikama, procedurama, ljudstvom, sredstvima itd., ISO opisuje kako uklopiti sve te elemente u sustav upravljanja informacijskom sigurnošću (ISMS).
Dakle, upravljanje informacijskom sigurnošću se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od računalnih virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku zaštitu i slično.
Pogledajte također – Temeljna logika ISO 27001: kako funkcionira informacijska sigurnost
Postoje 4 ključne poslovne prednosti koje tvrtka može postići sa primjenom ovog standarda informacijske sigurnosti:
Zadovoljavanje pravnih zahtjeva – postoji sve više zakona, propisa i ugovornih zahtjeva u svezi informacijske sigurnosti, a dobra vijest je da se većina može riješiti primjenom ISO 27001 – ovaj standard vam pruža savršenu metodologiju za sukladnost sa svima njima.
Ostvarivanje marketinške prednosti – ako vaša tvrtka dobije certifikat a vaši konkurenti ne, to vam daje prednost u očima kupaca koji su osjetljivi na zaštitu svojih podataka.
Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki incident, mali ili veliki, košta – dakle, sprečavajući incidente vaša tvrtka će uštedjeti dosta novca. Najbolje od svega je da je investiranje u ISO 27001 daleko manje od uštede koju ćete ostvariti.
Bolja organizacija – obično brzorastuće tvrtke nemaju vremena da zastanu i definiraju svoje procese i procedure – a posljedica toga je da zaposlenici vrlo često ne znaju što, kada i tko treba učiniti. Primjena ISO 27001 pomaže riješiti takvu situaciju jer potiče tvrtke da napišu svoje osnovne procese (čak i one koji nisu u svezi sa sigurnošću), što im omogućava da reduciraju izgubljeno vrijeme zaposlenika.
Pogledajte također – Besplatan kalkulator povrata investicije u sigurnost
U biti, informacijska sigurnost je dio sveukupnog upravljanja rizicima u tvrtki, sa područjima preklapanja sa računalnom sigurnošću, upravljanjem kontinuitetom poslovanja i upravljanjem informacijskim tehnologijama.
ISO/IEC 27001 je podijeljen u 11 poglavlja i Aneks A, gdje su poglavlja od 0 do 3 uvodna (i nisu obvezna za primjenu), dok su poglavlja od 4 do 10 obvezna – što znači da se svi njihovi zahtjevi moraju primijeniti u organizaciji ako želi biti sukladna standardu. Sigurnosne mjere iz Aneksa A moraju biti provedene samo ako su deklarirane kao primjenjive u Izjavi o primjenjivosti.
Sukladno Aneksu SL ISO/IEC Direktiva Međunarodne Organizacije za Standardizaciju, naslovi poglavlja u ISO 27001 su isti kao i u ISO 22301:2012, u novom ISO 9001:2015, te u drugim standardima upravljanja, što omogućava lakšu integraciju tih standarda.
Poglavlje 0: Uvod – objašnjava svrhu ISO 27001 i njegovu kompatibilnost s drugim standardima upravljanja.
Poglavlje 1: Opseg – objašnjava da je ovaj standard primjenjiv u bilo kojoj organizaciji.
Poglavlje 2: Upućivanje na druge norme –upućuje na ISO/IEC 27000 kao standard u kojemu su navedeni pojmovi i definicije.
Poglavlje 3: Pojmovi i definicije – također upućuje na ISO/IEC 27000.
Poglavlje 4: Kontekst organizacije – ovo poglavlje je dio faze planiranja u PDCA krugu (uspostava, upravljanje, pregledavanje, poboljšavanje) i definira uvjete za razumijevanje vanjskih i unutarnjih pitanja, zainteresiranih strana i njihovih zahtjeva, te definiranje opsega sustava upravljanja informacijskom sigurnošću.
Poglavlje 5: Rukovođenje – ovaj odjeljak je dio faze planiranja PDCA ciklusa i definira odgovornost top menadžmenta, određuje uloge i odgovornosti, te sadržaj krovne politike informacijske sigurnosti.
Poglavlje 6: Planiranje – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za procjenu rizika, obradu rizika, Izjavu o primjenjivosti, plan obrade rizika, te postavlja ciljeve informacijske sigurnosti.
Poglavlje 7: Podrška – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za dostupnost resursa, nadležnosti, informiranost, komunikaciju i kontrolu dokumenata i zapisa.
Poglavlje 8: Djelovanje – ovo poglavlje je dio Do faze (primjene) u PDCA krugu i definira provedbu procjene i obrade rizika, kao i sigurnosne mjere i druge procese potrebne za postizanje ciljeva informacijske sigurnosti.
Poglavlje 9: Ocjena učinaka – ovo poglavlje je dio faze pregledavanja u PDCA krugu i definira uvjete za praćenje, mjerenje, analizu, procjenu, unutarnju reviziju i pregled menadžmenta.
Poglavlje 10: Poboljšanje – ovo poglavlje je dio faze poboljšanja u PDCA krugu i definira uvjete za nesukladnosti, ispravke, korektivne mjere i trajno poboljšanje.
Aneks A – ovaj aneks nudi katalog 114 sigurnosnih mjera koje se nalaze u 14 poglavlja (poglavlja od A.5 do A.18).
Pogledajte također: Da li je PDCA krug izbrisan iz novih ISO standarda?
Da biste implementirali ISO 27001 u tvrtki, morate slijediti ovih 16 koraka:
Za detaljnija objašnjenja ovih koraka pogledajte Popis za implementaciju ISO 27001
ISO 27001 propisuje pisanje sljedeće dokumentacije:
A ovo su obvezni zapisi:
Naravno, tvrtka može odlučiti napisati dodatne sigurnosne dokumente ukoliko smatra da je to potrebno.
Da biste vidjeli detaljnije objašnjenje svakog od ovih dokumenata skinite besplatni white paper Popis obvezne dokumentacije prema ISO 27001 (verzija 2013)
Postoje dvije vrste ISO 27001 certifikata: (a) za organizacije i (b) za pojedince. Organizacije se mogu certificirati da bi dokazale sukladnost sa svim obveznim klauzulama standarda; pojedinci mogu pohađati tečaj i položiti ispit da bi dobili certifikat.
Da bi ste se certificirali kao organizacija, morate implementirati standard kako je navedeno u prethodnim poglavljima i potom proći certifikacijski audit od strane certifikacijskog tijela. Certifikacijski audit se provodi kroz sljedeće korake:
Pogledajte također Dobivanje ISO 27001 certifikata – kako se pripremiti za certifikacijski audit
Pojedinci mogu pohađati nekoliko tečajeva da bi dobili certifikat, a najpopularniji su:
Pogledajte također: Kako naučiti o ISO 27001
Kao što je ranije rečeno, ISO 27001 je prvi put objavljen 2005. godine a revidiran 2013. godine – dakle trenutno je važeća inačica ISO/IEC 27001:2013.
Najvažnije izmjene u verziji 2013 se odnose na strukturu glavnog dijela standarda, zainteresirane strane, ciljeve, praćenje i mjerenje; a također je u Aneksu A smanjen broj sigurnosnih mjera sa 133 na 114, dok je broj poglavlja povećan sa 11 na 14. Neki zahtjevi su izbrisani iz verzije 2013, kao što su preventivne mjere i zahtjev da se dokumentiraju određene procedure.
Pogledajte također Infografiku: Nova verzija ISO 27001 2013– Što se promijenilo?
Međutim, sve te izmjene nisu zapravo mnogo promijenile standard u cjelini – njegova temeljna filozofija se i dalje bazira na procjeni i obradi rizika, a zadržane su iste faze uspostave, primjene, pregledavanja i poboljšavanja. Ova nova verzija standarda je lakša za čitanje i razumijevanje, te je mnogo jednostavnija za integriranje s drugim standardima upravljanja kao što su ISO 9001, ISO 22301, itd.
Tvrtke certificirane prema ISO/IEC 27001: 2005 moraju prijeći na novu verziju do rujna 2015. godine ukoliko žele zadržati valjan certifikat.
Ovdje pogledajte kako to učiniti: Kako prijeći sa ISO 27001 verzije 2005 na verziju 2013
ISO / IEC 27002 daje smjernice za implementiranje sigurnosnih mjera navedenih u ISO 27001. ISO 27001 specificira 114 sigurnosnih mjera koje se mogu koristiti za smanjenje sigurnosnih rizika, a ISO 27002 može biti vrlo koristan jer daje detalje o tome kako implementirati te mjere. Prethodni naziv ISO 27002 je bio ISO/IEC 17799, a proizašao je iz britanske norme BS 7799-1.
ISO / IEC 27004 daje smjernice za mjerenje informacijske sigurnosti i dobro se uklapa s ISO 27001 jer objašnjava kako utvrditi jesu li ciljevi sustava upravljanja informacijskom sigurnošću ostvareni.
ISO / IEC 27005 daje smjernice za upravljanje rizikom informacijske sigurnosti. To je vrlo dobar dodatak ISO 27001, jer daje pojedinosti o tome kako izvršiti procjenu rizika i obradu rizika, što je vjerojatno najteža faza u implementaciji. ISO 27005 je proizašao iz britanske norme BS 7799-3.
ISO 22301 definira zahtjeve za sustave upravljanja kontinuitetom poslovanja i jako se dobro uklapa s ISO 27001, jer poglavlje A.17 iz ISO 27001 zahtijeva implementiranje kontinuiteta poslovanja, međutim ne daje previše pojedinosti. Ovdje možete saznati više o ISO 22301…
ISO 9001 definira zahtjeve za sustave upravljanja kvalitetom – iako na prvi pogled upravljanje kvalitetom i upravljanje informacijskom sigurnošću nemaju mnogo toga zajedničkog, činjenica je da su oko 25% zahtjeva ISO 27001 i ISO 9001 isti: kontrola dokumenata, interni audit, pregled menadžmenta, korektivne mjere, postavljanje ciljeva i upravljanje nadležnostima. To znači da ako tvrtka ima implementiran ISO 9001, puno lakše će implementirati ISO 27001. Ovdje možete saznati više o ISO 9001…
Da saznate više o implementaciji ISO 27001 posjetite našu stranicu ISO 27001 Besplatno preuzimanje. Pronaći ćete mnoštvo korisnih resursa.
