ISO 27001 certifikacija

Informacije nas okružuju posvuda i dio su svakog procesa. Ponekad su nevažne, ali često su kritične i povjerljive. Kako biste utvrdili ovu važnu razliku za vašu organizaciju, potrebno je klasificirati podatke. Zaštitne mjere sistema upravljanja sigurnošću informacija (ISMS) prema ISO/IEC 27001 temelje se na ovoj klasifikaciji.

Sistem upravljanja sigurnošću informacija (ISMS) stvara okvir za zaštitu operativnih podataka i njihove povjerljivosti. Istodobno, globalno priznati standard osigurava dostupnost informacijskih sistema uključenih u korporativne procese. U tom kontekstu ISO 27001 certifikat šalje snažan signal tržištu o neovisnoj vanjskoj evaluaciji i potvrdi učinkovitosti vašeg sistema upravljanja sigurnošću informacija.

EN ISO/IEC 27001:2017-06 predstavlja objavljenu verziju koju je koordinirao Europski odbor za certifikaciju (CEN). Kombinuje dva ispravka (corrigenda) Cor 1:2014 i Cor 2:2015. Promjene u ispravcima odnose se samo na poboljšani opis povezanih zahtjeva, ali ne uključuju nove, dodatne zahtjeve. Certifikati prema verziji ISO/IEC 27001:2013 tako zadržavaju svoju valjanost.

U Njemačkoj, na primjer, firme koje pripadaju sektoru kritične infrastrukture (KRITIS) i prelaze prag moraju dostaviti dokaze o tome kako osiguravaju svoju informacijsku sigurnost. Sektori KRITIS-a uključuju energiju, vodu, zdravstvo, finansije i osiguranje, hranu, transport i promet, informacijske tehnologije i telekomunikacije. Odgovarajući dokaz implementacije može se steći sigurnosnim auditima, testovima ili certifikacijama. U tu svrhu se kao osnova za audit mogu koristiti priznati standardi poput ISO 27001 ili, alternativno, sigurnosni standardi specifični za industriju koje je priznao Njemački savezni ured za informacijsku sigurnost (BSI).

Posebno je vrijedna primjena mjera iz Dodatka A standarda. Uz dio sa zahtjevima orjentisanim na sistem upravljanja (poglavlja 4 do 10), ISO standard sadrži i opsežan popis od 35 mjerljivih ciljeva (kontrola) sa 114 konkretnih mjera za širok raspon sigurnosnih aspekata u 14 poglavlja u Dodatku A. Mjere se moraju implementirati u okviru sistema upravljanja u mjeri u kojoj su relevantne za vašu firmu.

Dosljedno usklađivanje procesa firme sa ISO 27001 dokazano vodi do niza prednosti: 

• Stalno poboljšanje nivoa sigurnosti
• Smanjenje postojećih rizika
• Poštivanje zahtjeva za usklađenost
• Veća svijest među zaposlenicima
• Povećano zadovoljstvo kupaca

Interni auditi i pregledi menadžmenta uz učešće top menadžmenta su interne poluge za postizanje ovog cilja.

Drugi pozitivni aspekti su da zainteresirane strane kao što su nadzorni organi, osiguravajuća društva, banke, partnerske kompanije grade veći nivo poverenja u vašu kompaniju. To je zato što certificirani sistem upravljanja signalizira da se vaša organizacija nosi sa rizicima na strukturisan način i da je pretplaćena na kontinuirano poboljšanje (CIP), čineći je otpornijom na neželjene uticaje.

Međunarodni standard ISO/IEC 27001 se također može implementirati, upravljati i certificirati nezavisno od drugih sistema upravljanja kao što su ISO 9001 (upravljanje kvalitetom) ili ISO 14001 (upravljanje okolinom).

Uz to, ISO/IEC 27006 definiše stroge zahtjeve kojih se certifikacijska tijela moraju pridržavati kako bi certificirala sisteme upravljanja sigurnošću informacija prema ISO 27001.

To uključuje:

• Dokaz o određenom odnosu broja dana audita i broja auditora
• Uslove za kvalifikaciju auditora 

DQS je akreditiran od strane njemačkog nacionalnog akreditacijskog tijela DakkS (Deutsche Akkreditierungsstelle GmbH) i stoga je ovlašten za provođenje audita i certificiranje prema ISO 27001.

Bez obzira na industriju u kojoj vaša firma posluje, možete se osloniti na prepoznatljivu stručnost DQS auditora. Oni imaju dugogodišnje iskustvo u ocjenjivanju sistema upravljanja sigurnošću informacija u različitim industrijama.

Troškovi certificiranja prema ISO 27001 utvrđuju se prema sljedeća četiri kriterija, između ostalog:

1. Složenost vašeg sistema upravljanja informacijskom sigurnošću

U obzir se uzimaju kritične vrijednosti (na primjer patenti, lični podaci, objekti, procesi) vaše firme. Trošak certifikacije se prvenstveno temelji na zahtjevima informacijske sigurnosti i stepenu utjecaja na povjerljivost, integritet i dostupnost (VIV) informacija.

2. Osnovna djelatnost Vaše firme unutar opsega sistema upravljanja sigurnošću informacija

Rizici povezani sa vašim poslovnim procesima igraju važnu ulogu u određivanju odnosa potrebnog broja dana audita i auditora. Uzimaju se u obzir pravni zahtjevi kao i složeni, individualni zahtjevi kupaca.

3. Glavne tehnologije i komponente koje se koriste u vašem ISMS-u

Za vrijeme audita ispituje se tehnologija kao i pojedinačne komponente vašeg sistema upravljanja sigurnošću informacija. To uključuje informacijske platforme, poslužitelje, baze podataka, aplikacije kao i mrežne segmente. Osnovno pravilo ovdje je: Što je veći udio standardnih sistema i što je manja složenost vaše informacijske tehnologije, potreban je manji broj dana audita i auditora. O tome ovise i troškovi ISO 27001 certifikacije.

4. Udio samostalnog razvoja programskih rješenja u sklopu vašeg sistema upravljanja sigurnošću informacija

Ako nema internog razvoja i uglavnom koristite standardizirane programske platforme, broj potrebnih dana audita i auditora je manji. Ako vaš sistema upravljanja sigurnošću informacija karakterizira intenzivna upotreba samostalno razvijenih programa i ako se ti programi koriste za središnja poslovna područja, broj potrebnih dana audita i auditora će biti veći.

Kako bismo vam mogli dati pregled troškova za certifikaciju sistema upravljanja sigurnošću informacija potrebne su nam tačne informacije o vašem poslovnom modelu i opsegu certifikacije unaprijed. Na taj način vam možemo napraviti prilagođenu ponudu.