Man and a woman with a laptop in a server room

ISO 27001 certifikacija u Bosni i Hercegovini

Vaš upit


Sistemsko upravljanje sigurnošću informacija u Bosni i Hercegovini

Tema "Sigurnost informacija" postaje sve aktualnija za firme u procesu digitalne transformacije na području Bosne i Hercegovine. Bez dostatnih sigurnosnih mjera predostrožnosti postoji rizik od gubitka podataka i krađe podataka od strane hakera, prekida u poslovanju zbog napada putem interneta ili zloupotrebe podataka. Jedna od mogućnosti strukturiranog pristupa je sistem upravljanja  sigurnošću informacija (ISMS) prema ISO 27001.

Dokazuje sigurnost podataka i informacija

Sigurnost kao dio korporativne kulture

Učinkovita primjena procesa upravljanja rizicima

Stalno poboljšavanje nivoa vaše sigurnosti

Business10.png

Šta je ISO 27001?

ISO/IEC 27001 je vodeći internationalni standard za implementaciju holističkog sistema upravljanja sigurnošću informacija. Usredotočuje se na identifikaciju, procjenu i upravljanje rizicima za procese rukovanja informacijama. Sigurnost povjerljivih informacija ističe se kao značajan strateški element u firmama u Bosni i Hercegovini.

Informacije nas okružuju posvuda i dio su svakog procesa. Ponekad su nevažne, ali često su kritične i povjerljive. Kako biste utvrdili ovu važnu razliku za vašu organizaciju, potrebno je klasificirati podatke. Zaštitne mjere sistema upravljanja sigurnošću informacija (ISMS) prema ISO/IEC 27001 temelje se na ovoj klasifikaciji.

Sistem upravljanja sigurnošću informacija (ISMS) stvara okvir za zaštitu operativnih podataka i njihove povjerljivosti. Istodobno, globalno priznati standard osigurava dostupnost informacijskih sistema uključenih u korporativne procese firmi u Bosni i Hercegovini. U tom kontekstu ISO 27001 certifikat šalje snažan signal tržištu o neovisnoj vanjskoj evaluaciji i potvrdi učinkovitosti vašeg sistema upravljanja sigurnošću informacija.

Drugo izdanje ISO/IEC 27001 datira iz 2013. godine. Sada je međunarodno priznati standard za ISMS ažuriran i ponovo objavljen u svom trećem izdanju kao ISO/IEC 27001:2022 25. oktobra 2022. Revizija je neizbježna posljedica nakon ISO/IEC 27002, kao vodič za implementaciju koji reguliše Anex A standarda ISO 27001, sveobuhvatno je revidiran i objavljen u februaru 2022.

Prijelazni period za postojeće ISO 27001 certifikate je tri godine od posljednjeg dana mjeseca objavljivanja novog ISO/IEC 27001:2022, što znači da svi certifikati prema ISO/IEC 27001:2013 moraju biti pretvoreni u verziju 2022. ISO 27001 do 31. oktobra 2025., možete pročitati o novim karakteristikama ažuriranja ISO 27001 u našem članku "Novi ISO/IEC 27001:2022 - ključne promjene".

Prikaži više
Prikaži manje
SEO19.png

Kome je namijenjena certifikacija prema ISO 27001 u BiH?

Standard ISO 27001 za sisteme upravljanja sigurnošću informacija primjenjuje se u Bosni i Hercegovini, ali i cijelom svijetu. Firmama svih veličina i industrija pruža okvir za planiranje, implementaciju i praćenje vlastite sigurnosti informacija. Zahtjevi su primjenjivi i odnose se na privatna i javna poduzeća kao i na neprofitne organizacije u Bosni i Hercegovini.

U Njemačkoj, na primjer, firme koje pripadaju sektoru kritične infrastrukture (KRITIS) i prelaze prag moraju dostaviti dokaze o tome kako osiguravaju svoju informacijsku sigurnost. Sektori KRITIS-a uključuju energiju, vodu, zdravstvo, finansije i osiguranje, hranu, transport i promet, informacijske tehnologije i telekomunikacije. Odgovarajući dokaz implementacije može se steći sigurnosnim auditima, testovima ili certifikacijama. U tu svrhu se kao osnova za audit mogu koristiti priznati standardi poput ISO 27001 ili, alternativno, sigurnosni standardi specifični za industriju koje je priznao Njemački savezni ured za informacijsku sigurnost (BSI).

Prikaži više
Prikaži manje
Business11.png

Zašto je standard ISO 27001 koristan za firme u BiH?

Uvođenje sistema upravljanja sigurnošću informacija prema ISO/IEC 27001 strateška je odluka za vašu firmu. Ispunjavanje općih zahtjeva standarda mora odražavati specifičnu situaciju firme. Implementacija u organizaciji ovisi o potrebama i ciljevima, sigurnosnim zahtjevima i organizacijskim procesima, te veličini i strukturi poduzeća.

Anex A standarda ISO 27001, koji će se koristiti u vezi sa odjeljkom 6.1.3 na osnovu analiza rizika specifičnih za kompaniju, posebno je vrijedan u praksi. Kontrole sigurnosti informacija navedene u Anexu A direktno su izvedene i usklađene s mjerama navedenim u trenutnom standardu ISO 27002, odjeljci 5 do 8.

Ranije je Anex A standarda ISO/IEC 27001:2013 uključivao ukupno 114 kontrola za rješavanje rizika sigurnosti informacija, podijeljenih u 14 odjeljaka i 35 kontrolnih ciljeva. U novom ISO/IEC 27001:2022-10, Anex A sada sadrži 93 kontrole relevantnih sigurnosnih aspekata, koje su podijeljenje u 4 tematske oblasti.

Dosljedno usklađivanje procesa firme sa ISO 27001 dokazano vodi do niza prednosti: 

  • Stalno poboljšanje nivoa sigurnosti
  • Smanjenje postojećih rizika
  • Poštivanje zahtjeva za usklađenost
  • Veća svijest među zaposlenicima
  • Povećano zadovoljstvo kupaca

Interni auditi i pregledi menadžmenta uz učešće top menadžmenta su interne poluge za postizanje ovog cilja.

Drugi pozitivni aspekti su da zainteresirane strane u Bosni i Hercegovini, ali i svijetu, kao što su nadzorni organi, osiguravajuća društva, banke, partnerske kompanije grade veći nivo poverenja u vašu kompaniju. To je zato što certificirani sistem upravljanja signalizira da se vaša organizacija nosi sa rizicima na strukturisan način i da je pretplaćena na kontinuirano poboljšanje (CIP), čineći je otpornijom na neželjene uticaje.

Međunarodni standard ISO/IEC 27001 se također može implementirati, upravljati i certificirati nezavisno od drugih sistema upravljanja kao što su ISO 9001 (upravljanje kvalitetom) ili ISO 14001 (upravljanje okolinom).

Prikaži više
Prikaži manje
Business36.png

Ko smije provoditi certifikaciju prema ISO 27001 u BiH?

Kako bi se certificirao sistem upravljanja sigurnošću informacija, odgovarajuće certifikacijsko tijelo mora biti akreditirano prema ISO/IEC 17021 i ISO/IEC 27006. ISO/IEC 17021 reguliše teme vezane uz ocjenjivanje usklađenosti, posebno zahtjeve za inspekcijska tijela koja auditiraju i certificiraju sisteme upravljanja.

Uz to, ISO/IEC 27006 definiše stroge zahtjeve kojih se certifikacijska tijela moraju pridržavati kako bi certificirala sisteme upravljanja sigurnošću informacija prema ISO 27001.

To uključuje:

  • Dokaz o određenom broju audit dana
  • Uslove za kvalifikaciju auditora 

DQS je akreditiran od strane njemačkog nacionalnog akreditacijskog tijela DakkS (Deutsche Akkreditierungsstelle GmbH) i stoga je ovlašten za provođenje audita i certificiranje prema ISO 27001 u Bosni i Hercegovini i cijelom svijetu.

Bez obzira na industriju u kojoj vaša firma posluje, možete se osloniti na prepoznatljivu stručnost DQS auditora u Bosni i Hercegovini. Oni imaju dugogodišnje iskustvo u ocjenjivanju sistema upravljanja sigurnošću informacija u različitim industrijama.

Prikaži više
Prikaži manje
Business28.png

Kako izgleda certifikacija prema ISO 27001 u BiH?

Nakon što su implementirani svi zahtjevi ISO 27001 standarda, možete certificirati svoj sistem upravljanja. Proći ćete kroz višestepeni proces certifikacije u DQS BiH. Ako je u firmi već uspostavljen certificirani sistem upravljanja, proces se može skratiti.

U prvom koraku sa nama razgovarate o vašoj firmi i ciljevima ISO 27001 certifikacije. Na temelju toga dobit ćete detaljnu ponudu prilagođenu individualnim potrebama Vaše firme.

Sastanak za planiranje projekta može biti koristan za veće projekte, na primjer, kako bi se bolje uskladili rasporedi i provedba audita na više lokacija ili odjela. Predaudit Vam nudi priliku da unaprijed identificirate prednosti i prilike za poboljšanje vašeg sistema upravljanja. Obje usluge nisu obavezne.

Certifikacijski audit počinje analizom sistema i evaluacijom Vašeg sistema upravljanja sigurnošću informacija (faza 1). Ovdje auditor utvrđuje je li je Vaš sistem upravljanja dovoljno razvijen i spreman za certifikaciju. U sljedećem koraku (faza 2) auditor ocjenjuje učinkovitost svih procesa upravljanja na licu mjesta, primjenjujući standard ISO 27001. Rezultat audita predstavlja se na završnom sastanku. Po potrebi se dogovaraju akcijski planovi.

Nakon certifikacijskog audita rezultate ocjenjuje neovisni certifikacijski odbor DQS-a. Ako su ispunjeni svi zahtjevi standarda, dobit ćete certifikat prema ISO 27001.

Nakon uspješne certifikacije ključne komponente vašeg sistema upravljanja sigurnošću informacija ponovno se auditiraju na licu mjesta barem jednom godišnje kako bi se osiguralo stalno poboljšavanje.

Certifikat ISO 27001 vrijedi najviše tri godine. Ponovna certifikacija - recertifikacija se provodi pravovremeno prije isteka, kako bi se osigurala stalna usklađenost sa primjenjivim zahtjevima standarda. Nakon usklađenosti, izdaje se novi certifikat.

Banking13.png

Koliko košta certifikacija prema ISO 27001 u BiH?

Četiri kriterija procjene

Iako se audit prema ISO 27001 provodi prema strukturiranim specifikacijama, cijena ovisi o različitim faktorima, poput složenosti vaše organizacije. Stoga ne može postojati jedinstvena ponuda za sve firme.

Troškovi certificiranja prema ISO 27001 u Bosni i Hercegovini utvrđuju se prema sljedeća četiri kriterija, između ostalog:

1. Složenost vašeg sistema upravljanja informacijskom sigurnošću

U obzir se uzimaju kritične vrijednosti (na primjer patenti, lični podaci, objekti, procesi) vaše firme. Trošak certifikacije se prvenstveno temelji na zahtjevima informacijske sigurnosti i stepenu utjecaja na povjerljivost, integritet i dostupnost (VIV) informacija.

2. Osnovna djelatnost Vaše firme unutar opsega sistema upravljanja sigurnošću informacija

Rizici povezani sa vašim poslovnim procesima igraju važnu ulogu u određivanju odnosa potrebnog broja dana audita i auditora. Uzimaju se u obzir pravni zahtjevi u Bosni i Hercegovini kao i složeni, individualni zahtjevi kupaca.

3. Glavne tehnologije i komponente koje se koriste u vašem ISMS-u

Za vrijeme audita ispituje se tehnologija kao i pojedinačne komponente vašeg sistema upravljanja sigurnošću informacija. To uključuje informacijske platforme, poslužitelje, baze podataka, aplikacije kao i mrežne segmente. Osnovno pravilo ovdje je: Što je veći udio standardnih sistema i što je manja složenost vaše informacijske tehnologije, potreban je manji broj dana audita i auditora. O tome ovise i troškovi ISO 27001 certifikacije.

4. Udio samostalnog razvoja programskih rješenja u sklopu vašeg sistema upravljanja sigurnošću informacija

Ako nema internog razvoja i uglavnom koristite standardizirane programske platforme, broj potrebnih dana audita i auditora je manji. Ako vaš sistema upravljanja sigurnošću informacija karakterizira intenzivna upotreba samostalno razvijenih programa i ako se ti programi koriste za središnja poslovna područja, broj potrebnih dana audita i auditora će biti veći.

Kako bismo vam mogli dati pregled troškova za certifikaciju sistema upravljanja sigurnošću informacija potrebne su nam tačne informacije o vašem poslovnom modelu i opsegu certifikacije unaprijed. Na taj način vam možemo napraviti prilagođenu ponudu.

Prikaži više
Prikaži manje
Business2.png

Što možete očekivati od nas?

  • Više od 35 godina iskustva u certificiranju sistema upravljanja i procesa globalno, i 20 godina iskustva u Bosni i Hercegovini
  • Auditori i stručnjaci u Bosni i Hercegovini sa praktičnim iskustvom i visokim nivoom tehničkog znanja
  • Auditi koji pružaju vrijedne uvide u vašu organizaciju
  • Međunarodno priznati certifikati
  • Iskustvo i akreditacije za sve relevantne standarde
  • Lična podrška naših stručnjaka - u Bosni i Hercegovini, regionalno i globalno
  • Prilagođene ponude sa fleksibilnim rokovima ugovora bez skrivenih troškova
Contact-Europe-woman-shutterstock_1916704835.jpg

Zahtjev za ponudu u DQS BiH

Vaša lokalna kontakt osoba u BiH

Rado ćemo vam poslati prilagođenu ponudu za ISO 27001 certifikaciju. 

Vaš upit

Novi ISO/IEC 27001:2022 - ključne promjene

U ovom postu na DQS blogu pronaći ćete najvažnije informacije o ključnim promjenama i dodacima u revidiranom standardu ISO 27001:2022.

DQS blog

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas