Sigurnost informacija - Pitanja i odgovori za ISO 27001

Zbog nedovoljne sigurnosti u obradi informacija, samo njemačka privreda svake godine trpi štetu od više milijardi eura. Razlozi za to su složeni i kreću se od spoljnih smetnji, tehničkih grešaka, industrijske špijunaže do zloupotrebe informacija od strane bivših zaposlenika. Ali samo oni koji prepoznaju izazove mogu pokrenuti i odgovarajuće mjere. Dobro struktuiran sistem upravljanja sigurnošću informacija u skladu sa međunarodno priznatim standardom ISO 27001 optimalna je osnova za efektivnu implementaciju holističke sigurnosne strategije. Šta to tačno znači i šta treba uzeti u obzir? Dobijte odgovore na važna pitanja o ISO 27001 upravo ovdje.

SADRŽAJ

• Šta je sigurnost informacija?
• Koji su ciljevi zaštite sigurnosti informacija?
• Šta je sistem upravljanja sigurnošću informacija?
• Za koje organizacije je koristan ISO 27001?
• Koje su prednosti sistema upravljanja sigurnošću informacija?
• Koja je uloga ljudi?
• ISO 27001 - Pitanja o uvođenju
• Zašto ISO 27001 certifikat?
• DQS - Šta možemo učiniti za vas

Šta je sigurnost informacija?

Odgovor na ovo pitanje je prilično jednostavan u smislu međunarodne porodice standarda za sigurnost informacija ISO 2700x:

„Informacije su podaci koji su od vrijednosti za organizaciju."

ISO/IEC 27000:2020-06: Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Pregled i riječnik

Vidite, informacija je imovina koja ne bi trebala pasti u ruke neovlaštenih osoba i koja zahtijeva odgovarajuću zaštitu.

Sigurnost informacija je dakle sve što ima veze sa zaštitom informacijske imovine vaše kompanije. Odlučujući faktor ovdje je biti svjestan rizika koji postoje u kontekstu kompanije, ili ih otkriti i suprotstaviti im se odgovarajućim mjerama na osnovu potreba.

"Informaciona sigurnost nije IT sigurnost"

IT sigurnost se odnosi samo na sigurnost primijenjene tehnologije, a ne na korporativnu imovinu koju treba zaštititi. Organizacioni problemi, na primjer, ovlaštenja za pristup, odgovornosti ili procedure odobravanja, kao i psihološki aspekti, također igraju ključnu ulogu u sigurnosti informacija. Međutim, siguran IT štiti i informacije u kompaniji.

Koji su ciljevi zaštite sigurnosti informacija?

Prema međunarodnom standardu ISO/IEC 27001, ciljevi zaštite za sigurnost informacija obuhvataju tri glavna aspekta:

• Povjerljivost - zaštita povjerljivih informacija od neovlaštenog pristupa, bilo iz razloga zakona o zaštiti podataka ili na osnovu poslovne tajne obuhvaćene npr.  Zakon o poslovnoj tajni. Ovdje je relevantan nivo povjerljivosti.
• Integritet - minimiziranje svih rizika, osiguravanje potpunosti i pouzdanosti svih podataka i informacija.
• Dostupnost - osiguravanje pristupa i upotrebljivosti za ovlašteni pristup informacijama, zgradama i sistemima. Ovo je ključno za održavanje procesa.

Certificirana sigurnost informacija prema ISO 27001

Zaštitite svoje informacije sistemom upravljanja koji zadovoljava međunarodne standarde ✓ DQS nudi preko 35 godina iskustva u certificiranju ✓

• Više vrijednih znanja možete pronaći na našoj stranici proizvoda za ISO 27001

Ključna pitanja o sigurnosti informacija

• Koje su vrijednosti moje kompanije?
• Koje vrijednosti kompanije treba zaštititi?
• Kojim napadima je izložena imovina kompanije?
• Ko ima interes da zaštiti ove informacije?
• Koje su odgovarajuće mjere?

Šta je sistem upravljanja sigurnošću informacija?

Sistem upravljanja sigurnošću informacija (ISMS) prema ISO/IEC 27001 definiše smjernice, pravila i metode za osiguranje sigurnosti informacija koje vrijedi zaštititi u organizaciji. Daje model za uvođenje, implementaciju, praćenje i unaprijeđenje nivoa zaštite - u skladu sa sistematskom procedurom PDCA ciklusa (Plan-Do-Check-Act) poznatom iz ISO 9001.

Cilj je identificirati i analizirati potencijalne rizike i učiniti ih kontrolisanim putem odgovarajućih mjera.

Vrijedno poznavanje standarda

Novi ISO 27001:2022 donosi mnogo promjena

U 45-minutnom snimku našeg webinara „Šta se mijenja s novim ISO/IEC 27001:2022“, dobit ćete informacije o bitnim zahtjevima novog standarda, promjenama mjera Aneksa A, te datumima i rokovima za prijelaz.

• Za više informacija i za gledanje snimka.

Zašto je važno upravljanje sigurnošću informacija?

Uspješne organizacije koriste strukturu i transparentnost modernih sistema upravljanja da otkriju prijetnje i ciljaju na implementaciju savremenih sigurnosnih sistema. U srcu sistema upravljanja sigurnošću informacija je sigurnost vaših sopstvenih informacionih sredstava, kao što su intelektualna svojina, finansijski i personalni podaci, kao i informacije koje su vam povjerili kupci ili treća lica.

"Informacijska sigurnost uvijek znači zaštitu značajnih informacija ili podataka od vrijednosti."

Rizici kojima su izloženi podaci vrijedni zaštite su brojni. One mogu proizaći iz materijalnih, ljudskih i tehničkih prijetnji sigurnosti. Ali samo holistički, preventivni pristup sistemu upravljanja ISMS-om može odgovoriti na cijeli spektar prijetnji i osigurati kontinuitet poslovanja kompanije.

Za koje organizacije je koristan ISO 27001?

Odgovor na to pitanje je vrlo jednostavan: za sve. ISO 27001 se u osnovi može primijeniti u svim organizacijama, bez obzira na njihov tip, veličinu i industriju. I: sve organizacije imaju koristi od prednosti strukturiranog sistema upravljanja. Na implementaciju ISMS-a utiču sljedeći faktori:

• Zahtjevi i poslovni ciljevi
• Sigurnosne potrebe
• Primijenjeni poslovni procesi
• Veličina i struktura organizacije

Koje su prednosti sistema upravljanja sigurnošću informacija?

Važno pitanje. ISO 27001 formuliše zahtjeve za sistematsko projektovanje i implementaciju sistema upravljanja orijentisanog na procese za sigurnost informacija. Ovim holističkim pristupom mogu se postići odlučujuće prednosti:

• Sigurnost osjetljivih informacija postaje sastavni dio procesa kompanije
• Preventivno očuvanje ciljeva zaštite je povjerljivost, dostupnost i integritet informacija
• Održavanje kontinuiteta poslovanja kroz kontinuirano poboljšanje nivoa sigurnosti
• Senzibilizacija zaposlenih i značajno povećana svijest o sigurnosti na svim nivoima kompanije
• Uspostavljanje efikasnog procesa upravljanja rizikom
• Izgradnja povjerenja sa zainteresiranim stranama (npr. tenderi) kroz dokazano sigurno rukovanje osjetljivim informacijama
• Poštivanje relevantnih zahtjeva usklađenosti, veća sigurnost radnje i pravna sigurnost

Kako se može upravljati potencijalnim rizicima?

Sigurnosni rizici mogu proizaći iz materijalnih, ljudskih i tehničkih prijetnji. Da bi se postigao sljediv i odgovarajući nivo sigurnosti u organizaciji, potreban je definisan proces upravljanja rizikom ili metod za procjenu rizika, tretman rizika i praćenje rizika. ISO/IEC 27005 pruža dobre smjernice za upravljanje rizikom sigurnosti informacija.

Kakvu ulogu igraju ljudi?

Ljudi su takođe faktor rizika, jer postupanje sa osjetljivim informacijama utiče na sve zaposlene i partnere kompanije bez izuzetka. Oni predstavljaju povećani sigurnosni rizik, bilo zbog neznanja ili ljudske greške. Ali samo nekoliko organizacija reguliše ko može dobiti pristup kojim informacijama i kako se s njima postupa.

"Novi izvor moći više nije novac u rukama nekolicine, već informacija u rukama mnogih." John Naisbitt, *1929, Amerikanac. Futurolog

Obavezujući propisi i izražena svijest o svim pitanjima sigurnosti informacija su stoga osnovni preduslov. Prilagodba korporativne politike ili razvoj odgovarajuće politike informacione sigurnosti ovdje se smatra bitnim. Neophodna senzibilizacija zaposlenih na svim (upravljačkim) nivoima je stvar šefa i može se odvijati, na primjer, kroz kurseve i obuke, radionice ili lične razgovore.

Savjet za čitanje: Incidenti u informacijskoj sigurnosti: Zaposleni kao faktor uspjeha

ISO 27001 - Pitanja o implementaciji

Na pitanje da li kompanija već mora imati uveden sistem upravljanja, na primjer u skladu sa ISO 9001, može se jasno odgovoriti sa "ne". ISO 27001 je generički standard i - kao i svi standardi sistema upravljanja - stoji za sebe. To znači da organizacija može postaviti i implementirati sistem upravljanja sigurnošću informacija u bilo koje vrijeme i nezavisno od bilo koje postojeće strukture.

Ipak, kompanije koje imaju sistem upravljanja kvalitetom u skladu sa ISO 9001 već su stvorile dobru osnovu za postupno uvođenje sveobuhvatne informacione sigurnosti.

U svojoj strukturi i pristupu, ISO 27001 se zasniva na obaveznoj osnovnoj strukturi za sve standarde sistema upravljanja orijentisanih na procese, na strukturi visokog nivoa. Shodno tome, ovo vam nudi mogućnost jednostavne integracije sistema upravljanja sigurnošću informacija u već postojeći sistem upravljanja. Isto tako, moguća je zajednička certifikacija prema ISO 27001 sa ISO 20000-1 (Upravljanje IT uslugama) ili ISO 22301 (Upravljanje kontinuitetom poslovanja) od strane DQS-a.

Koji dokumenti mogu podržati uvođenje?

Poželjna osnova za uvođenje holističkog sistema upravljanja za sigurnost informacija je međunarodna ISO/IEC 2700x porodica standarda. Namijenjen je podršci organizacijama svih vrsta i veličina u implementaciji i radu ISMS-a. Stepen implementacije unutar organizacije može se provjeriti internim auditom.

Korisne komponente serije standarda su

• ISO/IEC 27000:2018: Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Pregled i riječnik
• ISO/IEC 27001:2013: Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Zahtjevi (Nova verzija ovog standarda objavljena je u oktobru 2022. godine, više informacija slijedi)
• ISO/IEC 27002:2022: Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Kontrole sigurnosti informacija. ISO 27002 definiše široki katalog općih mjera sigurnosti dizajniranih da pomognu organizacijama da implementiraju zahtjeve iz Aneksa A ISO 27001
• ISO/IEC 27003:2017: Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Smjernice
• ISO/IEC 27004-2016: Informaciona tehnologija - Sigurnosne tehnike - Upravljanje sigurnošću informacija - Praćenje, mjerenje, analiza i evaluacija
• ISO/IEC 27005:2018: Informaciona tehnologija - Sigurnosne tehnike - Upravljanje rizikom sigurnosti informacija

Svi propisi dostupni su na ISO web stranici.

ISO 27001 - Pitanja o službeniku za IT sigurnost?

Da li ISO 27001 zahtijeva službenika za IT sigurnost? Odgovor je "da".

Jedan zadatak u okviru sistema upravljanja sigurnošću informacija je imenovanje službenika za IT sigurnost od strane najvišeg menadžmenta. Službenik za IT sigurnost je kontakt osoba za sva pitanja IT sigurnosti. On ili ona treba da budu integrisani u sve ISMS procese i blisko povezani sa IT menadžerima - na primjer, prilikom odabira novih IT komponenti i IT aplikacija.

ISO 27001 u praksi

DQS Vodič za audit (zasnovano na ISO 27001:2013)

Iskoristite dobra pitanja audita i moguće dokaze o odabranim kontrolama iz Aneksa A.

Od stručnjaka u ovoj oblasti.

To je više od kontrolne liste! Preuzmite sada.

Zašto ISO 27001 certifikacija?

Certifikacija po akreditovanoj proceduri je dokaz da su implementirani sistem upravljanja i mjere za sistemsku zaštitu informacionih sredstava. Sa ISO 27001 certifikatom pokazujete "crno na bijelom" da ste uspješno uspostavili ovaj sistem i da ste posvećeni njegovom stalnom poboljšanju.

DQS certifikat, koji je cijenjen u cijelom svijetu, vidljiv je izraz neutralne ocjene i jača povjerenje u vašu kompaniju. Ovo je tržišna prednost i predstavlja dobar preduslov na tenderima i poslovanju klijenata koji su kritični za sigurnost, kao što su pružaoci finansijskih usluga.

ISO 27001 - Pitanja o procesu certifikacije

Svi sistemi upravljanja koji se ocjenjuju na osnovu međunarodnih pravila (ISO 17021) od strane akreditovanog certifikacijskog tijela kao što je DQS podliježu istom procesu certifikacije.

Inicijalna certifikacija se sastoji od analize sistema (faza 1 audita) i audita sistema (faza 2 audita), tokom koje auditori na licu mjesta provjeravaju da cjelokupni sistem ispravno funkcioniše i da su svi zahtjevi implementirani. Certifikat tada vrijedi 3 godine.

Da bi se garantovala valjanost tokom čitavog perioda, sistem upravljanja mora biti verifikovan godišnje. U prvoj i drugoj godini nakon izdavanja certifikata, DQS auditori stoga provode skraćene ISMS audite (nadzorne audite), u kojima razmatraju, na primjer, efikasnost ključnih komponenti sistema ili korektivnih i preventivnih mjera. Ponovna certifikacija se zatim odvija nakon tri godine.

Kompanije koje već imaju postojeći sistem upravljanja treba da kombinuju svoje programe audita i traže zajedničku certifikaciju svog integrisanog sistema upravljanja (IMS).

Da li je moguća certifikacija matrice?

Certifikacija matrice je moguća za kompanije sa više lokacija. U principu, isti zahtjevi se primjenjuju na ISO 27001 kao i na druge ISO standarde kao što su ISO 9001 ili ISO 14001. DQS može osigurati integraciju ISO 27001 u postojeće procedure matrice, tj. zajednički eksterni audit sa drugim standardima.

Koje su prednosti ISO 27001 u odnosu na TISAX?

TISAX^® (Pouzdana razmjena za procjenu sigurnosti informacija) je razvijen kao industrijski standard posebno za automobilsku industriju i prilagođen specifičnim potrebama industrije. Osnova za TISAX® procjenu je katalog testova VDA procjene sigurnosti informacija (VDA ISA), koji se, između ostalog, temelji na zahtjevima ISO 27001 ili ISO 27002 i proširuje ih na teme kao što su zaštita prototipa ili zaštita podataka.

Više vrijednih znanja možete pronaći na našoj stranici proizvoda TISAX®.

Cilj TISAX®-a je da obezbijedi sveobuhvatnu (informacionu) sigurnost za sve faze u lancu nabavke. Osim toga, registracija u bazi podataka pojednostavljuje postupak međusobnog priznavanja. Međutim, TISAX® je prepoznat samo u automobilskoj industriji. Kupci iz drugih industrija mogu prepoznati samo ISO 27001 kao dokaz ISMS-a.

DQS - Šta možemo učiniti za vas

DQS je vaš stručnjak za audite i certifikaciju - za sisteme upravljanja i procese. Sa više od 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentni partner za certifikaciju, koji pruža odgovore na sva ISO 27001 pitanja.

Vršimo audit prema oko 200 priznatih standarda i propisa, kao i standarda specifičnih za kompanije i udruženja. Bili smo prvo njemačko certifikacijsko tijelo koje je u decembru 2000. godine dobilo akreditaciju za BS 7799-2, prethodnik ISO/IEC 27001. Ova ekspertiza je i dalje izraz naše priče o uspjehu širom svijeta.

Bit će nam drago da odgovorimo na vaša pitanja

Koliko posla treba da uradite da biste dobili ISMS certifikat prema ISO 27001? Dobijte informacije besplatno i bez obaveza.

Radujemo se razgovoru s vama.