U doba digitalizacije vrijedne su informacije koje se prije svega moraju sačuvati ili zaštititi. Za kompanije to znači da je uz zaštitu podataka, sigurnost informacija apsolutno neophodna. Dobra vest je: kompanije koje imaju certificiran sistem upravljanja kvalitetom u skladu sa ISO 9001 već su stvorile dobru osnovu za postepeno uvođenje potpuno sveobuhvatne informacione sigurnosti.

Loading...

Tema sigurnosti informacija nije nova. Opasnosti koje prijete opsežnom informacijskom okruženju u organizacijama su odavno poznate. Prema BSI "Istraživanju o cyber sigurnosti" iz aprila 2019. godine, 43% velikih kompanija prijavilo je da su pogođene incidentima sajber sigurnosti u 2018..

Za mala i srednja preduzeća taj broj je iznosio 26%. A prema "Izvještaju o situaciji o IT sigurnosti u Njemačkoj 2021" njemačkog saveznog ureda za sigurnost informacija (BSI), slučajevi sajber kriminala ponovo su značajno porasli. U izvještajnom periodu od 1. juna 2020. do 31. maja 2021. godine, ne samo da je došlo do porasta novih varijanti zlonamjernog softvera od dobrih 22 posto (oko 144 miliona), već je i kvalitet napada nastavio znatno rasti. U tom procesu, mnogi počinioci su iskoristili nevolju zbog korone mnogih kompanija i ljudi.

Međutim, sigurnost povjerljivih podataka kompanije i dalje je zanemarena. Često postoji nedostatak opreza i promišljenosti prilikom obrade i pohranjivanja informacija. Svijest o posljedicama krađe podataka i sličnih je također daleko od toga da je svuda dovoljno razvijena. Na nekim mjestima, kompanije također oklijevaju da ulože vrijeme i trud koji su im potrebni za efikasnu zaštitu svojih osjetljivih informacija.

 

Korak po korak za više sigurnosti informacija

Ali napor potreban za sigurnost podataka ne mora biti tako velik. Dobra vijest je da mnoge kompanije ne moraju u jednom potezu implementirati sveobuhvatan sistem upravljanja sigurnošću informacija. Za kritičnu infrastrukturu (CRITIS), s druge strane, to zahtijeva njemački zakon o IT sigurnosti.

Pristup korak po korak je također moguć. To znači da je prvi korak, barem u kompanijama koje imaju sistem upravljanja kvalitetom (QM) u skladu sa ISO 9001, ažuriranje potrebnog pristupa zasnovanog na riziku - ali već s obzirom na odgovarajuće zahtjeve važnog standarda sigurnosti informacija ISO 27001.

Loading...

ISO 9001 i ISO 27001 u eri digitalizacije

Uzbudljiva tema? Sada dostupan kao besplatni Bijeli papir!

Iz sadržaja:

  • Koliko papira za kvalitet?
  • Efikasna zaštita dokumentiranih informacija
  • ISO 27001: Osnova za sigurnu digitalizaciju

Ovaj Bijeli papir je zasnovan na verziji ISO 27001:2013.

Sigurnost informacija i upravljanje kvalitetom

ISO 27001 naspram ISO 9001: Gdje su veze? Prvo, mora se napomenuti da standard upravljanja kvalitetom ISO 9001 zaista zahtijeva pristup zasnovan na riziku. Međutim, implementacija ovog zahtjeva sistema upravljanja u velikoj mjeri ovisi o vašoj organizaciji. Na primjer, upravljanje kvalitetom ne zahtijeva poseban proces za procjenu rizika, ali je to nesumnjivo premalo u pogledu sigurnosti informacija. ipak:

Procjena rizika za pitanja upravljanja kvalitetom može se lako proširiti na sigurnost informacija.

Da biste to učinili, korisno je pogledati zahtjeve za identifikaciju i bavljenje sigurnosnim rizicima ISO 27001 za sistem upravljanja sigurnošću informacija (ISMS). Većinu aspekata mogu implementirati korisnici sistema upravljanja kvalitetom uz razuman trud - kao prvi korak na putu ka holističkoj informacijskoj sigurnosti, imajte na umu. 

 

Sigurnost informacija - rizici i prilike

Oba internacionalna standarda, ISO 27001 za sigurnost informacija i ISO 9001 za upravljanje kvalitetom, bave se relevantnim temama u Poglavlju 6.1 „Mjere za suočavanje s rizicima i prilikama“. U suštini, cilj je osigurati tri bitna aspekta u sistemu upravljanja:

  • Postizanje željenih rezultata vaše organizacije
  • Spriječavanje ili smanjenje neželjenih efekata
  • Postizanje kontinuiranog poboljšanja kroz usklađenost sa određenim standardima

Što se tiče sigurnosti informacija, to su prije svega tri bitna cilja zaštite:

  • Gubitak povjerljivosti
  • Integritet informacija
  • Dostupnost informacija

ISMS standard ISO 27001 specificira sljedeće zahtjeve (odjeljak 6.1.1):

  • Utvrđivanje rizika i prilika
  • Planiranje mjera za rješavanje identificiranih rizika i prilika
  • Planiranje kako će se mjere integrisati u procese kompanije i implementirati

 

Identifikacija i rješavanje rizika

Sledeće potpoglavlje (6.1.2) ISO 27001 zahtijeva uspostavljanje i primjenu procesa procjene rizika sigurnosti informacija. Ovaj proces mora uspostaviti i održavati kriterije rizika za sigurnost informacija. Ovo uključuje, posebno, kriterije za prihvatanje rizika i izvođenje procjene rizika sigurnosti informacija.

Nadalje, proces mora osigurati da "ponovljene procjene rizika sigurnosti informacija daju konzistentne, validne i uporedive rezultate", kako navodi ISMS standard. Sljedeće podtačke mogu biti značajne ako se ima na umu prvi korak:

  • Identificirajte rizike za sigurnost informacija
  • Analizirajte rizike sigurnosti informacija
  • Procijenite rizike sigurnosti informacija

Zahtjevi u 6.1.3 zahtijevaju uspostavljanje i primjenu procesa za rješavanje rizika sigurnosti informacija kako bi se postiglo sljedeće:

  • Odaberite odgovarajuće opcije za rješavanje sigurnosnog rizika, s obzirom na rezultate procjene rizika
  • Odredite sve radnje potrebne za implementaciju odabranih opcija za rješavanje sigurnosnog rizika
  • Uporedite definisane mjere s kontrolama navedenim u Aneksu A standarda ISO 27001 (ciljne radnje)
  • Pripremite izjavu o primjenjivosti u pogledu razloga za (ne)uključivanje kontrola iz Aneksa A
  • Formulišite plan za postupanje sa sigurnosnim rizicima
  • Dobijte odobrenje i prihvatanje ovog plana od vlasnika rizika
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Certifikacija prema ISO 27001

Koje napore trebate očekivati da bi vaš sistem upravljanja sigurnošću informacija bio certificiran prema ISO 27001? Saznajte.

Anex A ISO 27001 daje smjernice

Aneks A poznatog standarda sistema upravljanja ISO/IEC 27001 ima izričit normativni karakter. Može se shvatiti kao neka vrsta kontrolne liste od 93 moguće kontrole sigurnosti informacija, fokusirajući se na sljedeće četiri teme:

A.5 Organizacione kontrole (sa 37 kontrola)
A.6 Lične kontrole (sa 8 kontrola)
A.7 Fizičke kontrole (sa 14 kontrola)
A.8 Tehničke kontrole (sa 34 kontrole).

Organizacija može koristiti Aneks A kako bi osigurala da nije previdjela nijednu bitnu stavku za rješavanje sigurnosnih rizika. Međutim, ne tvrdi da je iscrpan.

Izvor: ISO/IEC 27001:2022

Savjet za čitanje:

Pročitajte i blog post o Aneksu A standarda ISO 27001: Odgovornosti i uloge zaposlenih i steknite dragocjeno stručno znanje uz naš besplatni Aneks A vodič za audit!

Sve informacije su bazirane na ISO 27001:2013.

Siurnost informacija i upravljanje kvalitetom - koji je najbolji pristup?

ISO 27001 stoga zahtijeva dva odvojena procesa za procjenu i bavljenje rizicima sigurnosti informacija. Za prvi korak, međutim, oni bi se mogli kombinovati u jedan proces koji posebno proširuje procjenu rizika upravljanja kvalitetom uz prethodno navedene zahtjeve kako bi uključio aspekt sigurnosti informacija. Ova dva standarda stoga predstavljaju dobru osnovu za implementaciju zaštitnih mjera za zaštitu podataka i IT sigurnost.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Pogledajte sada: Šta se mijenja s novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome

  • Nove karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
  • Vremenski okvir za tranziciju i vaše sljedeće korake

ISO 27001 naspram ISO 9001: Koliko detaljno gore pomenuti proces na kraju rješava svaki zahtjev zavisi direktno od složenosti informacijskog okruženja vaše organizacije i podataka koji zahtijevaju zaštitu. U svakom slučaju, preporučljivo je da se njegova djelotvornost provjeri eksternim auditom. Ovo je preporučljivo, na primjer, u toku certifikacijskog audita vašeg sistema upravljanja kvalitetom u skladu sa ISO 9001, koji je svakako planiran.

 

Sigurnost informacija susreće upravljanje kvalitetom - koji su benefiti? 

  • Proces koji ima temeljni pogled na rizike sigurnosti informacija može poslužiti kao prvi, važan korak ka holističkom sistemu upravljanja sigurnošću informacija u skladu sa ISO/IEC 27001.
  • Implementacijom ovakvog procesa, najviši menadžment jača svijest o sigurnosti informacija i podataka (zaštita podataka) na svim nivoima.
  • Uz ciljano razmatranje rizika sigurnosti informacija, kompanija ima priliku otkriti potrebu za djelovanjem i poduzeti odgovarajuće mjere (orijentisano na ISO 27001, Anex A).
  • Procjena rizika proširena i na sigurnost informacija, na primjer kao dio upravljanja kvalitetom, jača cjelokupni pristup kompanije zasnovan na riziku.
  • I finansijski i ljudski resursi potrebni za implementaciju i testiranje efikasnosti se mogu upravljati.

 

DQS: Simply leveraging Quality.

U balansiranju između dinamike i stabilnosti, certificirani sistemi upravljanja postaju sve važniji - razvoj koji DQS osjeća na pozitivan način. Zato što uspješne kompanije i organizacije koriste nalaze naših audita kako bi kontinuirano poboljšavale svoje rezultate. I koriste naše globalno priznate certifikate kao objektivan dokaz svoje sposobnosti kvaliteta. Ovo stvara povjerenje - i interno i eksterno prema vašoj organizaciji.

DQS je izdao prvi njemački certifikat za upravljanje kvalitetom 1986. godine. Prvi audit u avgustu 1986. bio je zasnovan na nacrtu standarda. Godine 1991. DQS je dobio svoju prvu akreditaciju za ISO 9001/2/3 od tadašnje TGA Trägergemeinschaft für Akkreditierung GmbH (danas: DAkkS). Akreditacija za certifikaciju informacione sigurnosti prema britanskom standardu BS 7799-2 slijedila je 2000. godine.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Loading...

Imate li pitanja?

Kontaktiraj nas!

Besplatno i bez ikakvih obaveza

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili auditori sa dugogodišnjim iskustvom. Ako imate bilo kakva pitanja autoru o sadržaju ili našim uslugama, slobodno nas kontaktirajte.

Autor
André Saeckel

Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.

Loading...