Standardi sigurnosti informacija - pregled

SADRŽAJ

• Standardi sigurnosti informacija - lista pregleda
• Certifikacija je konkurentska prednost
• Deset ISO standarda sigurnosti informacija koje trebate poznavati
• Ostale teme u ISO 2700xporodici standarda
• DQS - Šta možemo učiniti za vas

Standardi za sigurnost informacija: ISO 2700X porodica standarda

Pojedinačni standardi za sigurnost informacija u seriji ISO 2700x bave se različitim temama iz oblasti informacione sigurnosti. Na primjer, međunarodni standard ISO 27001 definiše sistem upravljanja sigurnošću informacija (ISMS), ISO 27701 sistem upravljanja zaštitom podataka, ISO 27017 pruža smjernice o mjerama sigurnosti informacija za računalstvo u oblaku, a ISO 27005 daje smjernice za upravljanje rizikom sigurnosti informacija.

Kompanije u svim industrijama mogu imati koristi od sistematski strukturiranog pristupa ovih standarda za sigurnost informacija. Omogućava zaštitu povjerljivih podataka od gubitka i zloupotrebe i pomaže u pouzdanoj identifikaciji i smanjenju (potencijalnih) prijetnji. Pristup pomaže da se osigura dostupnost korporativnih IT sistema, čime se doprinosi optimizaciji poslovnih procesa, IT i procesnih troškova, te minimiziranju rizika poslovanja i odgovornosti.

Certifikacija je konkurentska prednost

Certifikacija prema ISO 27001, na primjer od strane DQS-a, zahtijeva određenu količinu pripreme i truda. Međutim, kompanija pruža dokumentovani dokaz da je usklađena sa zahtjevima sigurnosti informacija i provodi mjere za zaštitu osjetljivih podataka kompanije. Ovo je jasna konkurentska prednost.

Deset ISO standarda o sigurnosti informacija sa kojima trebate biti upoznati 

Lista u nastavku daje informativni pregled trenutnog statusa ISO 2700x serije standarda za sigurnost informacija. Svi standardi su dostupni za kupovinu na ISO web stranici.

ISO 27001 - Zahtjevi za sisteme upravljanja sigurnošću informacija

U vremenima kada se podacima i informacijama trguje kao rijetkom robom, njihova zaštita je od suštinskog značaja. Optimalna osnova za efikasnu implementaciju holističke sigurnosne strategije je dobro struktuiran sistem upravljanja sigurnošću informacija (ISMS) u skladu sa standardom ISO 27001. Ovo je međunarodno priznati standard za sigurnost informacija u privatnim, javnim ili neprofitnim organizacijama, koji ne pokriva samo aspekte IT sigurnosti.

ISO 27001 ISMS definiše zahtjeve, pravila i metode za osiguranje sigurnosti informacija koje zahtijevaju zaštitu u organizacijama. ISO standard daje model za uspostavljanje, implementaciju, praćenje i unaprijeđenje nivoa zaštite. Cilj je identifikovati potencijalne rizike za kompaniju, analizirati ih i učiniti ih kontrolisanim odgovarajućim mjerama. ISO 27001 formuliše zahtjeve za takav sistem upravljanja, koji se auditiraju kao dio procesa eksterne certifikacije.

Šta možete postići sa ovim standardom:

• Učiniti sigurnost osjetljivih informacija sastavnim dijelom korporativnih procesa.
• Preventivno očuvanje ciljeva zaštite je povjerljivost, dostupnost i integritet informacija
• Održavanje kontinuiteta poslovanja kroz kontinuirano poboljšanje nivoa sigurnosti
• Senzibilizacija zaposlenih i značajno povećana svijest o sigurnosti na svim nivoima kompanije
• Izgradnja povjerenja sa zainteresiranim stranama
• Uspostavljanje efikasnog procesa upravljanja rizicima

ISO 27019 - Mjere sigurnosti informacija za snabdijevanje energijom

ISO 27019 standard sigurnosti informacija formuliše komplementarne mjere za sektor energetike.

Pomaže vam da osigurate svoje elektronske sisteme kontrole procesa koji se koriste za kontrolu i praćenje proizvodnje, prenosa, skladištenja i distribucije električne energije, plina, nafte i topline, te za kontrolu povezanih pratećih procesa.

Šta možete postići sa ovim standardom:

• Sistematski osigurati ciljeve zaštite povjerljivosti, dostupnosti, integriteta informacija.
• Kontinuirano poboljšavajte nivo sigurnosti i otpornost na neovlašteni pristup
• Ostvarite veću sigurnost djelovanja i pravnu sigurnost, poboljšajte pridržavanje relevantnih zahtjeva usklađenosti
• Povećajte svijest o sigurnosti među zaposlenicima i menadžerima
• Ostvarite visok nivo povjerenja i lojalnosti među svim zainteresovanim stranama
• Demonstrirajte priznati dokaz efikasnosti vaših sigurnosnih mjera vlastima, kao što je Njemačka savezna mrežna agencija (BNetzA)

ISO 27006 - Zahtjevi za certifikacijska tijela

ISO 27006 je usmjeren na tijela kao što je DQS koja provode certifikaciju sistema upravljanja sigurnošću informacija. Standard za akreditaciju ISO 27006 opisuje zahtjeve koje certifikacijska tijela moraju slijediti kada procjenjuju sisteme upravljanja svojih klijenata prema ISO 27001 za certifikaciju.

Ovo uključuje npr. dokaz o određenim audit naporima ili specifikacije o kvalifikacijama auditora. Procesi akreditacije navedeni u standardu garantuju da certifikati ISO 27001 koje izdaju akreditovana certifikacijska tijela imaju međunarodnu važnost.

Šta možete postići sa ovim standardom:

• Jedinstveni kriteriji za postupke certifikacije, nadzora i recertifikacije
• Osigurati valjanost certifikata ISO 27001
• Osigurati minimalne zahtjeve za napore audita i kvalifikacije osoblja koje izračunava i izvodi procedure certifikacije

ISO 27002 - Smjernice o kontrolama sigurnosti informacija

Sistem upravljanja sigurnošću informacija (ISMS) prema ISO 27001 sadrži normativni aneks A: Referentni ciljevi i kontrole. Ovaj aneks sadrži specifične mjere koje treba implementirati kao dio sistema upravljanja, a koje su relevantne za organizaciju. ISO 27002 je vodič sa preporukama za implementaciju mjera iz ISO 27001.

Smjernice su sveobuhvatno revidirane i ažurirane početkom 2022. Novo izdanje pruža menadžerima za sigurnost informacija precizne smjernice za implementaciju kako bi se osiguralo da se nijedna važna mjera za rješavanje rizika po sigurnost informacija ne previdi.

Šta možete postići sa ovim standardom:

• Podrška za implementaciju ISO 27001
• Provođenje preporuka za mjere iz Aneksa A ISO 27001

ISO 27000 - Pregled i rječnik sistema upravljanja sigurnošću informacija

ISO 27000 sadrži termine i definicije koje se koriste u seriji standarda ISO 2700X. ISO 27000 daje pregled sistema upravljanja sigurnošću informacija i ISO 2700x serije standarda sa njihovim standardima za sigurnost informacija.

U Riječnik, (tehnički) termini su definisani eksplicitno i formalno.

Šta možete postići sa ovim standardom:

• Riječnik: pokrivanje većine tehničkih termina koji se koriste u seriji standarda ISO2700x u oblasti informacione sigurnosti.
• Jasnoća terminologije
• Jasno razumijevanje vokabulara među ocjenjivačima i ocijenjenim („zajednički jezik“)
• Pregled sistema upravljanja sigurnošću informacija: uvođenje informacione sigurnosti, upravljanja rizicima i sigurnošću i sistema upravljanja

ISO 27701 - Smjernice za upravljanje zaštitom podataka

Standard za sigurnost informacija posebno vezanu za privatnost podataka ISO 27701 specificira sistem upravljanja zaštitom podataka zasnovan na ISO 27001, ISO 27002 (kontrole sigurnosti informacija) i ISO 29100 (okvir privatnosti podataka) kako bi se na odgovarajući način bavili obradom ličnih podataka i sigurnošću informacija. Ovo se odnosi i na kontrolore i na obrađivače ličnih podataka.

Šta možete postići sa ovim standardom:

• Bolje upravljanje ličnim podacima i sigurnost informacija
• Lakša primjena zajedničkih principa upravljanja informacijskim rizikom za lične podatke
• Poravnajte i proširite kontrole unutar ISO 27001, kao i srodnog ISO 27002

ISO 27017 - Smjernice za mjere sigurnosti informacija u uslugama u oblaku

ISO 27017 standard pruža smjernice o mjerama sigurnosti informacija u računalstvu u oblaku u okviru standarda za sigurnost informacija.

On preporučuje, podržava i pruža dodatne mjere za implementaciju kontrola sigurnosti informacija specifičnih za oblak.

Šta možete postići sa ovim standardom:

• Razumijevanje aspekata informacione sigurnosti računarstva u oblaku.
• Dizajnirajte i implementirajte kontrole sigurnosti informacija specifičnih za oblak
• Kontrola nad opcijama za odabir, implementaciju i upravljanje sigurnošću informacija za računarstvo u oblaku

ISO 27018 - Smjernice o zaštiti podataka u uslugama u oblaku

ISO 27018 standard pruža smjernice kako bi se osiguralo da provajderi usluga u oblaku nude odgovarajuće kontrole sigurnosti informacija kako bi zaštitili privatnost klijenata svojih klijenata osiguranjem ličnih podataka koji su im povjereni.

Ovaj standard prati ISO 27017 (Mjere sigurnosti informacija u uslugama u oblaku), koji pokriva druge aspekte sigurnosti informacija u računalstvu u oblaku osim zaštite podataka.

Šta možete postići sa ovim standardom:

• Odaberite kontrole zaštite PII kao dio implementacije sistema upravljanja sigurnošću informacija računarstva u oblaku zasnovanog na ISO 27001.
• Implementirati opšte prihvaćene kontrole zaštite PII.
• Produbite znanje jer je standard zasnovan na ISO 27002 i proširuje svoje opšte savjete u nekim oblastima
• Povezivanje principa privatnosti OECD-a sadržanih u nekoliko zakona i propisa o zaštiti podataka

ISO 27005 - Smjernice za upravljanje rizikom sigurnosti informacija

Standard ISO 27005 pruža smjernice za upravljanje rizikom sigurnosti informacija i podržava opće koncepte o tome iznesene u ISO 27001.

ISO 27005 je također namijenjen da podrži implementaciju informacione sigurnosti zasnovane na konceptu upravljanja rizikom.

Šta možete postići sa ovim standardom:

• Implementirati sigurnost informacija na osnovu pristupa upravljanja rizikom.
• Definicija konteksta upravljanja rizikom
• Kvantitativna ili kvalitativna procjena (tj. identifikacija, analiza i evaluacija) relevantnih informacionih rizika
• Kontinuirano praćenje i pregled rizika, tretmana rizika, zahtjeva i kriterija
• Odgovarajuće rukovanje rizicima
• Stalna komunikacija svih zainteresovanih strana

ISO 27007 - Smjernice za auditiranje ISMS

ISO 27007 je vodič za provođenje audita i namijenjen je internim i eksternim auditorima koji procjenjuju ISMS prema ISO/IEC 27001.

Vodič je u velikoj mjeri zasnovan na Vodiču za audit sistema upravljanja (ISO 19011) i pruža dodatne smjernice za sistem upravljanja sigurnošću informacija (ISMS).

Šta možete postići sa ovim standardom:

• Smjernice posebno za ISO 27001 ISMS audite
• Smjernice za planiranje i provođenje audita integrisane u ISO 19011
• Važne informacije o kompetencijama ISMS auditora
• Razumijevanje i izvođenje ISMS audita

DQS - šta možemo učiniti za vas

DQS je vodeći specijalista u certifikaciji sistema upravljanja i procesa od 1985. Od tada je historija DQS-a usko povezana sa historijom ISO 9001. Svojim klijentima donosimo naše znanje iz cijelog sveta i opsežno razumevanje standarda. Na oko 30.000 audit dana godišnje. Tako da možete vidjeti koje su vam opcije.

Povjerenje i ekspertiza

Naše tekstove i biltene pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Takav je i pregled standarda sigurnosti informacija. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nas kontaktirajte.

Standardi sigurnosti informacija: Ostale teme u porodici standarda ISO 2700X

ISO 27003 - Smjernice za razvoj i implementaciju ISMS

ISO/IEC 27003:2017

Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Smjernice.

ISO 27004 - Smjernice o metodama mjerenja upravljanja sigurnošću informacija

ISO/IEC 27004:2016

Informaciona tehnologija - Sigurnosne tehnike - Upravljanje sigurnošću informacija - Praćenje, mjerenje, analiza i evaluacija.

ISO 27008 - Smjernice za evaluaciju mjera sigurnosti informacija

ISO/IEC TS 27008:2019

Informaciona tehnologija - Tehnike sigurnosti - Smjernice za procjenu kontrola sigurnosti informacija

ISO 27009 - Smjernice za sektorsku primjenu sistema za upravljanje informacijama

ISO/IEC 27009:2020

Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti — Sektorska primjena ISO/IEC 27001 — Zahtjevi

ISO 27010 - Smjernice za upravljanje sigurnošću informacija za međusektorsku i međuorganizacijsku komunikaciju

ISO/IEC 27010:2015

Informaciona tehnologija – Sigurnosne tehnike — Upravljanje sigurnošću informacija za međusektorske i međuorganizacijske komunikacije

ISO 27011 - Smjernice za upravljanje sigurnošću informacija u sektoru telekomunikacija

ISO/IEC 27011:2016

Informaciona tehnologija - Sigurnosne tehnike - Kodeks prakse za kontrolu sigurnosti informacija na osnovu ISO/IEC 27002 za telekomunikacijske organizacije

ISO 27013 - Smjernice za integrisanu implementaciju ISMS-a i upravljanja IT uslugama

ISO/IEC 27013:2021

Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti — Vodič za integrisanu implementaciju ISO/IEC 27001 i ISO/IEC 20000-1

ISO 27014 - 'Upravljanje' sigurnošću informacija

ISO/IEC DIS 27014:2020

Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Upravljanje sigurnošću informacija

ISO 27016 - Ekonomika upravljanja sigurnošću informacija

ISO/IEC TR 27016:2014

Informaciona tehnologija - Tehnike sigurnosti - Upravljanje sigurnošću informacija - Organizaciona ekonomija

ISO 27021 - Zahtjevi za kompetentnost ISMS profesionalaca

ISO/IEC 27021:2017/AMD 1:2021

Tehnike — Zahtjevi kompetencija za profesionalce u sistemima upravljanja sigurnošću informacija — Izmjena 1: Dodavanje klauzula i potklauzula ISO/IEC 27001:2013 zahtjevima kompetencije

ISO 27031 - Smjernice o poslovnom kontinuitetu

ISO/IEC 27031:2011

Informaciona tehnologija – Sigurnosne tehnike — Smjernice za spremnost informacionih i komunikacionih tehnologija za kontinuitet poslovanja

SAVJET: Pročitajte naš blog post o upravljanju kontinuitetom poslovanja kako biste saznali šta preporučuje standard ISO 22301 kako bi se osiguralo kontinuirano postojanje kompanije u vanrednim situacijama.

ISO 27032 - Smjernice za sajber sigurnost

ISO/IEC 27032:2012

Informaciona tehnologija - Sigurnosne tehnike - Smjernice za sajber sigurnost

ISO 27033 - Smjernice o sigurnosti mreže

ISO/IEC 27033

Informacijska tehnologija - Sigurnosne tehnike - Sigurnost mreže
Dio 1: Pregled i koncepti, Dio 2: Smjernice za dizajn i implementaciju mrežne sigurnosti, Dio 3: Referentni mrežni scenariji - Prijetnje, tehnike dizajna i pitanja kontrole, Dio 4: Osiguravanje komunikacija između mreža korištenjem sigurnosnih izlaza, Dio 5: Osiguravanje komunikacije preko mreža koristeći virtuelne privatne mreže (VPN), Dio 6: Osiguravanje pristupa bežičnoj IP mreži

ISO 27034 - Smjernice o sigurnosti aplikacija

ISO/IEC 27034

Informaciona tehnologija - Sigurnosne tehnike - Sigurnost aplikacija
Dio 1: Pregled i koncepti, Dio 2: Normativni okvir organizacije, Dio 3: Proces upravljanja sigurnošću aplikacije, Dio 4: Validacija i verifikacija, Dio 5: Struktura podataka protokola i sigurnosnih kontrola aplikacija, Dio 6: Studije Cast, Dio 7: Osiguranje okvir za predviđanje

ISO 27035 - Smjernice za upravljanje incidentima sigurnosti informacija

ISO/IEC 27035

Informaciona tehnologija - IT sigurnosne prakse - Upravljanje incidentima u sigurnosti informacija
Dio 1: Osnove upravljanja incidentima, Dio 2: Smjernice za planiranje i pripremu odgovora na incidente, Dio 3: Smjernice za odgovor na incidente informacijske i komunikacijske tehnologije (nacrt)

ISO 27036 - Smjernice o odnosima s dobavljačima

ISO/IEC 27036

Informaciona tehnologija - Sigurnosne tehnike - Sigurnost informacija za odnose sa dobavljačima
Dio 1: Pregled i koncepti, Dio 2: Zahtjevi, Dio 3: Smjernice za sigurnost lanca nabavke informacijske i komunikacijske tehnologije, Dio 4: Smjernice za sigurnost usluga u oblaku

ISO 27037 - Smjernice za rukovanje digitalnim dokazima

ISO/IEC 27037:2012

Informaciona tehnologija - Sigurnosne tehnike - Smjernice za identifikaciju, prikupljanje, pribavljanje i očuvanje digitalnih dokaza

ISO 27038 - Specifikacija za digitalnu redakciju

ISO/IEC 27038:2014

Informacijska tehnologija - Sigurnosne tehnike - Specifikacija za digitalnu redakciju

ISO 27039 - Smjernice za sisteme za otkrivanje upada (IDPS)

ISO/IEC 27039:2015

Informaciona tehnologija – Sigurnosne tehnike — Izbor, implementacija i rad sistema za otkrivanje i prevenciju upada (IDPS)

ISO 27040 - Smjernice o sigurnosti skladištenja

ISO/IEC 27040:2015

Informaciona tehnologija - Sigurnosne tehnike - Sigurnost skladištenja

ISO 27041 - Smjernice o metodama istrage incidenta

ISO/IEC 27041:2015

Informacijska tehnologija - Sigurnosne tehnike - Smjernice za osiguravanje prikladnosti i adekvatnosti metode istrage incidenta

ISO 27042 - Smjernice za analizu i tumačenje digitalnih dokaza

ISO/IEC 27042:2015

Informaciona tehnologija - Sigurnosne tehnike - Smjernice za analizu i tumačenje digitalnih dokaza

ISO 27043 - Smjernice o procesima istrage incidenta

ISO/IEC 27043:2015

Informaciona tehnologija - Sigurnosne tehnike - Principi i procesi istrage incidenata

ISO 27050 - Smjernice za elektronsku detekciju

ISO/IEC 27050

Informacijska tehnologija - Elektronsko otkriće
Dio 1: Pregled i koncepti, Dio 2: Vodič za upravljanje elektronskim otkrivanjem, Dio 3: Kodeks prakse za elektronsko otkrivanje

ISO 27102 - Smjernice o sajber osiguranju

ISO/IEC 27102:2019

Upravljanje sigurnošću informacija — Smjernice za sajber osiguranje

ISO 27103 - Smjernice za sajber sigurnost i ISO/IEC standarde

ISO/IEC TR 27103:2018

Informacijska tehnologija - Sigurnosne tehnike - Cyber sigurnost i ISO i IEC standardi

ISO 27550 - Inženjering privatnosti za procese životnog ciklusa sistema

ISO/IEC TR 27550:2019-09

Informaciona tehnologija - Sigurnosne tehnike - Inženjering privatnosti za procese životnog ciklusa sistema

ISO 27799 - Upravljanje sigurnošću informacija u sektoru zdravstva

ISO 27799:2016

Zdravstvena informatika — Upravljanje sigurnošću informacija u zdravstvu korištenjem ISO/IEC 27002