Sustavno upravljanje informacijskom sigurnošću

Tema "Informacijska sigurnost" postaje sve aktualnija za organizacije u procesu digitalne transformacije. Bez dostatnih sigurnosnih mjera predostrožnosti postoji rizik od gubitka podataka i krađe podataka od strane hakera, prekida u poslovanju zbog napada putem interneta ili zlouporabe podataka. Jedna od mogućnosti strukturiranog pristupa je sustav upravljanja informacijskom sigurnošću (ISMS) prema ISO 27001.

Dokaziva sigurnost podataka i informacija

Informacijska sigurnost kao dio korporativne kulture

Učinkovita primjena procesa upravljanja rizicima

Stalno poboljšavanje razine vaše sigurnosti

Business10.png
Loading...

Što je ISO 27001?

ISO/IEC 27001 je vodeća međunarodna norma za implementaciju holističkog sustava upravljanja informacijskom sigurnošću. Usredotočuje se na identifikaciju, procjenu i upravljanje rizicima za procese rukovanja informacijama. Sigurnost povjerljivih informacija ističe se kao značajan strateški element.

Informacije nas okružuju posvuda i dio su svakog procesa. Ponekad su nevažne, ali često su kritične i povjerljive. Kako biste utvrdili ovu važnu razliku za vašu organizaciju, potrebno je klasificirati podatke. Zaštitne mjere sustava upravljanja informacijskom sigurnošću (ISMS) prema ISO/IEC 27001 temelje se na ovoj klasifikaciji.

Sustav upravljanja informacijskom sigurnošću (ISMS) stvara okvir za zaštitu operativnih podataka i njihove povjerljivosti. Istodobno, globalno priznata norma osigurava dostupnost informacijskih sustava uključenih u korporativne procese. U tom kontekstu ISO 27001 certifikat šalje snažan signal tržištu o neovisnoj vanjskoj evaluaciji i potvrdi učinkovitosti vašeg sustava upravljanja informacijskom sigurnošću.

Drugo izdanje ISO/IEC 27001 izdano je 2013. godine. Sada je međunarodno priznata norma za sustave upravljanja informacijskom sigurnošću ažurirana i ponovno objavljena u svojem trećem izdanju kao ISO/IEC 27001:2022 25. listopada 2022. godine. Revizija je neizbježna posljedica opsežnoga žurianja i objave norme ISO/IEC 27002, smjernica za implementaciju Dodatka A norme ISO 27001, u veljači 2022. godine.

Prijelazno razdoblje za postojeće certifikate prema ISO 27001 je tri godine od podljednjeg dana mjeseca u kojem je objavljena nova norma ISO/IEC 27001:2022, što znači da svi certifikati prema ISO/IEC 27001:2013 moraju prijeći na izdanje 2022 norme ISO 27001 do 30. listopada 2025. godine. Više o novostima u novoj normi ISO 27001 možete naći u našem članku Novi ISO/IEC 27001:2022 - ključne promjene

Više
Manje 
SEO19.png
Loading...

Kome je namijenjena certifikacija prema ISO 27001?

Norma ISO 27001 za sustave upravljanja informacijskom sigurnošću primjenjuje se u cijelom svijetu. Organizacijama svih veličina i industrija pruža okvir za planiranje, implementaciju i praćenje vlastite informacijske sigurnosti. Zahtjevi su primjenjivi i odnose se na privatna i javna poduzeća kao i na neprofitne organizacije Hrvatske i svijeta.

U Njemačkoj, na primjer, poduzeća koja pripadaju sektoru kritične infrastrukture (KRITIS) i prelaze prag moraju dostaviti dokaze o tome kako osiguravaju svoju informacijsku sigurnost. Sektori KRITIS-a uključuju energiju, vodu, zdravstvo, financije i osiguranje, hranu, transport i promet, informacijske tehnologije i telekomunikacije. Odgovarajući dokaz implementacije može se steći sigurnosnim auditima, testovima ili certifikacijama. U tu svrhu se kao osnova za audit mogu koristiti priznate norme poput ISO 27001 ili, alternativno, sigurnosni standardi specifični za industriju koje je priznao Njemački savezni ured za informacijsku sigurnost (BSI).

Više
Manje 
Business11.png
Loading...

Zašto je norma ISO 27001 korisna za moju organizaciju?

Uvođenje sustava upravljanja informacijskom sigurnošću prema ISO/IEC 27001 strateška je odluka za vašu organizaciju. Ispunjavanje namjerno općih zahtjeva norme mora odražavati specifičnu situaciju poduzeća. Implementacija u vašoj organizaciji ovisi o potrebama i ciljevima, sigurnosnim zahtjevima i organizacijskim procesima, te veličini i strukturi poduzeća.

Dodatak A norme ISO 27001, koji se koristi zajedno s točkom 6.1.3 na temelju analize rizika specifičnih za organizaciju, posebno je koristan u praksi. Kontrole informacijske sigurnosti navedene u Dodatku A izravno su izvedene iz i usklađene s mjerama iz trenutne norme ISO 27001, poglavlja 5 do 8. 

Prethodno je Dodatak A norme ISO/IEC 27001:2013 uključivao ukupno 114 kontrola za upravljanje rizicima informacijske sigurnosti, podijeljenih u 14 poglavlja i 35 ciljeva kontrole. U novoj normi ISO/IEC 27001:2022-10 Dodatak A sada sadrži 93 kontrola relevatnih aspekata sigurnosti, koje su podijeljene u 4 tematska područja.

Dosljedo usklađivanje procesa poduzeća s ISO 27001 dokazano vodi do niza prednosti: 

  • Stalno poboljšanje razine sigurnosti
  • Smanjenje postojećih rizika
  • Poštivanje zahtjeva za usklađenost
  • Veća svijest među zaposlenicima
  • Povećano zadovoljstvo kupaca

To se postiže internim auditima i ocjenama uprave uz sudjelovanje uprave.

Drugi pozitivni aspekti su da zainteresirane strane kao što su nadzorna tijela, osiguravajuća društva, banke i partnerska poduzeća stječu veću razinu povjerenja u vašu organizaciju. To je zato što certificirani sustav upravljanja signalizira da vaša organizacija upravlja rizicima na strukturiran način i stremi stalnom poboljšavanju, što je čini otpornijom na neželjene utjecaje.

Međunarodna norma ISO/IEC 27001 može se implementirati, primjenjivati i certificirati neovisno o drugim sustavima upravljanja kao što su ISO 9001 (upravljanje kvalitetom) ili ISO 14001 (upravljanje okolišem).

 

Više
Manje 
Business36.png
Loading...

Tko smije provoditi certifikaciju prema ISO 27001?

Kako bi se certificirao sustav upravljanja sigurnošću informacija, odgovarajuće certifikacijsko tijelo mora biti akreditirano prema ISO/IEC 17021 i ISO/IEC 27006. ISO/IEC 17021 regulira teme vezane uz ocjenjivanje sukladnosti, posebno zahtjeve za inspekcijska tijela koja auditiraju i certificiraju sustave upravljanja.

Usto, ISO/IEC 27006 definira stroge zahtjeve kojih se certifikacijska tijela moraju pridržavati kako bi certificirala sustave upravljanja informacijskom sigurnošću prema ISO 27001.

To uključuje:

  • Dokaz o određenom odnosu broja dana audita i broja auditora
  • Uvjete za kvalifikaciju auditora 

DQS je akreditiran od strane nacionalnog njemačkog akreditacijskog tijela DakkS (Deutsche Akkreditierungsstelle GmbH) i stoga je ovlašten za provođenje audita i certificiranje prema ISO 27001.

Bez obzira na industriju u kojoj vaša organizacija posluje, možete se osloniti na prepoznatljivu stručnost auditora DQS-a. Oni imaju dugogodišnje iskustvo u ocjenjivanju sustava upravljanja informacijskom sigurnošću u različitim industrijama.

Više
Manje 
Business28.png
Loading...

Kako izgleda certifikacija prema ISO 27001?

Nakon što su implementirani svi zahtjevi ISO 27001 norme, možete certificirati svoj sustav upravljanja. Proći ćete kroz višestupanjski proces certifikacije u DQS-u. Ako je u organizaciji već uspostavljen certificirani sustav upravljanja, proces se može skratiti.

U prvom koraku s nama razgovarate o vašem poduzeću i ciljevima ISO 27001 certifikacije. Na temelju toga dobit ćete detaljnu ponudu prilagođenu individualnim potrebama vaše organizacije.

Sastanak za planiranje projekta može biti koristan za veće projekte, na primjer, kako bi se bolje uskladili rasporedi i izvedba audita na više lokacija ili odjela. Predaudit vam nudi priliku da unaprijed identificirate prednosti i prilike za poboljšanje vašeg sustava upravljanja. Obje su usluge izborne.

Certifikacijski audit počinje analizom sustava i evaluacijom vašeg sustava upravljanja informacijskom sigurnošću (faza 1). Ovdje vaš auditor utvrđuje je li vaš sustav upravljanja dovoljno razvijen i spreman za certifikaciju. U sljedećem koraku (faza 2) vaš auditor ocjenjuje učinkovitost svih procesa upravljanja na licu mjesta, primjenjujući standard ISO 27001. Rezultat audita predstavlja se na završnom sastanku. Po potrebi se dogovaraju akcijski planovi.

Nakon certifikacijskog audita rezultate ocjenjuje neovisni certifikacijski odbor DQS-a. Ako su ispunjeni svi zahtjevi norme, dobit ćete certifikat prema ISO 27001.

Nakon uspješne certifikacije ključne komponente vašeg sustava upravljanja informacijskom sigurnošću ponovno se auditiraju na licu mjesta barem jednom godišnje kako bi se osiguralo stalno poboljšavanje.

Certifikat ISO 27001 vrijedi najviše tri godine. Ponovna certifikacija - recertifikacija se provodi pravovremeno prije isteka kako bi se osigurala stalna usklađenost s primjenjivim zahtjevima norme. Nakon usklađenosti, izdaje se novi certifikat.

Banking13.png
Loading...

Koliko košta certifikacija prema ISO 27001?

Četiri kriterija procjene

Iako se audit prema ISO 27001 provodi prema strukturiranim specifikacijama, cijena ovisi o različitim čimbenicima, poput složenosti vaše organizacije. Stoga ne može postojati jedinstvena ponuda za sva poduzeća.

Troškovi certificiranja prema ISO 27001 utvrđuju se prema sljedeća četiri kriterija, između ostalog:

1. Složenost vašeg sustava upravljanja informacijskom sigurnošću

U obzir se uzimaju kritične vrijednosti (na primjer patenti, osobni podaci, objekti, procesi) vaše organizacije. Trošak certifikacije se prvenstveno temelji na zahtjevima informacijske sigurnosti i stupnju utjecaja na povjerljivost, integritet i dostupnost (VIV) informacija.

2. Osnovna djelatnost Vašeg poduzeća unutar opsega sustava upravljanja informacijskom sigurnošću

Rizici povezani s vašim poslovnim procesima igraju važnu ulogu u određivanju odnosa potrebnog broja dana audita i auditora. Uzimaju se u obzir pravni zahtjevi kao i složeni, individualni zahtjevi kupaca.

3. Glavne tehnologije i komponente koje se koriste u vašem ISMS-u

Za vrijeme audita ispituje se tehnologija kao i pojedinačne komponente vašeg sustava upravljanja informacijskom sigurnošću. To uključuje informacijske platforme, poslužitelje, baze podataka, aplikacije kao i mrežne segmente. Osnovno pravilo ovdje je: Što je veći udio standardnih sustava i što je manja složenost vaše informacijske tehnologije, potreban je manji broj dana audita i auditora. O tome ovise i troškovi ISO 27001 certifikacije.

4. Udio samostalnog razvoja programskih rješenja u sklopu vašeg sustava upravljanja informacijskom sigurnošću

Ako nema internog razvoja i uglavnom koristite standardizirane programske platforme, broj potrebnih dana audita i auditora je manji. Ako vaš sustav upravljanja informacijskom sigurnošću karakterizira intenzivna upotreba samostalno razvijenih programa i ako se ti programi koriste za središnja poslovna područja, broj potrebnih dana audita i auditora će biti veći.

Kako bismo vam mogli dati pregled troškova za certifikaciju sustava upravljanja informacijskom sigurnošću potrebne su nam točne informacije o vašem poslovnom modelu i opsegu certifikacije unaprijed. Na taj način vam možemo napraviti prilagođenu ponudu.

Više
Manje 
Business2.png
Loading...

Što možete očekivati od nas?

  • Više od 35 godina iskustva u certificiranju sustava upravljanja i procesa
  • Auditori i stručnjaci s praktičnim iskustvom i visokom razinom tehničkog znanja
  • Auditi koji pružaju vrijedne uvide u vašu organizaciju
  • Međunarodno priznati certifikati
  • Iskustvo i akreditacije za sve relevantne norme
  • Osobna podrška naših stručnjaka - na regionalnoj, nacionalnoj i međunarodnoj razini
  • Prilagođene ponude s fleksibilnim rokovima ugovora bez skrivenih troškova
Contact-Europe-woman-shutterstock_1916704835.jpg
Loading...

Zahtjev za ponudu

Vaša lokalna kontakt osoba

Rado ćemo vam poslati prilagođenu ponudu za ISO 27001 certifikaciju. 

Novi ISO/IEC 27001:2022 - ključne promjene

U ovom DQS-ovom članku pronaći ćete najvažnije informacije o ključnim promjenama i dodacima revidiranog izdanja norme ISO 27001:2022.

Pročitajte članak