Industrija 4.0, takozvana četvrta industrijska revolucija, označava inteligentno umrežavanje razvoja, proizvodnje, logistike i kupaca. Predstavlja mnoštvo informacija i podataka koji su često esencijalni za organizacije. Ključni zadatak predstavlja zaštita njihove dostupnosti, integriteta i povjerljivosti. Informacijska sigurnost obuhvaća sve mjere koje pomažu kod osvješćivanja rizika i njihove identifikacije te kod poduzimanja odgovarajućih i prikladnih radnji za njihovu zaštitu.

Informacijska sigurnost - Pitanja i odgovori o ISO 27001

Zbog nedovoljne sigurnosti u obradi informacija, samo njemačko gospodarstvo godišnje trpi štetu u milijardama eura. Razlozi za to su složeni i kreću se od vanjskih smetnji, tehničkih pogrešaka, industrijske špijunaže i zlouporabe informacija od strane bivših zaposlenika. Ali samo oni koji prepoznaju izazove mogu pokrenuti i odgovarajuće mjere. Dobro strukturiran sustav upravljanja informacijskom sigurnošću u skladu sa zahtjevima međunarodno priznate norme ISO 27001 optimalna je osnova za učinkovitu provedbu holističke sigurnosne strategije. Što to točno znači i što treba uzeti u obzir? Ovdje možete dobiti odgovore na važna pitanja o ISO 27001.

SADRŽAJ

  • Što je informacijska sigurnost?
  • Koji su ciljevi zaštite informacijske sigurnosti?
  • Što je sustav upravljanja informacijskom sigurnošću?
  • Za koje je organizacije koristan ISO 27001?
  • Koje su prednosti sustava upravljanja informacijskom sigurnošću?
  • Koja je uloga ljudi?
  • ISO 27001 - Pitanja o uvođenju
  • Zašto ISO 27001 certifikacija?
  • DQS - Kako vam možemo pomoći

Što je informacijska sigurnost?

Odgovor na ovo pitanje je jednostavan u smislu međunarodne obitelji normi za informacijsku sigurnost ISO 2700x:

"Informacije su podaci koji su korisni za organizaciju."

ISO/IEC 27000:2020-06: Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -- Pregled i rječnik

Informacija je imovina koja ne smije dospjeti u ruke neovlaštenih osoba, i koja zahtijeva odgovarajuću zaštitu.

Informacijska sigurnost je stoga sve što je povezano sa zaštitom informacijske imovine vaše organizacije. Odlučujući čimbenik je svjesnost rizika koji postoje u kontekstu organizacije, ili njihovo otkrivanje i upravljanje prikladnim mjerama na temelju potreba.

"Informacijska sigurnost nije IT sigurnost"

IT sigurnost se odnosi na samo na sigurnost tehnologije koja se koristi, a ne na korporativnu imovinu koju treba zaštititi. Organizacijski problemi poput npr. ovlaštenja za pristup, odgovornosti ili procedura za odobrenje, kao i psihološki aspekti, igraju ključnu ulogu u informacijskoj sigurnosti. Međutim, sigurna informacijska tehnologija štiti i informacije organizacije.

Koji su ciljevi zaštite informacijske sigurnosti?

Prema međunarodnoj normi ISO/IEC 27001, ciljevi zaštite za informacijsku sigurnost obuhvaćaju tri glavna aspekta:

  • Povjerljivost - zaštita povjerljivih informacija od neovlaštenog pristupa, bilo zbog zakona o zaštiti podataka ili zbog poslovnih tajni obuhvaćenih npr. Zakonom o poslovnim tajnama. Ovdje je relevantna razina povjerljivosti.
  • Integritet - minimiziranje rizika, osiguranje potpunosti i pouzdanosti svih podataka i informacija.
  • Dostupnost - osiguranje pristupa i upotrebljivosti za ovlašteni pristup informacijama, zgradama i sustavima. Ovo je ključno za održavanje procesa.

Certificirana informacijska sigurnost u skladu s ISO 27001

Zaštitite svoje informacije sustavom upravljanja koji ispunjava međunarodne norme ✓ DQS nudi preko 35 godina iskustva u certifikaciji ✓

Ključna pitanja o informacijskoj sigurnosti

  • Koje su vrijednosti moje organizacije?
  • Koje vrijednosti organizacije treba zaštititi?
  • Kojim je napadima izložena imovina organizacije?
  • Kome je u interesu zaštititi ove informacije?
  • Koje su odgovarajuće mjere?

Što je sustav upravljanja informacijskom sigurnošću?

Sustav upravljanja informacijskom sigurnošću (ISMS - information security management system) u skladu s ISO/IEC 27001 definira smjernice, pravila i metode za osiguranje sigurnosti informacija koje treba zaštititi u organizaciji. Pruža model za uvođenje, implementaciju, nadzor i poboljšanje razine zaštite - u skladu sa sustavnom procedurom PDCA kruga (Plan-Do-Check-Act - planirati-provesti-provjeriti-djelovati) koji je poznat još iz ISO 9001.

Cilj je otkriti i analizirati potencijalne rizike i kontrolirati ih odgovarajućim mjerama.

Zašto je upravljanje informacijskom sigurnošću bitno?

Uspješne organizacije koriste strukturu i transparentnost modernih sustava upravljanja kako bi otkrile prijetnje i ciljale implementaciju suvremenih sigurnosnih sustava. U središtu sustava upravljanja informacijskom sigurnošću je sigurnost vaše informacijske imovine, poput intelektualne imovine, financijskih podataka i podataka o zaposlenicima, kao i informacija koje su vam povjerili kupci ili treće strane.

"Informacijska sigurnost uvijek znači zaštitu značajnih informacija ili podataka od vrijednosti."

Mnogobrojni su rizici kojima su izloženi podaci koje treba zaštititi. Mogu proizaći i materijalnih, ljudskih ili tehničkih sigurnosnih prijetnji. Samo holistički, preventivni pristup sustava upravljanja informacijskom sigurnošću može pokriti cijeli spektar prijetnji i osigurati neprekidnost poslovanja organizacije.

Za koje je organizacije koristan ISO 27001?

Odgovor na ovo pitanje je jako jednostavan: za sve. ISO 27001 se može primijeniti u svim organizacijama, neovisno o njihovoj vrsti, veličini i industriji. I: sve organizacije imaju koristi od prednosti strukturiranog sustava upravljanja. Na implementaciju sustava upravljanja informacijskom sigurnošću utječu sljedeći čimbenici:

  • Zahtjevi i poslovni ciljevi
  • Sigurnosne potrebe
  • Primijenjeni poslovni procesi
  • Veličina i struktura organizacije

Koje su prednosti sustava upravljanja informacijskom sigurnošću?

Važno pitanje. ISO 27001 daje zahtjeve za sustavno osmišljavanje i implementaciju procesno orijentiranog sustava upravljanja za informacijsku sigurnost. Ovim holističkim pristupom mogu se ostvariti odlučujuće prednosti: 

  • Sigurnost osjetljivih informacija postaje integralni dio procesa organizacije
  • Preventivno očuvanje ciljeva zaštite, povjerljivosti, dostupnosti i integriteta informacija
  • Održavanje neprekidnosti poslovanja stalnim poboljšavanjem razine zaštite
  • Senzibilizacija zaposlenika i značajno podizanje svijesti o sigurnosti na svim razinama organizacije
  • Uspostava djelotvornog procesa upravljanja rizicima
  • Izgradnja povjerenja sa zainteresiranim stranama (npr. javni natječaji) dokazivo sigurnim rukovanjem osjetljivim informacijama 
  • Poštivanje relevantnih zahtjeva za usklađenost, veća sigurnost djelovanja i pravna sigurnost

Kako se može upravljati potencijalnim rizicima?

Sigurnosni rizici proizlaze iz materijalnih, ljudskih i tehničkih prijetnji. Kako bi se postigla sljediva i odgovarajuća razina sigurnosti u organizaciji, potreban je definirani proces upravljanja rizikom ili metoda za procjenu rizika, obrada rizika i praćenje rizika. ISO/IEC 27005 daje dobre smjernice za upravljanje rizikom sigurnosti informacija. 

Koju ulogu igraju ljudi?

Ljudi su također čimbenik rizika jer postupanje osjetljivim informacijama utječe na sve zaposlenike i partnere organizacije bez iznimke. Oni predstavljaju povećani sigurnosni rizik, bilo zbog neznanja ili ljudske pogreške. Ali samo mali broj organizacija regulira tko može dobiti pristup informacijama, i kako se njima rukuje.

"Novi izvor moći više nije novac u rukama manjine, već informacija u rukama većine." John Naisbitt, *1929, American. futurolog

Stoga su obvezujuće uredbe i izražena svijest o svim pitanjima informacijske sigurnosti temeljni preduvjet. Ključna je zato prilagodba korporativne politike ili razvoj prikladne politike informacijske sigurnosti. Potrebna senzibilizacija zaposlenika na svim razinama (upravljanja) u rukama je direktora i može se postići, na primjer, obukom, radionicama ili osobnim razgovorima.

ISO 27001 - Pitanja o uvođenju

Na pitanje mora li organizacija već imati uveden sustav upravljanja, na primjer u skladu s ISO 9001, može se jednostavno odgovoriti s "ne". ISO 27001 je generička norma i - poput svih normi za sustave upravljanja - može se koristiti samostalno. To znači da organizacija može uspostaviti i implementirati sustav upravljanja informacijskom sigurnošću bilo kada i neovisno o postojećim strukturama.

Ipak, organizacije koje imaju sustav upravljanja kvalitetom u skladu s ISO 9001 već imaju dobru osnovu za postupno uvođenje opsežne informacijske sigurnosti.

Po svojoj strukturi i pristupu ISO 27001 se temelji na obaveznoj osnovnoj strukturi svih procesno orijentiranih normi za sustave upravljanja, strukturi visoke razine. To vam stoga nudi mogućnost lakše integracije sustava upravljanja informacijskom sigurnošću u već postojeći sustav upravljanja. DQS može provesti i zajedničku certifikaciju prema ISO 27001 s ISO 20000-1 (Upravljanje IT uslugama) ili ISO 22301 (Upravljanje neprekidnošću poslovanja)

Koji dokumenti pomažu kod uvođenja?

Prepoučena osnova za uvođenje holističkog sustava upravljanja informacijskom sigurnošću je međunarodna obitelj normi ISO/IEC 2700x. Ona služi kao podrška organizacijama svih vrsta i veličina pri uvođenju i uporabi sustava upravljanja informacijskom sigurnošću. Razina implementacije unutar organizacije može se provjeriti internim auditom. 

Korisne komponente tog niza normi su:

  • ISO/IEC 27000:2018: Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Pregled i rječnik
  • ISO/IEC 27001:2013: Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -  Zahtjevi
  • ISO/IEC 27002:2013: Informacijska tehnologija -- Sigurnosne tehnike - Kodeks postupaka za upravljanje informacijskom sigurnošću
  • ISO/IEC 27003:2017: Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -- Smjernice
  • ISO/IEC 27004-2016: Informacijska tehnologija -- Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Nadzor, mjerenje, analiza i evaluacija
  • ISO/IEC 27005:2018: Informacijska tehnologija -- Sigurnosne tehnike - Upravljanje rizicima informacijske sigurnosti

Sve norme su dostupne na internetskoj stranici ISO organizacije.

ISO 27001 - Pitanja o službeniku za IT sigurnost?

Postavlja li ISO 27001 obavezu službenik za IT sigurnost? Odgovor je "da".

Jedan od zadataka uprave unutar sustava upravljanja informacijskom sigurnošću je imenovanje službenika za IT sigurnost. Službenik za IT sigurnost je kontakt osoba za sva pitanja IT sigurnosti. On/ona trebali bi biti integrirani u sve procese sustava upravljanja informacijskom sigurnošću i usko povezani s IT voditeljima - na primjer, kod izbora novih IT komponenti ili aplikacija.

Zašto ISO 27001 certifikacija?

Certifikacija koja se temelji na akreditiranoj proceduri služi kao dokaz da je implementiran sustav upravljanja s mjerama kako bi se sustavno štitila informacijska imovina. Certifikatom pokazujete "crno na bijelo" da ste uspješno uspostavili sustav i da ste predani njegovom stalnom poboljšavanju.

DQS certifikat, koji je priznat u cijelom svijetu, je vidljivi znak neutralne procjene i jača povjerenje u vašu organizaciju. To vam daje prednost na tržištu i preduvjete za javne natječaje i posao s kupcima kojima je sigurnost od kritičnog značaja, poput pružatelja financijskih usluga.

ISO 27001 - Pitanja o certifikacijskom procesu

Svi sustavi upravljanja koje na temelju međunarodnih pravila (ISO 17021) procjenjuje akreditirano certifikacijsko tijelo poput DQS-a podliježu istom procesu certifikacije.

Inicijalna certifikacija sastoji se od analize sustava (audit faze 1) i audita sustava (audit faze 2), za vrijem kojih auditori na licu mjesta potvrđuju da cjelokupni sustav pravilno funkcionira i da su implementirani svi zahtjevi. certifikat vrijedi 3 godine. 

Kako bi se mogla jamčiti valjanost tijekom cijelog perioda, sustav upravljanja mora se verificirati na godišnjoj osnovi. Prve i druge godine nakon izdavanja certifikata DQS auditori stoga provode skraćene audite sustava upravljanja informacijskom sigurnošću (nadzorne audite), na kojima se, na primjer, razmatra djelotvornost ključnih komponenti sustava ili popravnih i preventivnih mjera. Recertifikacija se provodi nakon tri godine.

Organizacije koje već imaju postojeći sustav upravljanja trebaju kombinirati programe audita i tražiti zajedničku certifikaciju integriranog sustava upravljanja (IMS - integrated management system). 

Je li moguća certifikacija matrice?

Certifikacija matrice moguća je kod organizacija s više lokacija. U načelu vrijede isti zahtjevi za ISO 27001 kao i za druge ISO norme poput ISO 9001 ili ISO 14001. DQS može osigurati integraciju ISO 27001 u postojeću proceduru matrice, tj. zajedničko vanjsko provođenje audita s drugim normama.

Koje su prednosti ISO 27001 nasuprot TISAX-a?

TISAX® postupak procjene i razmjene (Trusted Information Security Assessment Exchange) je razvijen kao standard posebno prilagođen potrebama automobilske industrije. Osnova za TISAX® procjenu je testni katalog VDA procjene sigurnosti informacija (VDA ISA), koji se, između ostalog, temelji na zahtjevima ISO 27001 ili ISO 27002 i proširuje ih uključenjem tema poput zaštite prototipa ili zaštite podataka.

Više informacija možete pronaći u opisu proizvoda TISAX®.

Cilj TISAX® procjene je osigurati sveobuhvatnu (informacijsku) sigurnost za sve razine opskrbnog lanca. Usto, registracijom u bazi podatka pojednostavljuje se procedura međusobnog priznavanja. No, TISAX® se priznaje samo u automobilskoj industriji. Kupci iz drugih industrija će kao dokaza sustava upravljanja informacijskom sigurnošću možda priznati samo ISO 27001.

DQS - Kako vam mi možemo pomoći

DQS je specijaliziran za audite i certifikacije - za sustave upravljanja i procese. S više od 35 godina iskustva i znanja 2500 auditora u cijelom svijetu, vaš smo kompetentni partner za certifikaciju sa svim odgovorima o ISO 27001.

Provodimo audite prema 200 priznatih normi i propisa, kao i prema standardima organizacija i udruga. Bili smo prvo njemačko certifikacijsko tijelo koje je primilo akreditaciju za BS 779-2, preteču ISO 27001, u prosincu 2000. godine. Ta stručnost je još uvijek pokazatelj našeg globalnog uspjeha.

Rado ćemo vam odgovoriti na pitanja

Koliko napora morate uložiti u certifikaciju svog sustava upravljanja informacijskom sigurnošću prema ISO 27001? Pružit ćemo vam informacije besplatno i bez obaveza.

Radujemo se razgovoru s vama.

Više
Manje 

Informacijska sigurnost i zaštita podataka

Informacijska sigurnost i zaštita podataka

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Zaštita podataka i informacijska sigurnost - s ISO 27001 i ISO 27701

Informacijska sigurnost vs. IT sigurnost

Informacijska sigurnost vs. IT sigurnost

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Dodatak A: Odgovornosti i uloge zaposlenika

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Sigurnost informacijske tehnologije (IT) vs. Informacijska sigurnost - u čemu je razlika?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Ciljevi zaštite informacijske sigurnosti i njihovo značenje

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Norme za informacijsku sigurnost - pregled

Informacijska sigurnost i upravljanje rizikom

Informacijska sigurnost i upravljanje rizikom

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Upravljanje ranjivostima u kontekstu ISO 27001

Informacijska sigurnost u organizaciji

Globalizacija proizvodnje, trgovine i usluga potaknuta je napretkom u digitalizaciji. Sve naprednije informacijske tehnologije predstavljaju veliki izazov za organizacije u pogledu informacijske sigurnosti. Pri tome nije bitno samo učinkovito zaštititi vlastita znanja, već i ispuniti zahtjeve kupaca i povećati konkurentnost učinkovito implementiranim sustavom upravljanja informacijama.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Incidenti informacijske sigurnosti: Zaposlenici kao faktor uspjeha

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Korporativna informacijska sigurnost: Studija slučaja Mubea grupe

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Iskustva aLIVE-Service GmbH s ISMS standardom

Norme za informacijsku sigurnost

ISO/IEC 2700x predstavlja niz međunarodno priznatih normi za uvođenje holističkog sustava upravljanja informacijskom sigurnošću. Temelj čini norma ISO/IEC 27001 koja sadrži zahtjeve koji se mogu certificirati i služe za identificiranje, procjenu i upravljanje rizicima za aktivnosti obrade informacija.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Norme za informacijsku sigurnost - pregled

TISAX (Informacijska sigurnost u automobilskoj industriji)

TISAX (Informacijska sigurnost u automobilskoj industriji)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Odgovori na važna pitanja

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Automobilska kibernetička sigurnost: Novi obvezni propisi

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

VDA ISA katalog 5.0: Trenutna osnova za TISAX® procjene