Četvrta industrijska revolucija, označava inteligentno umrežavanje razvoja, proizvodnje, logistike i kupaca. Ona predstavlja mnoštvo informacija i podataka koji su često od egzistencijalne vrednosti za organizacije. Zaštita njihove dostupnosti, integriteta i poverljivosti je centralni zadatak. Bezbednost informacija obuhvata sve mere za uočavanje postojećih rizika, identifikuju i preduzmu odgovarajuće mere za njihovu zaštitu.
Zbog nedovoljne bezbednosti prilikom obrade informacija, samo nemačka ekonomija trpi štetu u iznosu od više milijardi evra svake godine. Razlozi za to su složeni i kreću se od spoljašnjih smetnji, tehničkih grešaka, industrijske špijunaže do zloupotrebe informacija od strane bivših zaposlenih. Međutim, samo oni koji prepoznaju izazove takođe mogu da pokrenu odgovarajuće mere. Dobro struktuirani sistem menadžmenta bezbednošću informacija u skladu sa međunarodno priznatim standardom ISO 27001 je optimalna osnova za efikasnu implementaciju holističke bezbednosne strategije. Šta to tačno znači i šta treba uzeti u obzir? Pronađite odgovore na važna pitanja o ISO 27001 upravo ovde.
SADRŽAJ
- Šta je bezbednost informacija?
- Koji su ciljevi bezbednosti informacija?
- Šta je sistem menadžmenta bezbednošću informacija?
- Kojim organizacijama je standard ISO 27001 potreban?
- Koje su prednosti sistema menadžmenta bezbednošću informacija?
- Koja je uloga ljudi?
- ISO 27001 - Pitanja o implementaciji standarda
- Zašto ISO 27001 sertifikacija?
- DQS - Šta možemo da uradimo za vas?
Šta je bezbednost informacija?
Odgovor na ovo pitanje je prilično jednostavan u smislu međunarodne porodice standarda za bezbednost informacija ISO 2700x:
"Informacije su podaci koji su od vrednosti za organizaciju."
ISO/IEC 27000:2020-06: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Pregled i rečnik
Informacije su sredstvo koje ne bi trebalo da padne u ruke neovlašćenih lica, a to zahteva odgovarajuću zaštitu.
Bezbednost informacija je sve što ima veze sa zaštitom informacionih sredstava vašeg preduzeća. Odlučujući faktor ovde je da budete svesni rizika koji postoje u kontekstu kompanije, ili da ih otkrijete i da im se suprotstavite odgovarajućim merama zasnovanim na potrebama.
"Bezbednost informacija nije IT bezbednost"
IT bezbednost se odnosi samo na bezbednost tehnologije koja je u upotrebi, a ne i na korporativna sredstva koja treba zaštititi. Organizacione nedoumice, na primer ovlašćenja pristupa, odgovornosti ili procedure odobravanja, kao i psihološki aspekti, takođe igraju suštinsku ulogu u bezbednosti informacija. Međutim, bezbedni IT takođe štiti informacije u kompaniji.
Koji su ciljevi bezbednosti informacija?
Prema međunarodnom standardu ISO/IEC 27001, ciljevi zaštite bezbednosti informacija čine tri glavna aspekta:
- Poverljivost - zaštitu poverljivih informacija od neovlašćenog pristupa, bilo iz razloga zakona o zaštiti podataka ili npr. na osnovu obuhvaćenih poslovnih tajni. Nivo poverljivosti je ovde bitan.
- Integritet - minimiziranje bilo kakvih rizika, obezbeđivanje potpunosti i pouzdanosti svih podataka i informacija.
- Dostupnost - obezbeđivanje nivoa pristupa i korišćenja različitih informacija, zgrada i sistema. Ovo je od suštinskog značaja za održavanje procesa.
Sertifikovana bezbednost informacija prema ISO 27001
Zaštitite svoje informacije sistemom menadžmenta koji zadovoljava međunarodne standarde ✓ DQS nudi preko 35 godina iskustva u sertifikaciji
- Više vrednog znanja možete pronaći na našoj stranici proizvoda za ISO 27001
Ključna pitanja o bezbednosti informacija
- Koje su vrednosti moje kompanije?
- Koje vrednosti preduzeća treba zaštititi?
- Koji su to napadi kojima je kompanija izložena?
- Ko ima interes da zaštiti ove informacije?
- Koje su odgovarajuće mere?
Šta je sistem menadžmenta bezbednošću informacija?
Sistem menadžmenta bezbednošću informacija (ISMS) prema ISO/IEC 27001 definiše smernice, pravila i metode za obezbeđivanje značajnih informacija u organizaciji. On obezbeđuje model za uvođenje, implementaciju, praćenje i unapređenje nivoa zaštite - u skladu sa sistemskom procedurom PDCA ciklusa (Plan-Do-Check-Act) poznatog iz ISO 9001.
Cilj je da se identifikuju i analiziraju potencijalni rizici i da se oni kontrolišu odgovarajućim merama.
Znanje o standardima
Novi ISO 27001:2022 donosi mnogo promena
U 45-minutnom snimku našeg vebinara „Šta se menja sa novim ISO/IEC 27001:2022“, dobićete informacije o suštinskim zahtevima novog standarda, izmenama mera Aneksa A i datumima i rokovima za prelazak .
- Za više informacija i za gledanje snimka.
Zašto je važno upravljanje bezbednošću informacija?
Uspešne organizacije koriste strukturu i transparentnost savremenih sistema menadžmenta za otkrivanje pretnji i ciljanje raspoređivanja savremenih bezbednosnih sistema. U srcu sistema menadžmenta bezbednošću informacija je bezbednost sopstvenih informacionih sredstava, kao što su intelektualna svojina, finansijski i kadrovski podaci, kao i informacije koje su vam poverene od strane klijenata ili trećih lica.
"Bezbednost informacija uvek podrazumeva zaštitu značajnih informacija ili podataka o vrednosti."
Rizici kojima su podaci vredni zaštite izloženi su brojni. Mogu da nastanu iz materijalnih, ljudskih i tehničkih bezbednosnih pretnji. Međutim, samo sveobuhvatni, preventivni pristup sistema upravljanja ISMS-om može da se pozabavi čitavim spektrom pretnji i osigura kontinuitet poslovanja kompanije.
Za koje organizacije je ISO 27001 koristan?
Odgovor na to pitanje je vrlo jednostavan: za sve. ISO 27001 se u osnovi može primeniti u svim organizacijama, bez obzira na njihov tip, veličinu i industriju. Takođe, sve organizacije imaju koristi od prednosti strukturiranog sistema menadžmenta. Na implementaciju ISMS-a utiču sledeći faktori:
- Zahtevi i poslovni ciljevi
- Sigurnosne potrebe
- Primenjeni poslovni procesi
- Veličina i struktura organizacije
Koje su prednosti sistema menadžmenta bezbednošću informacija?
ISO 27001 formuliše zahteve za sistematsko dizajniranje i implementaciju procesno orijentisanog sistema menadžmenta za bezbednost informacija. Odlučujuće prednosti se mogu postići ovim holističkim pristupom:
- Bezbednost osetljivih informacija postaje sastavni deo procesa preduzeća
- Preventivno čuvanje ciljeva, zaštita poverljivosti, dostupnost i integritet informacija
- Održavanje kontinuiteta poslovanja kroz stalno unapređenje nivoa bezbednosti
- Senzibilitet zaposlenih i značajno povećana svest o bezbednosti na svim nivoima preduzeća
- Uspostavljanje efikasnog procesa upravljanja rizicima
- Izgradnja poverenja sa zainteresovanim stranama (npr. tenderi) kroz demonstrativno bezbedno rukovanje osetljivim informacijama
- Pridržavanje relevantnih zahteva za usaglašenost, veća sigurnost delovanja i pravna izvesnost
Kako se potencijalnim rizicima može upravljati?
Bezbednosni rizici mogu nastati usled materijalnih, ljudskih i tehničkih pretnji. Da bi se postigao praćen i odgovarajući nivo bezbednosti u organizaciji, potreban je definisan proces upravljanja rizicima ili metod za procenu, otklanjanje i praćenje rizika. ISO/IEC 27005 pruža dobre smernice za upravljanje rizicima bezbezbednosti informacija.
Kakva je uloga ljudi?
Ljudi su takođe faktor rizika, jer rukovanje osetljivim informacijama utiče na sve zaposlene i partnere kompanije bez izuzetka. Oni predstavljaju povećan bezbednosni rizik, bilo kroz neznanje ili ljudsku grešku. Međutim, samo mali broj organizacija reguliše stepen pristupa i način postupanja sa određenim informacijama.
"Novi izvor moći više nije novac u rukama nekolicine, već informacija u rukama mnogih." John Naisbitt, *1929, Amerikanac. Futurolog
Obavezujući propisi i izražena svest o svim pitanjima bezbednosti informacija su osnovni preduslov. Prilagođavanje korporativne politike ili razvoj odgovarajuće politike bezbednosti informacija ovde se smatra suštinskim. Neophodna informisanost zaposlenih na svim nivoima je pitanje za menadžment i može se odvijati, na primer, kroz kurseve, obuke, radionice ili lične diskusije.
Saznajte više: Bezbednosni incidenti: Zaposleni kao faktor uspeha
ISO 27001 - Pitanja o implementaciji
Na pitanje da li je kompanija već uvela sistem menadžmenta, na primer u skladu sa ISO 9001, jasno se može odgovoriti sa "ne". ISO 27001 je generički standard i - kao i svi standardi sistema menadžmenta - samostalan. To znači da organizacija može da podesi i primeni sistem menadžmenta bezbednošću informacija u bilo kom trenutku i nezavisno od bilo koje postojeće strukture.
Ipak, kompanije koje imaju sistem menadžmenta kvalitetom u skladu sa ISO 9001 već su stvorile dobru osnovu za postepeno uvođenje sveobuhvatne bezbedenosti informacija.
U svojoj strukturi i pristupu, ISO 27001 se zasniva na obaveznoj osnovnoj strukturi za sve procesno orijentisane standarde sistema menadžmenta, strukturu visokog nivoa (HLS - High Level Structure). Shodno tome, ovo vam nudi mogućnost da lako integrišete sistem menadžmenta bezbednošću informacija u već postojeći sistem menadžmenta. Isto tako, moguća je zajednička sertifikacija prema ISO 27001 sa ISO 20000-1 (UPRAVLJANJE IT uslugama) ili ISO 22301 (Upravljanje kontinuitetom poslovanja) od strane DQS-a.
Koji dokumenti mogu da podrže uvođenje?
Poželjna osnova za uvođenje holističkog sistema menadžmenta bezbednosti informacija je međunarodna ISO/IEC 2700x porodica standarda. Namenjen je podršci organizacijama svih tipova i veličina u implementaciji i funkcionisanju ISMS-a. Stepen implementacije unutar organizacije može se proveriti pomoću interne provere.
Korisne komponente standardnih serija su
- ISO/IEC 27000:2018: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Pregled i rečnik
- ISO/IEC 27001:2013: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Zahtevi
- ISO/IEC 27002:2013: Informacione tehnologije - Bezbednosne tehnike - Kodeks prakse za kontrole informacione bezbednosti
- ISO/IEC 27003:2017: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Vodič
- ISO/IEC 27004-2016: Informacione tehnologije - Bezbednosne tehnike - Upravljanje bezbednošću informacija - Praćenje, merenje, analiza i evaluacija
- ISO/IEC 27005:2018: Informacione tehnologije - Bezbednosne tehnike - Upravljanje rizicima informacione bezbednosti
Svi propisi su dostupni sa ISO sajta.
ISO 27001 - Pitanja o imenovanoj osobi za IT bezbednosti?
Da li ISO 27001 zahteva službenika IT bezbednosti? Odgovor je "da".
Jedan zadatak u okviru sistema menadžmenta bezbednošću informacija je imenovanje službenika IT bezbednosti od strane najvišeg rukovodstva. Službenik IT bezbednosti je kontakt osoba za sve probleme IT bezbednosti. On ili ona bi trebalo da budu integrisani u sve ISMS procese i da se blisko povežu sa IT menadžerima - na primer, prilikom izbora novih IT komponenti i IT aplikacija.
ISO 27001 u praksi
DQS vodič za proveru (zasnovano na ISO 27001:2013)
Iskoristite dobra pitanja provere i moguće dokaze o odabranim metodama iz Aneksa A.
Od stručnjaka u toj oblasti.
To je više od kontrolne liste! Preuzmi sada.
Zašto ISO 27001 sertifikacija?
Sertifikacija po akreditovanoj proceduri je dokaz da je sistem upravljanja i mere implementacije za sistemsku zaštitu informacionih sredstava. Sa sertifikatom ISO 27001 pokazujete „crno na belo“ da ste uspešno uspostavili ovaj sistem i da ste posvećeni njegovom stalnom unapređenju.
DQS sertifikat, koji se vrednuje širom sveta, dokaz je objektivne provere i jača poverenje u vašu kompaniju. To je tržišna prednost i pruža dobar preduslov na tenderima i bezbednosno kritičnom poslovanju klijenata, kao što su pružaoci finansijskih usluga.
ISO 27001 - Pitanja o procesu sertifikacije
Svi sistemi menadžmenta koji se ocenjuju na osnovu međunarodnih pravila (ISO 17021) od strane akreditovanog sertifikacionog tela kao što je DQS podležu istom procesu sertifikacije.
Inicijalna sertifikacija se sastoji od sistemske analize (audit faze 1) i provere sistema (audit faze 2), tokom koje auditori na licu mesta proveravaju da li sistem funkcioniše kako treba i da su svi zahtevi sprovedeni. Izdaje se sertifikat koji važi 3 godine.
Da biste mogli da garantujete usaglašenost tokom celog perioda, sistem upravljanja mora biti verifikovan na godišnjem nivou. U prvoj i drugoj godini nakon izdavanja sertifikata, auditori DQS-a vrše skraćene ISMS audite (nadzorni auditi), u kojima proveravaju, na primer, efektivnost ključnih komponenti sistema ili korektivnih i preventivnih mera. Redovna resertifikacija se odvija posle tri godine.
Kompanije koje već imaju sertifikovan sistem menadžmenta trebalo bi da kombinuju svoje programe audita i traže zajedničku sertifikaciju svog integrisanog sistema menadžmenta (IMS).
Da li je moguća zajednička sertifikacija sa drugim sistemima menadžmenta kvaliteta?
U principu, isti zahtevi se odnose na ISO 27001 kao i na druge ISO standarde kao što su ISO 9001 ili ISO 14001. DQS može da obezbedi integraciju ISO 27001 u postojeće procedure, kao i zajednički audit sa drugim standardima.
Koje su prednosti ISO 27001 u odnosu na TISAX?
TISAX® (Trusted Information Security Assessment Exchange) je razvijen kao industrijski standard posebno za automobilsku industriju i prilagođen potrebama specifičnim za industriju. Osnova za TISAX® ocenjivanje je VDA Information Security Assessment (VDA ISA) katalog testova, koji se, između ostalog, zasniva na zahtevima ISO 27001 ili ISO 27002 i proširuje ih tako da obuhvata teme kao što su zaštite prototipa ili zaštite podataka.
Više o TISAX® standardima i zahtevima možete pronaći na njegovoj stranici.
Cilj TISAX®-a je da obezbedi sveobuhvatnu bezbednost informacija za sve faze u lancu snabdevanja. Pored toga, registracija u bazi podataka pojednostavljuje proceduru međusobnog priznavanja. Međutim, TISAX® je prepoznat samo u automobilskoj industriji. Klijenti iz drugih industrija mogu da prepoznaju samo ISO 27001 kao dokaz ISMS-a.
DQS - Šta možemo da uradimo za vas
DQS je vaš specijalista za audite i sertifikacije sistema menadžmenta i procesa. Sa više od 35 godina iskustva i 2.500 auditora širom sveta, mi smo vaš kompetentan sertifikacioni partner, pružajući odgovore na sva pitanja ISO 27001.
Mi vršimo audite u skladu sa oko 200 priznatih standarda i propisa, kao i standarda kompanije i specifičnih za udruživanje. Bili smo prvo nemačko sertifikaciono telo koje je dobilo akreditaciju za BS 7799-2, prethodnika ISO/IEC 27001, u decembru 2000. Ova ekspertiza je još uvek izraz naše svetske uspešne priče.
Rado ćemo odgovoriti na vaša pitanja
Koliko posla treba da uradite da bi vaš ISMS bio sertifikovan prema ISO 27001? Dobijte informacije besplatno i bez obaveza.
Radujemo se razgovoru sa vama.