Industrija 4.0, takozvana četvrta industrijska revolucija, označava inteligentno umrežavanje razvoja, proizvodnje, logistike i kupaca. On predstavlja mnoštvo informacija i podataka koji su često od egzistencijalne vrednosti za organizacije. Zaštita njihove dostupnosti, integriteta i poverljivosti je centralni zadatak. Informaciona bezbednost obuhvata sve mere koje pomažu da se postanu svesni postojećih rizika, identifikuju i preduzmu odgovarajuće i odgovarajuće mere za njihovu zaštitu.

Informaciona bezbednost - Pitanja i odgovori o ISO 27001 standardu

Zbog nedovoljne bezbednosti prilikom obrade informacija, samo nemačka ekonomija trpi štetu u iznosu od više milijardi evra svake godine. Razlozi za to su složeni i kreću se od spoljašnjih smetnji, tehničkih grešaka, industrijske špijunaže do zloupotrebe informacija od strane bivših zaposlenih. Međutim, samo oni koji prepoznaju izazove takođe mogu da pokrenu odgovarajuće mere. Dobro struktuirani sistem menadžmenta bezbednošću informacija u skladu sa međunarodno priznatim standardom ISO 27001 je optimalna osnova za efikasnu implementaciju holističke bezbednosne strategije. Šta to tačno znači i šta treba uzeti u obzir? Pronađite odgovore na važna pitanja o ISO 27001 upravo ovde.

SADRŽAJ

  • Šta je informaciona bezbednost?
  • Koji su ciljevi zaštite informacione bezbednosti?
  • Šta je sistem menadžmenta bezbednošću informacija?
  • Kojim organizacijama je standard ISO 27001 potreban?
  • Koje su prednosti sistema menadžmenta bezbednošću informacija?
  • Koja je uloga ljudi?
  • ISO 27001 - Pitanja o implementaciji standarda
  • Zašto ISO 27001 sertifikacija?
  • DQS - Šta možemo da uradimo za vas?

Šta je informaciona bezbednost?

Odgovor na ovo pitanje je prilično jednostavan u smislu međunarodne porodice standarda za informacionu bezbednost ISO 2700x:

"Informacije su podaci koji su od vrednosti za organizaciju."

ISO/IEC 27000:2020-06: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Pregled i rečnik

Vidite, informacije su sredstvo koje ne bi trebalo da padne u ruke neovlašćenih lica, a to zahteva odgovarajuću zaštitu.

Informaciona bezbednost je stoga sve što ima veze sa zaštitom informacionih sredstava vašeg preduzeća. Odlučujući faktor ovde je da budete svesni rizika koji postoje u kontekstu kompanije, ili da ih otkrijete i da im se suprotstavite odgovarajućim merama zasnovanim na potrebama.

"Informaciona bezbednost nije IT bezbednost"

IT bezbednost se odnosi samo na bezbednost tehnologije koja je u upotrebi, a ne i na korporativna sredstva koja treba zaštititi. Organizacione nedoumice, na primer ovlašćenja pristupa, odgovornosti ili procedure odobravanja, kao i psihološki aspekti, takođe igraju suštinsku ulogu u informacionoj bezbednosti. Međutim, bezbedni IT takođe štiti informacije u kompaniji.

Koji su ciljevi zaštite informacione bezbednosti?

Prema međunarodnom standardu ISO/IEC 27001, ciljevi zaštite informacione bezbednosti čine tri glavna aspekta:

  • Poverljivost - zaštitu poverljivih informacija od neovlašćenog pristupa, bilo iz razloga zakona o zaštiti podataka ili na osnovu poslovnih tajni obuhvaćenih npr. Nivo poverljivosti je ovde bitan.
  • Integritet - minimiziranje bilo kakvih rizika, obezbeđivanje potpunosti i pouzdanosti svih podataka i informacija.
  • Dostupnost - obezbeđivanje pristupa i upotrebljivosti za ovlašćeni pristup informacijama, zgradama i sistemima. Ovo je od suštinskog značaja za održavanje procesa.

Sertifikovana informaciona bezbednost prema ISO 27001

Zaštitite svoje informacije sistemom menadžmenta koji zadovoljava međunarodne standarde ✓ DQS nudi preko 35 godina iskustva u sertifikaciji ✓

Ključna pitanja o informacionoj bezbednosti

  • Koje su vrednosti moje kompanije?
  • Koje vrednosti preduzeća treba zaštititi?
  • Koji su to napadi kojima je kompanija izložena?
  • Ko ima interes da zaštiti ove informacije?
  • Koje su odgovarajuće mere?

Šta je sistem menadžmenta bezbednošću informacija?

Sistem menadžmenta bezbednošću informacija (ISMS) prema ISO/IEC 27001 definiše smernice, pravila i metode za obezbeđivanje bezbednosti informacija vrednih zaštite u organizaciji. On obezbeđuje model za uvođenje, implementaciju, praćenje i unapređenje nivoa zaštite - u skladu sa sistematskom procedurom PDCA ciklusa (Plan-Do-Check-Act) poznatog iz ISO 9001.

Cilj je da se identifikuju i analiziraju potencijalni rizici i da se oni kontrolišu odgovarajućim merama.

Zašto je važno upravljanje bezbednošću informacija?

Uspešne organizacije koriste strukturu i transparentnost savremenih sistema menadžmenta za otkrivanje pretnji i ciljanje raspoređivanja savremenih bezbednosnih sistema. U srcu sistema menadžmenta bezbednošću informacija je bezbednost sopstvenih informacionih sredstava, kao što su intelektualna svojina, finansijski i kadrovski podaci, kao i informacije koje su vam poverene od strane klijenata ili trećih lica.

"Informaciona bezbednost uvek podrazumeva zaštitu značajnih informacija ili podataka o vrednosti."

Rizici kojima su podaci vredni zaštite izloženi su mnogi. Mogu da nastanu iz materijalnih, ljudskih i tehničkih bezbednosnih pretnji. Međutim, samo holistički, preventivni pristup sistema upravljanja ISMS-om može da se pozabavi čitavim spektrom pretnji i osigura kontinuitet poslovanja kompanije.

Za koje organizacije je ISO 27001 koristan?

Odgovor na to pitanje je vrlo jednostavan: za sve. ISO 27001 se u osnovi može primeniti u svim organizacijama, bez obzira na njihov tip, veličinu i industriju. Takođe, sve organizacije imaju koristi od prednosti strukturiranog sistema menadžmenta. Na implementaciju ISMS-a utiču sledeći faktori:

  • Zahtevi i poslovni ciljevi
  • Sigurnosne potrebe
  • Primenjeni poslovni procesi
  • Veličina i struktura organizacije

Koje su prednosti sistema menadžmenta bezbednošću informacija?

ISO 27001 formuliše zahteve za sistematsko dizajniranje i implementaciju procesno orijentisanog sistema menadžmenta za informacionu bezbednost. Odlučujuće prednosti se mogu postići ovim holističkim pristupom:

  • Bezbednost osetljivih informacija postaje sastavni deo procesa preduzeća
  • Preventivno čuvanje ciljeva, zaštita poverljivosti, dostupnost i integritet informacija
  • Održavanje kontinuiteta poslovanja kroz stalno unapređenje nivoa bezbednosti
  • Senzibilitet zaposlenih i značajno povećana svest o bezbednosti na svim nivoima preduzeća
  • Uspostavljanje efikasnog procesa upravljanja rizicima
  • Izgradnja poverenja sa zainteresovanim stranama (npr. tenderi) kroz demonstrativno bezbedno rukovanje osetljivim informacijama
  • Pridržavanje relevantnih zahteva za usaglašenost, veća sigurnost delovanja i pravna izvesnost

Kako se potencijalnim rizicima može upravljati?

Bezbednosni rizici mogu nastati usled materijalnih, ljudskih i tehničkih pretnji. Da bi se postigao praćen i odgovarajući nivo bezbednosti u organizaciji, potreban je definisan proces upravljanja rizicima ili metod za procenu rizika, lečenje rizika i praćenje rizika. ISO/IEC 27005 pruža dobre smernice za upravljanje rizicima informacione bezbednosti.

Kakvu ulogu ljudi igraju?

Ljudi su takođe faktor rizika, jer rukovanje osetljivim informacijama utiče na sve zaposlene i partnere kompanije bez izuzetka. Oni predstavljaju povećan bezbednosni rizik, bilo kroz neznanje ili ljudsku grešku. Međutim, samo mali broj organizacija reguliše ko može da dobije pristup kojim informacijama i kako se postupa.

"Novi izvor moći više nije novac u rukama nekolicine, već informacija u rukama mnogih." John Naisbitt, *1929, Amerikanac. Futurolog

Obavezujući propisi i izražena svest o svim pitanjima informacione bezbednosti stoga su osnovni preduslov. Prilagođavanje korporativne politike ili razvoj odgovarajuće politike informacione bezbednosti ovde se smatra suštinskim. Neophodna senzibilitet zaposlenih na svim (menadžment) nivoima je stvar za šefa i može se odvijati, na primer, kroz kurseve obuke, radionice ili lične diskusije.

ISO 27001 - Pitanja o implementaciji

Na pitanje da li je kompanija već uvela sistem menadžmenta, na primer u skladu sa ISO 9001, jasno se može odgovoriti sa "ne". ISO 27001 je generički standard i - kao i svi standardi sistema menadžmenta - stoji sam od sebe. To znači da organizacija može da podesi i primeni sistem menadžmenta bezbednošću informacija u bilo kom trenutku i nezavisno od bilo koje postojeće strukture.

Ipak, kompanije koje imaju sistem menadžmenta kvalitetom u skladu sa ISO 9001 već su stvorile dobru osnovu za korak po korak uvođenje sveobuhvatne informacione bezbednosti.

U svojoj strukturi i pristupu, ISO 27001 se zasniva na obaveznoj osnovnoj strukturi za sve procesno orijentisane standarde sistema menadžmenta, strukturu visokog nivoa (HLS - High Level Structure). Shodno tome, ovo vam nudi mogućnost da lako integrišete sistem menadžmenta bezbednošću informacija u već postojeći sistem menadžmenta. Isto tako, moguća je zajednička sertifikacija prema ISO 27001 sa ISO 20000-1 (UPRAVLJANJE IT uslugama) ili ISO 22301 (Upravljanje kontinuitetom poslovanja) od strane DQS-a.

Koji dokumenti mogu da podrže uvođenje?

Poželjna osnova za uvođenje holističkog sistema menadžmenta informacionom bezbednošću je međunarodna ISO/IEC 2700x porodica standarda. Namenjen je podršci organizacijama svih tipova i veličina u implementaciji i funkcionisanju ISMS-a. Stepen implementacije unutar organizacije može se proveriti pomoću interne revizije.

Korisne komponente standardnih serija su

  • ISO/IEC 27000:2018: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Pregled i rečnik
  • ISO/IEC 27001:2013: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Zahtevi
  • ISO/IEC 27002:2013: Informacione tehnologije - Bezbednosne tehnike - Kodeks prakse za kontrole informacione bezbednosti
  • ISO/IEC 27003:2017: Informacione tehnologije - Bezbednosne tehnike - Sistemi menadžmenta bezbednošću informacija - Vodič
  • ISO/IEC 27004-2016: Informacione tehnologije - Bezbednosne tehnike - Upravljanje bezbednošću informacija - Praćenje, merenje, analiza i evaluacija
  • ISO/IEC 27005:2018: Informacione tehnologije - Bezbednosne tehnike - Upravljanje rizicima informacione bezbednosti

Svi propisi su dostupni sa ISO sajta.

ISO 27001 - Pitanja o službeniku IT bezbednosti?

Da li ISO 27001 zahteva službenika IT bezbednosti? Odgovor je "da".

Jedan zadatak u okviru sistema menadžmenta bezbednošću informacija je imenovanje službenika IT bezbednosti od strane najvišeg menadžmenta. Službenik IT bezbednosti je kontakt osoba za sve probleme it bezbednosti. On ili ona bi trebalo da budu integrisani u sve ISMS procese i da se blisko povežu sa IT menadžerima - na primer, prilikom izbora novih IT komponenti i IT aplikacija.

Zašto ISO 27001 sertifikacija?

Sertifikacija zasnovana na akreditovanoj proceduri dokaz je da su sistem menadžmenta i mere sprovedeni kako bi se sistematski zaštitila informaciona sredstva. Pomoću sertifikata pokazujete "u crnom na belo" da ste uspešno uspostavili ovaj sistem i da ste posvećeni njegovom stalnom usavršavanju.

DQS sertifikat, koji se vrednuje širom sveta, vidljiv je izraz neutralne procene i jača poverenje u vašu kompaniju. To je tržišna prednost i pruža dobar preduslov na tenderima i bezbednosno kritičnom poslovanju klijenata, kao što su pružaoci finansijskih usluga.

ISO 27001 - Pitanja o procesu sertifikacije

Svi sistemi menadžmenta koji se procenjuju na osnovu međunarodnih pravila (ISO 17021) od strane akreditovanog sertifikacionog tela kao što je DQS podležu istom procesu sertifikacije.

Inicijalna sertifikacija se sastoji od sistemske analize (audit faze 1) i revizije sistema (audit faze 2), tokom koje auditori na licu mesta proveravaju da li sistem funkcioniše kako treba i da su svi zahtevi sprovedeni. Sertifikat potom važi 3 godine.

Da biste mogli da garantujete ispravnost tokom celog perioda, sistem upravljanja mora biti verifikovan na godišnjem nivou. U prvoj i drugoj godini nakon izdavanja sertifikata, auditori DQS-a stoga vrše skraćene ISMS audite (nadzorni auditi), u kojima proveravaju, na primer, efektivnost ključnih komponenti sistema ili korektivnih i preventivnih mera. Resertifikacija se potom odvija posle tri godine.

Kompanije koje već imaju postojeći sistem menadžmenta trebalo bi da kombinuju svoje programe audita i traže zajedničku sertifikaciju svog integrisanog sistema menadžmenta (IMS).

Da li je moguća zajednička sertifikacija sa drugim sistemima menadžmenta kvaliteta?

U principu, isti zahtevi se odnose na ISO 27001 kao i na druge ISO standarde kao što su ISO 9001 ili ISO 14001. DQS može da obezbedi integraciju ISO 27001 u postojeće matrične procedure, kao i  zajednički audit sa drugim standardima.

Koje su prednosti ISO 27001 u odnosu na TISAX?

TISAX® (Trusted Information Security Assessment Exchange) je razvijen kao industrijski standard posebno za automobilsku industriju i prilagođen potrebama specifičnim za industriju. Osnova za TISAX procenu® je VDA Information Security Assessment (VDA ISA) katalog testova, koji se, između ostalog, zasniva na zahtevima ISO 27001 ili ISO 27002 i proširuje ih tako da obuhvata teme kao što su prototip zaštite ili zaštite podataka.

Više o TISAX® standardima i zahtevima možete pronaći na njegovoj stranici.

Cilj TISAX®-a je da obezbedi sveobuhvatnu (informacionu) bezbednost za sve faze u lancu snabdevanja. Pored toga, registracija u bazi podataka pojednostavljuje proceduru međusobnog priznavanja. Međutim, TISAX® je prepoznat samo u automobilskoj industriji. Klijenti iz drugih industrija mogu da prepoznaju ISO 27001 samo kao dokaz ISMS-a.

DQS - Šta možemo da uradimo za vas

DQS je vaš specijalista za audite i sertifikacije sistema menadžmenta i procesa. Sa više od 35 godina iskustva i 2.500 auditora širom sveta, mi smo vaš kompetentan sertifikacioni partner, pružajući odgovore na sva pitanja ISO 27001.

Mi vršimo audite  u skladu sa oko 200 priznatih standarda i propisa, kao i standarda kompanije i specifičnih za udruživanje. Bili smo prvo nemačko sertifikaciono telo koje je dobilo akreditaciju za BS 7799-2, prethodnika ISO/IEC 27001, u decembru 2000. Ova ekspertiza je još uvek izraz naše svetske uspešne priče.

Rado ćemo odgovoriti na vaša pitanja

Koliko posla treba da uradite da bi vaš ISMS bio sertifikovan prema ISO 27001? Dobijte informacije besplatno i bez obaveza.

Radujemo se razgovoru sa vama.

Prikaži više
Prikaži manje

Informaciona bezbednost i IT bezbednost

Informaciona bezbednost i IT bezbednost

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Aneks A ISO 27001: Odgovornosti i uloge zaposlenih

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

IT bezbednost u odnosu na informacionu bezbednost - u čemu je razlika?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standardi za informacionu bezbednost - pregled

Standardi informacione bezbednosti

Porodica ISO/IEC 2700x je međunarodno priznat niz standarda za uvođenje holističkog sistema menadžmenta bezbednošću informacija. U svojoj srži je ISO/IEC 27001, koji sadrži sertifikovane zahteve za identifikaciju, procenu i upravljanje rizicima za operacije obrade informacija.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standardi za informacionu bezbednost - pregled

Informaciona bezbednost i zaštita podataka

Informaciona bezbednost i zaštita podataka

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Zaštita podataka i informaciona bezbednost - sa ISO 27001 i ISO 27701

TISAX (Informaciona bezbednost u automobilskoj industriji)

TISAX  (Informaciona bezbednost u automobilskoj industriji)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Odgovori na važna pitanja

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Sajber bezbednost u automobilskoj industriji: Novi obavezni propisi