Informaciona bezbednost - na sistemski način

Tema "Informaciona bezbednost" postaje sve bitnija za kompanije u toku digitalne transformacije. Bez dovoljnih bezbednosnih mera predostrožnosti, postoji rizik od gubitka podataka i krađe podataka od strane hakera, poslovnih zastoja zbog napada putem veba ili zloupotrebe podataka. Jedna od opcija za strukturirani pristup je Sistem menadžmenta bezbednošću informacija (ISMS) prema ISO 27001.

Demonstrativni podaci i bezbednost informacija

Bezbednost kao deo korporativne kulture

Efikasna implementacija procesa upravljanja rizicima

Stalno poboljšanje nivoa bezbednosti

Business10.png
Loading...

Šta je ISO 27001?

ISO/IEC 27001 je vodeći međunarodni standard za implementaciju sistema holističkog upravljanja informacionom bezbednošću. Usredsređen je na identifikaciju, procenu i upravljanje rizicima u procesima rukovanja informacijama. Bezbednost poverljivih informacija je naglašena kao značajan strateški element.

Informacije nas okružuju svuda i deo su svakog procesa. Ponekad su to možda manje bitne informacije, ali prečesto je reč o kritičnim i poverljivim stvarima. Da biste napravili ovu važnu razliku za vašu organizaciju, neophodno je da klasifikujete informacije. Stoga se zaštitne mere sistema menadžmenta bezbednošću informacija (ISMS) prema ISO/IEC 27001 zasnivaju na ovoj klasifikaciji.

ISMS kreira okvir za zaštitu operativnih podataka i njihove poverljivosti. Istovremeno, globalno priznati standard obezbeđuje dostupnost IT sistema uključenih u korporativne procese. U tom kontekstu, ISO 27001 sertifikacija šalje snažan signal tržištu: naime, nezavisna eksterna procena i potvrda efikasnosti vašeg ISMS-a.

Sa EN ISO/IEC 27001:2017-06 objavljena je verzija koju koordinira Evropski komitet za standardizaciju (CEN). Kombinuje dve ispravke (corrigenda) Cor 1:2014 i Cor 2:2015. Promene povezane sa ispravkom uključuju samo poboljšani opis pridruženih zahteva, ali ne i nove, dodatne zahteve. Sertifikati prema verziji ISO/IEC 27001:2013 tako zadržavaju svoju ispravnost.

Prikaži više
Prikaži manje
SEO19.png
Loading...

Za koga je pogodna sertifikacija prema ISO 27001?

ISMS standard ISO 27001 važi širom sveta. Kompanijama svih veličina i industrija pruža okvir za planiranje, implementaciju i praćenje njihove informacione bezbednosti. Zahtevi su primenljivi i primenjuju se na privatna i javna preduzeća, kao i na neprofitne organizacije.

U Nemačkoj, na primer, kompanije koje pripadaju Sektoru kritične infrastrukture (KRITIS) i prelaze cenzus moraju da pruže dokaze o tome kako obezbeđuju svoju informacionu bezbednost. Za očekivati je da će se slična zakonska regulativa u budućnosti naći na snazi i kod nas i obuvhataće na primer energetiku, vodu, zdravstvo, finansije i osiguranje, hranu, transport i saobraćaj, informacione tehnologije i telekomunikacije. Odgovarajući dokaz o implementaciji mogu da obezbede bezbednosne kontrole, testovi ili sertifikati. U tu svrhu, ili priznati standardi kao što je ISO 27001 ili, alternativno, bezbednosni standardi specifični za industriju koje prepoznaje nemačka Federalna kancelarija za informacionu bezbednost (BSI) mogu se koristiti kao osnova za proveru.

Prikaži više
Prikaži manje
Business11.png
Loading...

Šta čini standard ISO 27001 korisnim za moju kompaniju?

Uvođenje ISMS-a prema ISO/IEC 27001 je strateška odluka za vašu kompaniju. Ispunjenje zahteva standarda mora da odražava specifičnu situaciju u kompaniji. Implementacija u kompaniji zavisi od potreba i ciljeva, bezbednosnih zahteva i organizacionih procesa, kao i od veličine i strukture kompanije.

Posebno dragocena u praksi je primena mera u Aneksu A standarda. Pored odeljka o sistemski orijentisanim zahtevima menadžmenta (poglavlja od 4 do 10), ISO standard sadrži opsežnu listu od 35 ciljeva mera (kontrola) sa 114 konkretnih mera za najrazličitije bezbednosne aspekte u 14 poglavlja u Aneksu A. Mere moraju da se sprovedu u okviru sistema menadžmenta. Ove mere moraju da se sprovedu kao deo sistema menadžmenta, jer su relevantne za vašu kompaniju.

Dokazano je dosledno usklađivanje procesa kompanije sa ISO 27001 što dovodi do brojnih prednosti:

  • Stalno poboljšanje nivoa bezbednosti
  • Smanjenje postojećih rizika
  • Ispunjavanje zahteva za usaglašenost
  • Veća svest kod zaposlenih
  • Povećano zadovoljstvo klijenata

Interni auditi i provere menadžmenta uz učešće najvišeg rukovodstva su unutrašnje poluge za postizanje toga.

Drugi pozitivni aspekti su da zainteresovane strane kao što su nadzorni organi, osiguravajuće kuće, banke, partnerske kompanije grade viši nivo poverenja u vašu kompaniju. Do ovoga dolazi zato što sertifikovani sistem menadžmenta signalizira da se vaša organizacija bavi rizicima na strukturiran način i da se pretplati na stalno usavršavanje (CIP), što je čini otpornijom na neželjene uticaje.

Međunarodni standard ISO/IEC 27001 takođe može da se primeni, upravlja i sertifikuje nezavisno od drugih sistema menadžmenta kao što su ISO 9001 (upravljanje kvalitetom) ili ISO 14001 (upravljanje životnom sredinom).

 

Prikaži više
Prikaži manje
Business36.png
Loading...

Kome je dozvoljeno da sprovodi sertifikaciju prema ISO 27001?

Da bi se sertifikovao sistem menadžmenta bezbednošću informacija, odgovarajuće sertifikaciono telo mora biti akreditovano na ISO/IEC 17021 i ISO/IEC 27006. ISO/IEC 17021 reguliše teme vezane za ocenu usaglašenosti, posebno zahteve za tela koja proveravaju i sertifikuju sisteme upravljanja.

Pored toga, ISO/IEC 27006 definiše stroge zahteve koje sertifikaciona tela moraju da ispoštuju da bi sertifikovali ISMS prema ISO 27001.

Oni uključuju:

  • Dokazi o izvršenim proverama tokom audita.
  • Zahtevi za kvalifikacije auditora.

DQS je akreditovan od strane nacionalnog nemačkog akreditacionog tela DakkS (Deutsche Akkreditierungsstelle GmbH) i zato je ovlašćen da vrši audite i sertifikaciju prema ISO 27001.

Bez obzira na industriju u kojoj vaša kompanija posluje, možete se osloniti na karakterističnu stručnost DQS auditora. Oni imaju višegodišnje iskustvo u proceni sistema menadžmenta bezbednošću informacija u raznim industrijama.

Prikaži više
Prikaži manje
Business28.png
Loading...

Kako funkcioniše ISO 27001 sertifikacija?

Kada se svi zahtevi ISO 27001 primene, možete da sertifikujete svoj sistem upravljanja. Proći ćete kroz višestepeni proces sertifikacije u DQS-u. Ako je u preduzeću već uspostavljen sertifikovani sistem menadžmenta, proces se može skratiti.

U prvom koraku sa nama razgovarate o svojoj kompaniji i ciljevima ISO 27001 sertifikata. Na osnovu toga, dobićete detaljnu ponudu prilagođenu individualnim potrebama vašeg preduzeća.

Sastanak planiranja projekta može biti koristan za veće projekte. Pre-audit vam nudi mogućnost da unapred identifikujete snagu i potencijal za unapređenje sistema upravljanja. Obe usluge su opcione.

Sertifikacioni audit počinje sistemskom analizom i procenom VAŠEG ISMS-a (faza 1). Ovde vaš auditor utvrđuje da li je vaš sistem menadžmenta dovoljno razvijen i spreman za sertifikaciju. U sledećem koraku (faza 2), vaš auditor procenjuje efikasnost svih procesa upravljanja na licu mesta, primenjujući standard ISO 27001. Rezultat audita je predstavljen na završnom sastanku. Ako je potrebno, dogovoreni su akcioni planovi.

Nakon sertifikacionog audita, rezultate procenjuje nezavisni sertifikacioni odbor DQS-a. Ako su ispunjeni svi standardni zahtevi, dobićete ISO 27001 sertifikat.

Nakon uspešne sertifikacije, ključne komponente ISMS-a se ponovo nadgledaju na licu mesta najmanje jednom godišnje kako bi se obezbedilo stalno poboljšanje.

Sertifikat ISO 27001 važi najviše tri godine. Resertifikacija se vrši u pravo vreme pre isteka roka važenja kako bi se obezbedila kontinualna usklađenost sa važećim standardnim zahtevima. Po usaglašenosti, izdaje se novi sertifikat.

Banking13.png
Loading...

Koliko košta sertifikacija prema ISO 27001?

Četiri kriterijuma procene

Iako audit ISO 27001 treba da se izvrši u skladu sa strukturiranim specifikacijama, troškovi zavise od različitih faktora, kao što je složenost vaše organizacije. Stoga, ne može postojati ponuda sa paušalnom cenom za bilo koju kompaniju.

Troškovi sertifikacije prema ISO 27001 utvrđeni su prema sledeća četiri kriterijuma, između ostalih:

1. Složenost vašeg sistema menadžmenta bezbednošću informacija.

Uzimaju se u obzir kritične vrednosti (na primer patenti, lični podaci, objekti, procesi) vašeg preduzeća. Troškovi sertifikacije se zasnivaju pre svega na zahtevima informacione bezbednosti i meri u kojoj to utiče na poverljivost, integritet i dostupnost (VIV) informacija.

2. Osnovno poslovanje vašeg preduzeća u okviru ISMS-a

U ovom trenutku, rizici povezani sa vašim poslovnim procesima posebno igraju važnu ulogu u određivanju neophodnih napora za audit. Uzimaju se u obzir pravni zahtevi, kao i složeni, individualni zahtevi kupaca.

3. Glavne tehnologije i komponente korišćene u vašem ISMS-u

Tokom audita ispituje se tehnologija, kao i pojedinačne komponente vašeg ISMS-a. Među njima su IT platforme, serveri, baze podataka, aplikacije, kao i mrežni segmenti. Osnovno pravilo ovde je: Što je veća proporcija standardnih sistema i što je manja složenost vašeg IT-ja, to je manji napor. Troškovi sertifikacije ISO 27001 takođe zavise od toga.

4. Udeo "in-house" razvoja u vašem ISMS-u

Ako ne postoji unutrašnji razvoj i uglavnom koristite standardizovane softverske platforme, potrebni napor prilikom audita je manji. Ako vaš ISMS karakteriše intenzivna upotreba sopstveno razvijenog softvera i ako se ovaj softver koristi za centralne poslovne oblasti, napor za sertifikaciju će biti veći.

Da bismo mogli da vam damo pregled troškova za ISMS sertifikaciju, potrebne su nam precizne informacije o vašem poslovnom modelu i oblasti primene unapred. Na ovaj način vam možemo pružiti individualnu ponudu.

Prikaži više
Prikaži manje
Business2.png
Loading...

Šta možete očekivati od nas

  • Više od 35 godina iskustva u sertifikaciji sistema menadžmenta i procesa
  • Auditori sa bogatim iskustvom i stručnjaci sa jakim tehničkim znanjem
  • Uvidi u poslovanje vaše kompanije koji donose dodatne vrednosti
  • Međunarodno priznati sertifikati
  • Stručnost i akreditacije za sve relevantne standarde
  • Puna podrška naših specijalista - regionalno, nacionalno i međunarodno
  • Pojedinačne ponude sa fleksibilnim uslovima ugovora i bez skrivenih troškova
Contact-Europe-man-2-shutterstock_1929520355.jpg
Loading...

Zatražite ponudu

Dragana Radenković - DQS Srbija

Biće nam drago da vam damo pojedinačnu ponudu za ISO 27001 sertifikaciju vašeg ISMS-a.