Definisanje osetljivih podataka i bezbednost informacija
Bezbednost kao deo korporativne kulture
Efikasna implementacija procesa upravljanja rizicima
Stalno poboljšanje nivoa bezbednosti
Informacije nas okružuju svuda i deo su svakog procesa. Ponekad su to možda manje bitne informacije, ali prečesto je reč o kritičnim i poverljivim podacima. Da biste napravili ovu važnu razliku za vašu organizaciju, neophodno je da klasifikujete informacije. Stoga se zaštitne mere sistema menadžmenta bezbednošću informacija (ISMS) prema ISO/IEC 27001 zasnivaju upravo na ovoj klasifikaciji.
ISMS kreira okvir za zaštitu operativnih podataka i njihove poverljivosti. Istovremeno, globalno priznati standard obezbeđuje dostupnost IT sistema uključenih u korporativne procese. U tom kontekstu, ISO 27001 sertifikacija šalje snažan signal tržištu: uspešno sproveden nezavisni eksterni audit je potvrda efikasnosti vašeg ISMS-a.
Sa EN ISO/IEC 27001:2017-06 objavljena je verzija koju koordinira Evropski komitet za standardizaciju (CEN). Kombinuje dve ispravke (corrigenda) Cor 1:2014 i Cor 2:2015. Promene povezane sa ispravkom uključuju samo poboljšani opis pridruženih zahteva, ali ne i nove, dodatne zahteve. Sertifikati prema verziji ISO/IEC 27001:2013 tako zadržavaju svoju ispravnost.
U Nemačkoj, na primer, kompanije koje pripadaju Sektoru kritične infrastrukture (KRITIS) i prelaze cenzus moraju da pruže dokaze o tome kako obezbeđuju svoju bezbednost informacija. Za očekivati je da će se slična zakonska regulativa u budućnosti naći na snazi i kod nas i obuvhataće na primer energetiku, vodoprivredu, zdravstvo, finansije i osiguranje, hranu, transport i saobraćaj, informacione tehnologije i telekomunikacije. Odgovarajući dokazi o implementaciji mogu da obezbede bezbednosne kontrole, testovi ili sertifikati. U tu svrhu, ili priznati standardi kao što je ISO 27001 ili, alternativno, bezbednosni standardi specifični za industriju koje prepoznaje nemačka Federalna kancelarija za bezbednost informacija (BSI) mogu se koristiti kao osnova za proveru.
Posebnu važnost u praksi ima primena mera u Aneksu A standarda. Pored odeljka o sistemski orijentisanim zahtevima menadžmenta (poglavlja od 4 do 10), ISO standard sadrži opsežnu listu od 35 ciljeva mera (kontrola) sa 114 konkretnih mera za najrazličitije bezbednosne aspekte u 14 poglavlja u Aneksu A. Mere moraju da se sprovedu u okviru sistema menadžmenta, kao njegov deo, jer su relevantne za vašu kompaniju.
Dokazana je dosledna usaglašenost procesa kompanije sa zahtevima ISO 27001 što dovodi do brojnih prednosti:
Interni auditi i provere menadžmenta uz učešće najvišeg rukovodstva su unutrašnje poluge za postizanje ovih ciljeva.
Zainteresovane strane kao što su nadzorni organi, osiguravajuće kuće, banke, partnerske kompanije grade viši nivo poverenja u vašu kompaniju. Do ovoga dolazi zato što sertifikovani sistem menadžmenta signalizira da se vaša organizacija bavi rizicima na strukturiran način i da je orijentisana na stalno usavršavanje (CIP), što je čini otpornijom na neželjene uticaje.
Međunarodni standard ISO/IEC 27001 takođe može da se primeni, upravlja i sertifikuje nezavisno od drugih sistema menadžmenta kao što su ISO 9001 (upravljanje kvalitetom) ili ISO 14001 (upravljanje životnom sredinom).
Pored toga, ISO/IEC 27006 definiše stroge zahteve za sertifikaciona tela, koja moraju da ispoštuju da bi sertifikovali ISMS prema ISO 27001.
Oni uključuju:
DQS je akreditovan od strane nemačkog nacionalnog akreditacionog tela DAkkS (Deutsche Akkreditierungsstelle GmbH), čime je ovlašćen da vrši audite i sertifikaciju prema ISO 27001.
Bez obzira na industriju u kojoj vaša kompanija posluje, možete se osloniti na karakterističnu stručnost DQS auditora koji imaju višegodišnje bogato iskustvo u ocenjivanjima sistema menadžmenta bezbednošću informacija u raznim industrijama.
Kada se svi zahtevi ISO 27001 primene, može se početi sertifikacija sistema upravljanja. Proći ćete kroz višestepeni proces sertifikacije u DQS-u. Ako je u preduzeću već uspostavljen sertifikovani sistem menadžmenta, proces pripreme se može skratiti i olakšati integracijom više sistema upravljanja.
U prvom koraku, razgovaraćemo o vašoj kompaniji i ciljevima ISO 27001 sertifikacije, o rezultatima koje želite da postignete. Na osnovu toga, dobićete detaljnu ponudu prilagođenu individualnim potrebama vašeg preduzeća.
Sertifikacioni audit počinje sistemskom analizom i ocenom ISMS-a (faza 1). Ovde DQS auditor utvrđuje da li je sistem menadžmenta dovoljno razvijen i spreman za sertifikaciju. U sledećem koraku (faza 2), auditor procenjuje efikasnost svih procesa upravljanja na licu mesta, primenjujući zahteve standarda ISO 27001. Rezultati audita se prezentuju na završnom sastanku. Ukoliko je potrebno, dogovaraju se akcioni planovi i rokovi za otklanjanje nađenih neusaglašenosti.
Nakon sertifikacionog audita, vodeći ocenjivač kompletira sve rezultate provere i šalje na pregled i odobrenje nezavisnom sertifikacionom odboru DQS-a. Ako su ispunjeni svi zahtevi standarda, izdaje se ISO 27001 sertifikat sa trogodišnjim važenjem.
Nakon uspešne sertifikacije, ključne komponente ISMS-a se ponovo nadgledaju na licu mesta najmanje jednom godišnje kako bi se obezbedilo stalno poboljšanje.
Sertifikat ISO 27001 važi najviše tri godine. Resertifikacija se vrši u pravo vreme pre isteka roka važenja kako bi se obezbedila kontinualna usaglašenost sa važećim zahtevima standarda. Po verifikaciji usaglašenosti, izdaje se novi trogodišnji sertifikat.
Troškovi sertifikacije prema ISO 27001 utvrđeni su prema sledeća četiri kriterijuma, između ostalih:
1. Složenost vašeg sistema menadžmenta bezbednošću informacija.
Uzimaju se u obzir kritične vrednosti (na primer patenti, lični podaci, objekti, procesi) vašeg preduzeća. Troškovi sertifikacije se zasnivaju pre svega na zahtevima bezbednosti informacija i meri u kojoj to utiče na poverljivost, integritet i dostupnost (VIV) informacija.
2. Osnovno poslovanje vašeg preduzeća u okviru ISMS-a
U ovom trenutku, rizici povezani sa vašim poslovnim procesima igraju posebno važnu ulogu u definisanju neophodnog trajanja audita. Uzimaju se u obzir pravni zahtevi, kao i složeni, individualni zahtevi kupaca.
3. Glavne tehnologije i komponente korišćene u vašem ISMS-u
Tokom audita ispituje se tehnologija, kao i pojedinačne komponente vašeg ISMS-a. Među njima su IT platforme, serveri, baze podataka, aplikacije, kao i mrežni segmenti. Osnovno pravilo ovde je: Što je veća proporcija standardnih sistema i što je manja složenost vašeg IT-ja, to je manji napor. Troškovi sertifikacije ISO 27001 takođe zavise od toga.
4. Udeo "in-house" razvoja u vašem ISMS-u
Ukoliko ne postoji proces razvoja, i uglavnom koristite standardizovane softverske platforme, potrebni napor prilikom audita je manji. Ako vaš ISMS karakteriše intenzivna upotreba sopstveno razvijenog softvera i ovaj softver se koristi za centralne poslovne oblasti, napor za sertifikaciju će biti veći.
Da bismo mogli da definišemo pregled troškova za ISMS sertifikaciju, potrebne su nam precizne informacije o vašem poslovnom modelu i oblasti primene unapred. Na ovaj način vam možemo pružiti individualnu realnu ponudu.
