O ISO 27001 / ISO 22301 / BS 25999-2 standardima

Što je ISO 27001?

ISO 27001 je međunarodni standard objavljen od strane Međunarodne organizacije za standardizaciju (ISO), koji definira sustave informacijske sigurnosti. Njegov puni naziv je ISO/IEC 27001:2013. Ovaj standard je proizašao iz britanske norme BS 7799-2, a prvi put je objavljen kao ISO/IEC 27001:2005. Danas je to vodeći međunarodni standard za informacijsku sigurnost. Saznajte više…

Što se postiže implementiranjem ISO 27001?

Implementiranjem ISO 27001 smanjuju se rizici povezani s povjerljivošću, dostupnošću i integritetom informacija u organizaciji. Također pomaže organizaciji da ostvari sukladnost propisima koji reguliraju zaštitu povjerljivih podataka, zaštitu informacijskih sustava, zaštitu osobnih podataka itd., koji već postoje u većini zemalja. Na koncu, implementacija standarda će umanjiti troškove poslovanja zbog manje incidenata, te unaprijediti marketing zbog publiciteta koji standard nosi sa sobom. Saznajte više…

Koja je razlika između ISO 27001 i ISO 27002?

Međunarodni standard ISO 27001 (puni naziv: ISO/IEC 27002:2013) definira smjernice za implementaciju kontrola navedenih u ISO 27001. ISO 27001 specificira 114 kontrola koje se mogu koristiti za umanjenje sigurnosnih rizika, a ISO 27002 detaljno objašnjava kako implementirati te kontrole. Organizacije se mogu certificirati prema ISO 27001, ali ne i prema ISO 27002. Prethodni naziv ISO 27002 je bio ISO/IEC 17799, a proizašao je iz britanske norme BS 7799-1. Saznajte više…

Što je BS 25999-2?

Ovo je bila britanska norma s punim nazivom BS 25999-2:2007, koja je definirala sustave upravljanja kontinuitetom poslovanja. Ova norma je 2012. godine zamijenjena standardom ISO 22301. Saznajte više…

Zašto spominjete ISO 27001 i ISO 22301 zajedno?

ISO 27001 definira upravljanje informacijskom sigurnošću što uključuje i upravljanje kontinuitetom poslovanja. Međutim, ni ISO 27001 niti ISO 27002 ne opisuju kako treba implementirati upravljanje kontinuitetom poslovanja, tako da je za to najbolje koristiti ISO 22301 (bivši BS 25999-2). Nadalje, ISO 27001 i ISO 22301 sadrže elemente koji su gotovo identični (upravljanje dokumentacijom, interni auditi, pregled od strane menadžmenta, korektivne i preventivne mjere), tako da su ova dva standarda u potpunosti kompatibilna. Saznajte više…

Da li je moguće implementirati ISO 22301 bez ISO 27001?

Da – u tom slučaju naglasak će biti na tome kako osigurati dostupnost informacija i poslovnih procesa u slučaju katastrofe itd., ali ne i kako osigurati povjerljivost i integritet podataka.

Implementirali smo ISO 9001; da li se dio toga može iskoristiti za ISO 27001/ISO 22301?

Apsolutno! Neki dijelovi ISO 27001/ISO 22301 (bivši BS 2599-2) i ISO 9001 su praktički isti, tj. upravljanje dokumentacijom, interni auditi, pregled od strane menadžmenta i korektivne mjere. Ako se navedene procedure već koriste za ISO 9001, mogu se koristiti i za ISO 27001/ISO 22301 uz minimalne izmjene. Drugim riječima, organizacije koje su već implementirale ISO 9001 će imati lakši posao s implementacijom ISO 27001/ISO 22301 (i obratno). Saznajte više…

Koliko vremena je potrebno za implementaciju ISO 27001/ISO 22301?

To ovisi o velikom broju faktora, ali općenito je manjim organizacijama možda potrebno 3 do 6 mjeseci, organizacijama s do 500 uposlenika je potrebno 8 do 12 mjeseci, a većim organizacijama 12 mjeseci ili više. Idite na Kalkulator trajanja implementacije da preciznije izračunate vrijeme potrebno za implementaciju.

Da li ISO 27001/ISO 22301 mora biti implementiran u cijeloj organizaciji?

Ne. Moguće je odrediti opseg implementacije za samo jedan dio organizacije, što ima smisla u slučaju većih organizacija koje posluju na različitim lokacijama i/ili u različitim zemljama. Za manje organizacije koje posluju na manje lokacija je mnogo bolje da implementiraju standard u cijeloj organizaciji. Saznajte više…

Čuli smo da uz ISO 27001 dolazi opsežna dokumentacija koja samo usporava svakodnevno poslovanje – da li je to točno?

Točno je da ISO 27001 zahtijeva određene obvezne dokumente, ali njihov broj ovisi o veličini i kompleksnosti organizacije – manja organizacija bez velikih sigurnosnih zahtjeva će trebati svega desetak dokumenata; dok će veća banka možda trebati nekoliko stotina dokumenata. Prilikom izrade dokumentacije važno je definirati samo ona pravila koja su zaista potrebna organizaciji, kako se ne bi usporavalo poslovanje. Ovdje možete pronaći popis potrebnih dokumenata.

Da li su IT sigurnost i informacijska sigurnost jedno te isto?

Ne. IT sigurnost je sastavni dio informacijske sigurnosti – IT sigurnost uključuje npr. procedure sigurnosnih kopija ili upotrebu firewall-a, dok informacijska sigurnost također uključuje definiranje sigurnosnih uloga i odgovornosti, operativnih procedura, treninga i osviješćenosti, pravne odnose s uposlenicima i dobavljačima, fizičku sigurnost itd. IT sigurnost obično čini 50% informacijske sigurnosti. Saznajte više…

Koliko košta implementiacija ISO 27001?

Gotovo je nemoguće izračunati troškove prije provedbe procjene rizika i Izjave o primjenjivosti. Većina troškova se obično ne odnosi na hardver ili softver, već na razvoj procedura i njihovu primjenu, trening i podizanje osviješćenosti uposlenika, certifikaciju itd. Troškovi također ovise o veličini organizacije, ali je dobro znati da ne moraju sve kontrole biti odmah implementirane već da implementacija pojedinih kontrola može biti odgođena. Saznajte više…

Certifikacija prema ISO 27001 / ISO 22301 / BS 25999-2

Možemo li dobiti certifikate za ova tri standarda putem vaše internet stranice?

Ne. 27001Academy samo pruža dokumentaciju, trening i podršku tijekom implementacije informacijske sigurnosti i kontinuiteta poslovanja, i može vam pomoći da uspješno završite sve korake do certifikacije. Certifikacija je, pak, u rukama akreditiranih certifikacijskih tijela.

Što je potrebno za dobivanje ISO 27001 ili ISO 22301 certifikata?

Morate imati sve dokumente propisane standardom, i provesti barem jedan interni audit i jedan pregled od strane menadžmenta. Ali najvažnije je da zaista morate implementirati zahtjeve standarda i zahtjeve propisane vašom dokumentacijom – tijekom certifikacije auditor će provjeriti do koje mjere je sustav upravljanja informacijskom sigurnošću i/ili kontinuitetom poslovanja zaživio u vašoj organizaciji. Saznajte više…

Auditor je otkrio veliku nesukladnost tijekom certifikacijskog audita. Da li to znači da smo izgubili sve šanse za dobivanje certifikata?

Ne. Ukoliko otklonite nesukladnost, certifikacijsko tijelo će vam izdati certifikat. Neophodno je da otklonite takvu nesukladnot u zadanom roku i na način koji je prihvatljiv za auditora. Saznajte više…