SPRING DISCOUNT
Get 30% off on toolkits, course exams, and books.
Limited-time offer – ends May 26, 2022
Use promo code:
SPRING30
  • (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Informacijska sigurnost ili IT sigurnost?

    Broj mjera ažuriran je prema ISO 27001:2013.

    Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

    Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

    Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

    Zato svojim klijentima uvijek kažem – IT sigurnost čini samo 50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

    Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

    Norma ISO 27001 u Aneksu A nudi 114 mjera – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

    • mjere vezane za IT: 37%
    • mjere vezane za organizaciju/dokumentaciju: 36%
    • mjere fizičke sigurnosti: 13%
    • pravna zaštita: 4%
    • mjere vezane za odnose s dobavljačima i kupcima: 5%
    • mjere upravljanja ljudskim resursima: 5%

    Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

    Pogledajte ovaj besplatni online trening ISO 27001 Foundations Course da saznate više o ISO 27001.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Povežite se s Dejan: