Show me desktop version

Što je ISO 27001?

Jednostavan uvod u osnovne podatke

what-is-iso27001-video-thumbnailISO 27001 je međunarodni standard objavljen od strane Međunarodne Organizacije za Standardizacije (ISO) i opisuje kako upravljati informacijskom sigurnošću u tvrtkama. Najnovija inačica ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC 27001:2013. Prva revizija standarda je objavljena 2005. godine a razvijena je na temelju britanskog standarda BS 7799-2.

ISO 27001 može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja informacijskom sigurnošću u organizaciji. Također, omogućava tvrtkama dobivanje certifikata, što znači da neovisno certifikacijsko tijelo daje potvrdu da je organizacija implementirala informacijsku sigurnost sukladno ISO 27001.

ISO 27001 je postao najpopularniji standard informacijske sigurnosti u svijetu, te su mnoge kompanije certificirane prema njemu – ovdje možete vidjeti broj certifikata u posljednje dvije godine.

Izvor: The ISO Survey of Management System Standard Certifications

Kako funkcionira ISO 27001?

ISO 27001 je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u tvrtki. To se postiže prepoznavanjem koji se potencijalni problemi mogu dogoditi podacima (tj. procjena rizika), te definiranje što treba poduzeti da se takvi problemi spriječe (tj. tretman ili obrada rizika).

Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima: prepoznavanju i sustavnoj obradi rizika.

Sigurnosne mjere koje će se implementirati su obično u formi politika, procedura i tehničke primjene (npr. softvera i opreme). Međutim, u većini slučajeva tvrtke već imaju sav potreban hardver i softver ali ih koriste na nesiguran način – stoga se većina primjene ISO 27001 odnosi na uspostavu organizacijskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se spriječilo narušavanje sigurnosti.

Budući da će takva primjena zahtijevati upravljanje mnogobrojnim politikama, procedurama, ljudstvom, sredstvima itd., ISO opisuje kako uklopiti sve te elemente u sustav upravljanja informacijskom sigurnošću (ISMS).
Dakle, upravljanje informacijskom sigurnošću se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od računalnih virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku zaštitu i slično.

Pogledajte također – Temeljna logika ISO 27001: kako funkcionira informacijska sigurnost

Zašto je ISO 27001 dobar za Vašu tvrtku?

Postoje 4 ključne poslovne prednosti koje tvrtka može postići sa primjenom ovog standarda informacijske sigurnosti:

Zadovoljavanje pravnih zahtjeva – postoji sve više zakona, propisa i ugovornih zahtjeva u svezi informacijske sigurnosti, a dobra vijest je da se većina može riješiti primjenom ISO 27001 – ovaj standard vam pruža savršenu metodologiju za sukladnost sa svima njima.

Ostvarivanje marketinške prednosti – ako vaša tvrtka dobije certifikat a vaši konkurenti ne, to vam daje prednost u očima kupaca koji su osjetljivi na zaštitu svojih podataka.

Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki incident, mali ili veliki, košta – dakle, sprečavajući incidente vaša tvrtka će uštedjeti dosta novca. Najbolje od svega je da je investiranje u ISO 27001 daleko manje od uštede koju ćete ostvariti.

Bolja organizacija – obično brzorastuće tvrtke nemaju vremena da zastanu i definiraju svoje procese i procedure – a posljedica toga je da zaposlenici vrlo često ne znaju što, kada i tko treba učiniti. Primjena ISO 27001 pomaže riješiti takvu situaciju jer potiče tvrtke da napišu svoje osnovne procese (čak i one koji nisu u svezi sa sigurnošću), što im omogućava da reduciraju izgubljeno vrijeme zaposlenika.

Pogledajte također – Besplatan kalkulator povrata investicije u sigurnost

Gdje se upravljanje informacijskom sigurnošću uklapa u tvrtki? 

U biti, informacijska sigurnost je dio sveukupnog upravljanja rizicima u tvrtki, sa područjima preklapanja sa računalnom sigurnošću, upravljanjem kontinuitetom poslovanja i upravljanjem informacijskim tehnologijama.

ISO-27001-Where-does-it-fit-HR

Kako zapravo izgleda ISO 27001?

ISO/IEC 27001 je podijeljen u 11 poglavlja i Aneks A, gdje su poglavlja od 0 do 3 uvodna (i nisu obvezna za primjenu), dok su poglavlja od 4 do 10 obvezna – što znači da se svi njihovi zahtjevi moraju primijeniti u organizaciji ako želi biti sukladna standardu. Sigurnosne mjere iz Aneksa A moraju biti provedene samo ako su deklarirane kao primjenjive u Izjavi o primjenjivosti.

Sukladno Aneksu SL ISO/IEC Direktiva Međunarodne Organizacije za Standardizaciju, naslovi poglavlja u ISO 27001 su isti kao i u ISO 22301:2012, u novom ISO 9001:2015, te u drugim standardima upravljanja, što omogućava lakšu integraciju tih standarda.

Poglavlje 0: Uvod – objašnjava svrhu ISO 27001 i njegovu kompatibilnost s drugim standardima upravljanja.

Poglavlje 1: Opseg – objašnjava da je ovaj standard primjenjiv u bilo kojoj organizaciji.

Poglavlje 2: Upućivanje na druge norme –upućuje na ISO/IEC 27000 kao standard u kojemu su navedeni pojmovi i definicije.

Poglavlje 3: Pojmovi i definicije – također upućuje na ISO/IEC 27000.

Poglavlje 4: Kontekst organizacije – ovo poglavlje je dio faze planiranja u PDCA krugu (uspostava, upravljanje, pregledavanje, poboljšavanje) i definira uvjete za razumijevanje vanjskih i unutarnjih pitanja, zainteresiranih strana i njihovih zahtjeva, te definiranje opsega sustava upravljanja informacijskom sigurnošću.

Poglavlje 5: Rukovođenje – ovaj odjeljak je dio faze planiranja PDCA ciklusa i definira odgovornost top menadžmenta, određuje uloge i odgovornosti, te sadržaj krovne politike informacijske sigurnosti.

Poglavlje 6: Planiranje – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za procjenu rizika, obradu rizika, Izjavu o primjenjivosti, plan obrade rizika, te postavlja ciljeve informacijske sigurnosti.

Poglavlje 7: Podrška – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za dostupnost resursa, nadležnosti, informiranost, komunikaciju i kontrolu dokumenata i zapisa.

Poglavlje 8: Djelovanje – ovo poglavlje je dio Do faze (primjene) u PDCA krugu i definira provedbu procjene i obrade rizika, kao i sigurnosne mjere i druge procese potrebne za postizanje ciljeva informacijske sigurnosti.

Poglavlje 9: Ocjena učinaka – ovo poglavlje je dio faze pregledavanja u PDCA krugu i definira uvjete za praćenje, mjerenje, analizu, procjenu, unutarnju reviziju i pregled menadžmenta.

Poglavlje 10: Poboljšanje – ovo poglavlje je dio faze poboljšanja u PDCA krugu i definira uvjete za nesukladnosti, ispravke, korektivne mjere i trajno poboljšanje.

Aneks A – ovaj aneks nudi katalog 114 sigurnosnih mjera koje se nalaze u 14 poglavlja (poglavlja od A.5 do A.18).

Pogledajte također: Da li je PDCA krug izbrisan iz novih ISO standarda?

Kako implementirati ISO 27001?

Da biste implementirali ISO 27001 u tvrtki, morate slijediti ovih 16 koraka:

  1. Osigurati podršku top menadžmenta
  2. Koristiti metodologiju upravljanja projektima
  3. Definirati opseg sustava upravljanja informacijskom sigurnošću
  4. Napisati krovnu politiku zaštite podataka
  5. Definirati metodologiju procjene rizika
  6. Izvršiti procjenu i obradu rizika
  7. Napisati Izjavu o primjenjivosti
  8. Napisati plan obrade rizika
  9. Definirati načine mjerenja učinkovitost sigurnosnih mjera i sustava upravljanja informacijskom sigurnošću
  10. Implementirati sve primjenjive sigurnosne mjere i procedure
  11. Provesti programe obuke i informiranosti
  12. Izvršiti sve svakodnevne poslove propisane dokumentacijom vašeg sustava upravljanja informacijskom sigurnošću
  13. Pratiti i mjeriti vaš sustav upravljanja informacijskom sigurnošću
  14. Provesti interni audit
  15. Provesti pregled od strane menadžmenta
  16. Provesti korektivne mjere

Za detaljnija objašnjenja ovih koraka pogledajte Popis za implementaciju ISO 27001

Obvezna dokumentacija

ISO 27001 propisuje pisanje sljedeće dokumentacije:

  • Opseg sustava upravljanja informacijskom sigurnošću (klauzula 4.3)
  • Politika informacijske sigurnosti i ciljevi (klauzule 5.2 i 6.2)
  • Metodologija procjene i obrade rizika (klauzula 6.1.2)
  • Izjava o primjenjivosti (klauzula 6.1.3 d)
  • Plan obrade rizika (klauzule 6.1.3 i 6.2)
  • Izvješće o procjeni rizika (klauzula 8.2)
  • Definicija sigurnosnih uloga i odgovornosti (klauzule A.7.1.2 i A.13.2.4)
  • Prihvatljivo korištenje sredstava (klauzula A.8.1.3)
  • Politika kontrole pristupa (klauzula A.9.1.1)
  • Operativni postupci za upravljanje informacijskim tehnologijama (klauzula A.12.1.1)
  • Načela sigurnog sustavnog inženjeringa (klauzula A.14.2.5)
  • Politika sigurnosti dobavljača (klauzula A.15.1.1)
  • Procedura upravljanja incidentima (klauzula A.16.1.5)
  • Procedura kontinuiteta poslovanja (klauzula A.17.1.2)
  • Statutarni, regulatorni i ugovorni zahtjevi (klauzula A.18.1.1)

A ovo su obvezni zapisi:

  • Zapisi o obučavanju, vještinama, iskustvu i kvalifikacijama (klauzula 7.2)
  • Praćenje i mjerenje rezultata (klauzula 9.1)
  • Program internog audita (klauzula 9.2)
  • Rezultati internog audita (klauzula 9.2)
  • Rezultati pregleda menadžmenta (klauzula 10.1)
  • Evidencija aktivnosti korisnika, iznimki i sigurnosnih događaja (klauzule A.12.4.1 i A.12.4.3)

Naravno, tvrtka može odlučiti napisati dodatne sigurnosne dokumente ukoliko smatra da je to potrebno.

Da biste vidjeli detaljnije objašnjenje svakog od ovih dokumenata skinite besplatni white paper Popis obvezne dokumentacije prema ISO 27001 (verzija 2013)

Kako se certificirati?

Postoje dvije vrste ISO 27001 certifikata: (a) za organizacije i (b) za pojedince. Organizacije se mogu certificirati da bi dokazale sukladnost sa svim obveznim klauzulama standarda; pojedinci mogu pohađati tečaj i položiti ispit da bi dobili certifikat.

Da bi ste se certificirali kao organizacija, morate implementirati standard kako je navedeno u prethodnim poglavljima i potom proći certifikacijski audit od strane certifikacijskog tijela. Certifikacijski audit se provodi kroz sljedeće korake:

  • Faza 1 (pregled dokumentacije) – auditori će pregledati svu dokumentaciju
  • Faza 2 (glavni audit) – auditori će izvršiti audit na licu mjesta kako bi provjerili da li su sve aktivnosti tvrtke sukladne ISO 27001 i dokumentaciji sustava upravljanja informacijskom sigurnošću
  • Nadzorni posjeti – nakon izdavanja certifikata, tijekom perioda valjanosti od 3 godine, auditori će provjeriti da li tvrtka održava sustav upravljanja informacijskom sigurnošću

Pogledajte također Dobivanje ISO 27001 certifikata – kako se pripremiti za certifikacijski audit

Pojedinci mogu pohađati nekoliko tečajeva da bi dobili certifikat, a najpopularniji su:

  • ISO 27001 Lead Auditor tečaj – ovaj petodnevni tečaj će vas naučiti kako provoditi certifikacijski audit, a namijenjen je auditorima i konzultantima.
  • ISO 27001 Lead Implementer tečaj – ovaj petodnevni tečaj će vas naučiti kako implementirati standard, a namijenjen je stručnjacima za zaštitu podataka i konzultantima.
  • ISO 27001 Tečaj za interni audit – ovaj dvodnevni ili trodnevni tečaj će vas naučiti osnove standarda i kako obaviti interni audit, a namijenjen je početnicima na ovom polju, kao i internim auditorima.

Pogledajte također: Kako naučiti o ISO 27001

Revizije ISO 27001 iz 2005. i 2013. godine

Kao što je ranije rečeno, ISO 27001 je prvi put objavljen 2005. godine a revidiran 2013. godine – dakle trenutno je važeća inačica ISO/IEC 27001:2013.

Najvažnije izmjene u verziji 2013 se odnose na strukturu glavnog dijela standarda, zainteresirane strane, ciljeve, praćenje i mjerenje; a također je u Aneksu A smanjen broj sigurnosnih mjera sa 133 na 114, dok je broj poglavlja povećan sa 11 na 14. Neki zahtjevi su izbrisani iz verzije 2013, kao što su preventivne mjere i zahtjev da se dokumentiraju određene procedure.

Pogledajte također Infografiku: Nova verzija ISO 27001 2013– Što se promijenilo?

Međutim, sve te izmjene nisu zapravo mnogo promijenile standard u cjelini – njegova temeljna filozofija se i dalje bazira na procjeni i obradi rizika, a zadržane su iste faze uspostave, primjene, pregledavanja i poboljšavanja. Ova nova verzija standarda je lakša za čitanje i razumijevanje, te je mnogo jednostavnija za integriranje s drugim standardima upravljanja kao što su ISO 9001, ISO 22301, itd.

Tvrtke certificirane prema ISO/IEC 27001: 2005 moraju prijeći na novu verziju do rujna 2015. godine ukoliko žele zadržati valjan certifikat.

Ovdje pogledajte kako to učiniti: Kako prijeći sa ISO 27001 verzije 2005 na verziju 2013

Povezani standardi informacijske sigurnosti i drugi standardi

ISO / IEC 27002 daje smjernice za implementiranje sigurnosnih mjera navedenih u ISO 27001. ISO 27001 specificira 114 sigurnosnih mjera koje se mogu koristiti za smanjenje sigurnosnih rizika, a ISO 27002 može biti vrlo koristan jer daje detalje o tome kako implementirati te mjere. Prethodni naziv ISO 27002 je bio ISO/IEC 17799, a proizašao je iz britanske norme BS 7799-1.

ISO / IEC 27004 daje smjernice za mjerenje informacijske sigurnosti i dobro se uklapa s ISO 27001 jer objašnjava kako utvrditi jesu li ciljevi sustava upravljanja informacijskom sigurnošću ostvareni.

ISO / IEC 27005 daje smjernice za upravljanje rizikom informacijske sigurnosti. To je vrlo dobar dodatak ISO 27001, jer daje pojedinosti o tome kako izvršiti procjenu rizika i obradu rizika, što je vjerojatno najteža faza u implementaciji. ISO 27005 je proizašao iz britanske norme BS 7799-3.

ISO 22301 definira zahtjeve za sustave upravljanja kontinuitetom poslovanja  i jako se dobro uklapa s ISO 27001, jer poglavlje A.17 iz ISO 27001 zahtijeva implementiranje kontinuiteta poslovanja, međutim ne daje previše pojedinosti. Ovdje možete saznati više o ISO 22301…

ISO 9001 definira zahtjeve za sustave upravljanja kvalitetom – iako na prvi pogled upravljanje kvalitetom i upravljanje informacijskom sigurnošću nemaju mnogo toga zajedničkog, činjenica je da su oko 25% zahtjeva ISO 27001 i ISO 9001 isti: kontrola dokumenata, interni audit, pregled menadžmenta, korektivne mjere, postavljanje ciljeva i upravljanje nadležnostima. To znači da ako tvrtka ima implementiran ISO 9001, puno lakše će implementirati ISO 27001. Ovdje možete saznati više o ISO 9001…

dejan-circle-new

Dejan Kosutic
Vodeći ISO 27001/22301 stručnjak

Imate pitanja o bilo kojem koraku?

Besplatno razgovarajte s našim konzultantima

ZAKAŽITE BESPLATNE KONZULTACIJE

Besplatni kalkulator povrata investicije u sigurnost

Jeste li se ikada našli u situaciji da vam je rečeno kako su vaše mjere sigurnosti preskupe? Ili vam je bilo jako teško za objasniti vašem menadžmentu kakve su posljedice moguće u slučaju incidenta? Teško je dokazati da vrijedi investirati u sigurnost, ali naš Kalkulator povrata investicije u sigurnost (ROSI) vam može pomoći u tome. A potpuno je besplatan.

POGLEDAJTE KAKO FUNKCIONIRA

NAŠI KLIJENTI

NAŠI PARTNERI

  • Advisera je certificirana od strane Exemplar Global kao pružatelj TPECS za IS, QM, EM i AU kompetencijske jedinice.
  • ITIL® je registrirani zaštitni znak tvrtke AXELOS Limited. Koristi se prema licenci tvrtke AXELOS Limited. Sva prava pridržana.
  • DNV GL Business Assurance je jedan od vodećih pružatelja usluga certificiranja akreditiranih sustava upravljanja.