|
|
|
|
Konsalting i obuka za sisteme upravljanja kvalitetom
ISO/IEC 27001
Potreba za upravljanjem informacionom bezbednošću je postala ne samo delom i zakonska obaveza poslovnih subjekata, već i pitanje opšte dugotrajne i stabilne funkcionalnosti svake organizacije. Kako je u zadnjih 20-tak godina informacija postala jedna od najtraženijih „roba“ na tržištu, posebno zbog dominantnog elektronskog oblika obrade, prijenosa i pohranjivanja, nužno je došlo na svetskom i nacionalnom nvou do normativne regulacije pitanja vezanih za informacionu bezbednost.
Kao početak problema borbe za informaciounu bezbednost treba odmah razjasniti šta se podrazumeva pod pojmom informacija. U raznoj literaturi se sreće niz definicija koje su manje ili više slične, ali za ove potrebe može se pojednostavljeno reći da je „informacija svaki podatak koji ima neku vrednost za onoga ko ga zna“. Kako je fizički sama informacija „apstraktna stvar“, teško se može uporediti sa klasičnim materijalnim sredstvima za koja je relativno jednostavno organizirati čuvanje i zaštitu.
No svaka informacija se:
- čuva u nekom obliku (zapis na papiru, na CD/DVD medijima, tvrdim diskovima, u glavama – pamćenju zaposlenika i partnera, itd);
- prenosi (telefoni, telefaksi, kompjuterske mreže, pisma, itd);
- obrađuje (u kompjuteru, kod partnera, ručnim manipulacijam zaposlenih, itd), te daje na upotrebu raznim korisnicima.
To upućuje na činjenicu, da ako se uvedu određene kontrole na oblike prenosa, čuvanja, obrade i distribucije informacija, posredno će biti i informacija zaštićena. U standardu ISO 27001:2005 se kaže da je “Informacija imovina koja kao i ostala važna imovina u poslovanju ima vrednost za organizaciju i mora biti stalno odgovarajuće štićena.”
Upravo taj standard ISO 27001 definiše šta bi sve organizacija trebala da poduzme da bi se osiguralo štićenje, odnosno zaštita informacija. U samom standardu ISO27001:2005 ima 11 klauzula, odnosno poglavlja, i 133 kontrole čime se sveobuhvatno, na današnjem nivou saznanja i tehnologije predlaže šta bi se sve trebalo preduzimati u cilju zaštite informacija.
Ako se želi certfikovati ISMS koristi se standard ISO 27001:2005 koji kaže šta organizacija mora sprovesti da bi se javno priznao organizirani i upravljani sistem bezbednosti informacija. Standard ISO27001:2005 je skup zahteva koje organizacija mora ispuniti da bi se priznao certifikat za informaciounu bezbednost.
Implementacija ISMS u organizaciju
Implementacija standarda ISO27001:2005 u organizaciju obavezno mora da obuhvati: određivanje opsega i granice ISMS, definiranje politike ISMS, evidenciju imovine (za čuvanje, prenos i obradu informacija), procenu rizika, definisanje dokumenta „Izjava o prihvatljivosti“ (SoA), prihvatanje i odobrenje uprave, priprema dokumentacije, implementacija ISMS, planiranje i provođenje treninga i podizanja svesti o bezbednosti informacija, izrada procedura za upravljanje incidentima i kontinuitetom poslovanja, sprovođenje monitoringa (pregleda i testiranja), audit, kao i identifikaciju i implementaciju poboljšanja.
Standard ISO27001:2005 harmonizovan je sa standardom ISO9001:2008, što omogućava integraciju, ali implicira da sve što se nalazi u nekim poglavljima ISO9001:2008 mora se isto primeniti i u implementaciji standarda ISO27001:2005.