ISO 22000 HACCP – SISTEM MENADŽMENTA ZA BEZBEDNOST HRANE
07.10.2015
ISO 26000 – KORPORATIVNA DRUŠTVENA ODGOVORNOST
07.10.2015

ISO 27001 :2013 – SISTEM MENADŽMENTA ZA BEZBEDNOST INFORMACIJA

ISO 27001 – Standard za „vek znanja“

ISO 27001 –  Postali smo svedoci da je krajem dvadesetog veka na svetsku poslovnu scenu poseban trag ostavio nagli razvoj informacionih tehnologija, čime je industrijalistički period razvijanja mašina i tehnologija zamenjen periodom informacija i globalnih sistema. Već početkom trećeg milenijuma , informacione tehnologije imaju toliku rasprostranjenost da se u velikom delu ekonomski razvijenog sveta, savremena informaciona rešenja koriste bukvalno na svakom koraku. To je dovelo do otvaranja novog perioda koga nazivamo „vek znanja“. Znanje proizilazi iz informacije na šta ukazuje i definicija znanja kao „obim informacija, opažanja ili razumevanja koje poseduje neka ličnost“. Takođe je prihvatljiva definicija znanja sa stanovišta obrade znanja i to je da je znanje „formalizovana informacija,na koju se poziva ili koja se koristi u procesu zaključivanja“. Ili je ipak najprikladnija definicija znanja: „znanje su podaci plus „znanje“ o značenju tih podataka“, odnosno znanje je uvek povezano sa procedurama korišćenja tog znanja. Sa druge strane, u literaturi je najčešće isticana i sa stanovišta sistema najprihvatljivija i definicija informacije u kojoj se navodi da je „informacija mera organizacije isto kao što je entropija mera dezorganizacije“.

Imajući ovo u vidu može se jasno istaći značaj bezbednosti informacija, jer je to bezbednost, odnosno čuvanje znanja kao suštinskog resursa za današnje poslovne sisteme. U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac, opstanak i prestiž na tržištu. U pravcu obezbeđenja, odnosno ostvarenja bezbednosti organizacionog znanja ili informacija usvojen je standard ISO 27001 u kojem su specificirani zahtevi koje organizacija treba da poštuje da bi ostvarila sistem za zaštitu informacija.

ISO 27001 – Sistemi upravljanja bezbednošću informacijama – Zahtevi

ISO 27001

Britanski institut za standardizaciju (BSI) je početkom devedesetih godina, postavio osnove za razvoj standarda za zaštitu informacija. Razvoj ovog standarda je značajno podstaknut sve izraženijim zahtevima organizacija u svetu, u pravcu bezbednosti informacija.

Komponente sistema za bezbednost informacija

Inicijalna verzija teksta standarda za sistem upravljanja bezbednošću informacija BS 7799 se usvaja 1995. godine, a svoju prvu zvaničnu reviziju doživljava 1998. godine

Veoma brzo, prateći izrazito brz razvoj Internet-a i brzih računarskih mreža BSI objavljuje i drugi deo standarda BS 7799.

Međunarodna organizacija za standardizaciju ISO prihvata ove standarde pod svoje okrilje i oni konačno u junu 2005. godine objavljuju drugu verziju standarda pod nazivom ISO 17799 Informacione tehnologije – bezbednost tehnike – Načela upravljanja bezbednošću informacija. U oktobru 2005. godine objavljuju standard ISO 27001 pod nazivom Informacione tehnologije – Sistemi upravljanja bezbednošću informacija – Zahtevi.

Dakle standard ISO 27001 je kompatibilan sa standardom ISO 9001 i po ovom modelu se posle ispunjenja u njemu definisanih zahteva može sprovesti sertifikacija sistema od strane ovlašćenih sertifikacionih tela.

Kratak pregled sadržaja standarda ISO 27001

Standard ISO 27001 je koncipiran u pet poglavlja i to:

1. Poglavlje 4: Sistem za upravljanje bezbednošću informacija (ISMS)
2. Poglavlje 5: Odgovornost rukovodstva
3. Poglavlje 6: Interna provera ISMS
4. Poglavlje 7: Preispitivanje ISMS od strane rukovodstva i
5. Poglavlje 8: Unapređenje ISMS.

Model standarda ISO 27001

Osnovni pojmovi vezani za sistem bezbednosti informacija dati su u tački 3. standarda ISO 27001. Evidentno je da se tokom razvoja ovog standarda težilo na njegovoj kompatibilnosti sa standardom ISO 9001. U tom pravcu u ovom standardu je jasno istaknut i model standarda kroz P-D-C-A ciklus stalnog unapređenja.

Politika sistema menadžmenta za bezbednost informacija (ISO 27001), zajedno sa ciljevima sistema menadžmenta za bezbednost informacija i definisanim merama na unapređenju sistema u pogledu poboljšanja bezbednosti informacija, čine “Plan-Planiraj” deo sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001. Na osnovu iskazanih zahteva korisnika i kroz uspostavljanje politike ISMS organizacija, ulazi u fazu uspostavljanja odnosno planiranja sistema za upravljanje bezbednošću informacija (ISO 27001). U ovoj fazi se sprovode i aktivnosti na definisanju kriterijuma za ocenu rizika, definiše se prilaz i metodologija za ocenu rizika, definišu se nivoi prihvatljivosti rizika i dr.

ISO 27001 PDCA

Model sistema menadžmenta za bezbednost informacija (ISO 27001) zasnovan na PDCA ciklusu.

Sledeća faza je sprovođenje planiranog, odnosno akcije na primeni prethodno odabranih upravljačkih mehanizama i ciljeva, izrada, uvođenje i primena plana snižavanja rizika, obuka za ostvarivanje svesti o primeni ISMS, upravljanje resursima ISMS i dr. Struktura i odgovornosti, obuka, kompetentnost i svest, dokumentacija i kontrola dokumenata, kontrola nad operacijama i spremnost na reagovanje u vanrednim situacijama i odgovor na njih čine „Do-Uradi“ deo sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001.

Treća faza je preispitivanja ISMS-a na osnovu definisanih procedura za preispitivanje, merenje efektivnosti upravljačkih mehanizama, sprovođenja internih provera, ažuriranje planova za snižavanje rizika i dr. Deo „Check-Proveravanje“ sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001 se sastoji od praćenja i merenja, vrednovanja usaglašenosti, korektivnih i preventivnih akcija, upravljanja zapisima i internih provera sistema.

I na kraju, „Act-Deluj“ deo sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001 se ostvaruje kroz preispitivanje od strane rukovodstva koje zaokružuje ceo ciklus performansi sistema menadžmenta i vraća ga na planiranje koje treba da rezultuje kontinualnim poboljšanjem. Kao završna faza u ovom kontinualnom ciklusu poboljšavanja egzistira faza održavanja i poboljšavanja ISMS-a koja se sprovodi kroz uvođenje poboljšavanja, preuzimanje korektivnih i definisanju preventivnih mera, provera dali su sprovedena poboljšavanja održiva i dr.

Zašto ISO 27001 ?

globe[1]

Standard ISO 27000 je značajan standard za organizacije koje se bave uslugama u oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i potrebom za očuvanje poverljivosti informacija. Njegova implementacija i primena omogućavaju bolju saradnju sa sličnim organizacijama širom sveta koje posluju po ovom modelu. Ovim standardom (ISO 27001), organizacije demonstriraju svojim korisnicima i ostalim zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa sigurnosti i da je poslovna politika usmerena na stalna poboljšavanja u sistemu menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa njim.

Sertifikacija sistema koji ispunjava zahteve ovog standarda obezbeđuje konkurentnu prednost nad organizacijama koje još uvek nisu prihvatile ovaj standard.

Organizacione dobiti od primene standarda ISO 27001

Značajne su koristi koje model za uređenje sistema za bezbednost informacija ISO 27001 ostvaruje organizacijama koje se odluče da ga implementiraju, pre svega u smislu poboljšavanja svojih organizacionih performansi. Izvesno je da ovaj model predstavlja najbolju praksu u oblasti zaštite i bezbednosti informacija koja je pretočena u zahteve standarda.
Implementacijom ISO 27001 standarda i sertifikacijom takvog sistema, organizacije ostvaruju brojne dobiti od kojih su neke:

♦ kod potencijalnih ili postojećih korisnika se stvara poverenje u informacioni sistem u organizaciji čime se sa korisnicima ostvaruju poverljivije i čvršće relacije,
♦ obezbeđuje se da organizacija ima potpuno komplementaran sistem sa pravnom regulativom koja je vezana za informacione tokove jer se radi o standardu koji ima jasnu fleksibilnost u tom pravcu,
♦ obezbeđuje se sistem koji je usmeren na jasna kontinualna poboljšavanja procesa kojima se obezbeđuje informaciona sigurnost,
♦ ovim sistemom se ostvaruje transparentnost u pružanju usluga i menadžment na visokom nivou,
♦ obezbeđuje se i sistem koji je posebno orijentisan na upravljanje rizikom i kroz upravljačke aktivnosti, smanjenje rizika na dozvoljenu i minimalnu meru,
♦ obezbeđuje se naprednije razumevanje informacionih tokova u organizaciji čime se ostvaruje značajna dobit i u delu razumevanja i poboljšavanja poslovnih procesa,
♦ ostvaruje se mehanizam za jasno vidljive i opipljive dokaze o smanjenju troškova kroz bolji menadžment rizikom i smanjenje značaja uzročnika grešaka u organizaciji,
♦ ostvaruje se bolja analiza troškovi/dobiti,
♦ ostvaruje se lakši proces monitoringa kroz smanjenje radnih napora i primenu recimo sistema samo provere,
♦ moguće je povećati preventivno dejstvo kroz na primer smanjenje »uskih grla« u mreži ili kroz analizu zaštićenih i sačuvanih ranijih podataka o procesima,
♦ smanjenje incidenata i bolje razumevanje uzročnika,
♦ razvija se svest zaposlenih u smislu značaja zaštite informacija,
♦ obezbeđuje se jasan protok i raspoloživost informacija i dr.

Tendencije primene standarda ISO 27001

Savremeni trendovi koji se ogledaju u globalizaciji tržišta i uniformnosti, odnosno težnji za standardizacijom aktivnosti u oblasti sistema menadžmenta, nameće potrebu i obavezu da se i u našim uslovima i okruženjima sprovedu koraci u pravcu istraživanja, implementacije, održavanja i unapređenja sistema menadžmenta.

U pravcu ostvarivanja efektivnih i efikasnih sistema za menadžment u oblastima IT usluga, neophodno je koristiti model ISO 27000 – Sistem menadžmenta za bezbednost informacija i zahteve koji su u njemu specificirani. Time se ostvaruje konkurentska prednost u odnosu na organizacije koje ne primenjuju ove norme.

Pored ovih prednosti, u radu je ukazano na mnoge druge koje organizacije izdižu na veće nivoe. U vremenu izrazitog rasta količine informacija i znanja u organizacijama i u njihovoj komunikaciji sa korisnicima, za potrebe bezbednosti informacija i potrebe sticanja korisničkog poverenja, neophodno je koristiti zahteve modela ISO 27001.

Zajedničkim delovanjem ISO 27001 uz podršku modela ISO 9001 ostvaruje se sistem za bezbednost informacija sa punim poverenjem i usaglašenošću sa pravnim normama okruženja.

Nazad na portfolio