ODJEL ZA INFORMACIJSKU SIGURNOST - Zavod za ispitivanje kvalitete d.o.o.

Što je ISMS?

Sustav upravljanja informacijskom sigurnošću (en. ISMS = Information Security Information System) je integralni element sveukupnog upravljanja organizacijom, koji na temelju rezultata procjene rizika odnosno relevantnih zahtjeva na informacijsku sigurnost (npr. zakonska regulativa), osigurava planiranje, implementaciju, izvršavanje, nadzor, održavanje i poboljšavanje informacijske sigurnosti (zaštite informacija).

ISMS se najčešće promatra jednako kao i program upravljanja informacijskom sigurnosti, a uključuje odgovarajuće organizacijske strukture (funkcije, odbore i sl.), odgovornosti za sigurnost, dokumentaciju (politike, procedure, radne upute, zapise i sl.), procese (npr. procjena rizika) i druge resurse kojima se osigurava ostvarivanje ciljeva informacijske sigurnosti na zadovoljstvo svih zainteresiranih strana..

Sustav upravljanja informacijskom sigurnošću implementira se prema zahtjevima norme ISO/IEC 27001:2005 (u nastavku ISO 27001) i danas je jedini sveobuhvatni i međunarodno prihvaćeni način upravljanja informacijskom sigurnošću koji se kao takav prema istoimenoj normi može i certificirati.

Što je BCMS?

Slično kao i ISMS, sustav upravljanja kontinuitetom poslovanja (en. BCMS = Business Continuity Management System) je integralni element sveukupnog upravljanja organizacijom, samo što je njegov primarni cilj osiguranje kontinuiteta poslovanja (na razini poslovnih procesa, ljudskih resursa, informacijske imovine odnosno informacijskih sustava).

Kontinuitet poslovanja postiže se uspostavom politike kontinuiteta poslovanja, dodjelom uloga i odgovornosti za kontinuitet poslovanja, utvrđivanjem ciljnih vremena oporavka za poslovne procese i informacijske sustave (u slučaju katastrofe), utvrđivanjem prikladnih strategija kontinuiteta (odnosno načina oporavka), obukom i podizanjem svijesti o kontinuitetu poslovanja te izradom, testiranjem, provjerom i održavanjem planova kontinuiteta poslovanja odnosno planova oporavka od katastrofe.

Sustav upravljanja kontinuitetom poslovanja implementira se prema zahtjevima standarda BS 25999-2:2007 (u nastavku BS 25999). Sustav (BCMS) se također prema istoimenoj normi može certificirati.

Što je ISO 27001?

ISO 27001 je ISO standard za područje upravljanja informacijskom sigurnošću, koji sadrži specifikaciju zahtjeva na sustav upravljanja informacijskom sigurnošću, a prema kojima se može izvršiti i certifikacija sustava. ISO 2700x porodica standarda uključuje (osim specifikacije zahtjeva) i sljedeće standarde odnosno smjernice:

• ISO/IEC 27000 - Pregled i riječnik
• ISO/IEC 27002 - Kodeks postupaka (najbolje prakse)
• ISO/IEC 27004 - Smjernice s prikazom načina mjerenja učinkovitosti ISMS-a odnosno pratećih metrika
• ISO/IEC 27005 - Smjernice za upravljanje rizikom informacijske sigurnosti
• ISO/IEC 27006 - Smjernice za proces certifikacije / registracije

Što je BS 25999?

BS 25999 je BSI-ov standard za područje upravljanja kontinuitetom poslovanja koji se sastoji od 2 dijela : "BS 25999-1:2006 Business Continuity Management. Code of Practice" i "BS 25999-2:2007 Specification for Business Continuity Management". BS 25999-2:2007 sadrži specifikaciju zahtjeva na sustav upravljanja kontinuitetom poslovanja, a prema kojima se može izvršiti i certifikacija sustava.

Da li je ISO 27001 norma namijenjena jedino ICT tvrtkama?

Nikako, norma pokriva sve vrste organizacija, bez obzira na ciljeve, vlasništvo i djelatnost (profitne, neprofitne, javne odnosno državne, privatne itd.)

Što je ISO 27001 certifikat?

ISO 27001 certifikat je potvrda neovisne ovlaštene certifikacijske kuće da je organizacijski ISMS sukladan zahtjevima ISO 27001 norme.

Da li uvođenje ISMS-a podrazumijeva dobivanje ISO 27001 certifikata?

Ne. Uvođenje ISMS-a podrazumijeva usklađivanje organizacije prema zahtjevima ISO 27001 norme. Ukoliko organizacija želi certificirati svoj ISMS, usklađenost sa zahtjevima provjerava neovisna ovlaštena certifikacijska kuća, na osnovu čega (dokazi) se izdaje ISO 27001 certifikat za određeni opseg ISMS-a organizacije.

Što je certifikacijska revizija?

Certifikacijska revizija je postupak provjere usklađenosti sustava upravljanja (ISMS-a, BCMS-a itd.) sa zahtjevima norme odnosno standarda. Certifikacijsku reviziju može provoditi jedino ovlaštena (akreditirana) certifikacijska kuća.

Sukladnost sa ISO 27001 zahtjevima se utvrđuje provjerom dokumentacije i zapisa (postoji li Politika informacijske sigurnosti, postoje li zapisi o izradi sigurnosnih kopija itd.), opažanjem aktivnosti (izvođenje procesa, npr. otvaranje korisničkog računa), pregledom okoline (npr. provjera da li se u sistem sali nalaze zapaljivi materijali, da li su implementirane kontrole fizičkog pristupa itd.), intervjuiranjem odgovornih osoba (npr. da li je djelatnik upoznat s sadržajem Politike informacijske sigurnosti) itd. Po uspješnom završetku certifikacijske revizije izdaje se ISO 27001 certifikat.

Da li je ISMS potrebno certificirati?

Certifikacija ISMS-a nije obvezna. Unatoč tome, organizacija ne može tvrditi da je njezin ISMS sukladan zahtjevima ISO 27001 norme bez prethodne uspješne certifikacijske revizije sustava.

Koliko vrijedi ISO 27001 certifikat?

ISO 27001 certifikat (potvrda o sukladnosti) se izdaje na 3 godine, počevši od provedene certifikacijske revizije odnosno datuma stjecanja certifikata. Tri godine nakon certifikacijse revizije provodi se tzv. re-certifikacijska revizija.

U period od 3 godine provode se i minimalno dvije tzv. kontrolne revizije ISMS-a (moguće je s certifikacijskom kućom dogovoriti i češću frekvenciju revizije).

Može li se jednom dobiveni certifikat izgubiti?

Da. Ukoliko se na tzv. re-certifikacijskoj reviziji utvrde nesukladnosti za zahtjevima ISO 27001 norme (organizacija nije u stanju dokazati sukladnost sa ISO 27001 zahtjevima), ISO 27001 certifikat može se izgubiti. Certifikat se ne gubi na tzv. kontrolnim revizijama ISMS-a (između certifikacijske i re-certifikacijske revizije).

Ako implementiramo ISMS i dobijemo ISO 27001 certifikat, da li to znači da više neće biti incidenata?

Ne. Premda ISO 27001 certifikat drugima govori mnogo o tome na koji način upravljate sigurnošću informacija (primjena najboljih međunarodno priznatih praksi u zaštiti informacija), to ne implicira da sigurnosnih incidenata više neće biti. ISO 27001 certifikat je jedino potvrda o sukladnosti sa ISO 27001 zahtjevima.

Koliko organizacija već posjeduje ISO 27001 certifikat?

Preko 5000 globalno, od toga dvadesetak u Hrvatskoj.

Treba li mi ISO 27001 certifikat?

Svrha sustava upravljanja informacijskom sigurnošću očituje se u sposobnosti organizacije da pravodobno prepozna potencijalne rizike informacijske sigurnosti odnosno prijetnje i ranjivosti nad informacijskim resursima koje mogu ugroziti poslovne ciljeve, te da kroz adekvatan odgovor na identificirane rizike (kroz implementaciju plana ovladavanja rizikom) osigura potrebnu i dostatnu razine zaštite informacija, a time i postizanje ključnih poslovnih ciljeva.

Kao takav, ISO 27001 certifikat odnosno sustav upravljanja informacijskom sigurnošću uspostavljen prema ISO 27001 normi svim zainteresiranim stranama pruža iznimno kvalitetan dokaz da organizacija vodi brigu o sigurnosti informacija, a time i ostvarenju svojih poslovnih ciljeva. Ukoliko se želite istaknuti od drugih provjerenim pristupom zaštiti informacija (konkurentska prednost / prepoznatljivost / povjerenje zainteresiranih strana), tada je odgovor - DA.