Osnove ISO 27001

Temelj informacijske sigurnosti

Četiri faze sustava upravljanja informacijskom sigurnošću

ISO 27001 dokumentacija

Faza planiranja

Faza implementacije

Faza praćenja i pregledavanja

Faza održavanja i poboljšavanja

Ostale vezane norme za informacijsku sigurnost

What is ISO 27001

Preuzmite dijagram implementacije

 

 Temelj informacijske sigurnosti

Norma ISO 27001 propisuje na koji način organizirati informacijsku sigurnost u bilo kojoj vrsti organizacije, bez obzira da li se radi o profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Možemo slobodno reći da je ovo temeljna norma za upravljanje informacijskom sigurnošću.

ISO 27001 znači za informacijsku sigurnost isto ono što ISO 9001 znači za kvalitetu – to je norma koju su pisali najbolji svjetski stručnjaci u polju informacijske sigurnosti, i svrha joj je da pruži metodologiju na koji način uvesti informacijsku sigurnost u neku organizaciju. Ona isto tako pruža mogućnost da organizacija dobije certifikat što znači da je nezavisno certifikacijsko tijelo potvrdilo da je informacijska sigurnost na najbolji način provedena u dotičnoj organizaciji.

Obzirom na ovakav značaj norme ISO 27001, mnoga su zakonodavstva uzela tu normu kao temelj za pisanje razne regulative iz područja zaštite osobnih podataka, zaštite tajnosti podataka, zaštite informacijskih sustava, upravljanja operativnim rizicima u financijskim ustanovama i sl.

 Četiri faze sustava upravljanja informacijskom sigurnošću

ISO 27001 propisuje kako se upravlja informacijskom sigurnošću kroz sustav upravljanja informacijskom sigurnošću (engl. ISMS – information security management system) . Takav se sustav upravljanja, isto kao i ISO 9001 ili ISO 14001, sastoji od četiri faze koje se kontinuirano trebaju provoditi kako bi se umanjili rizici za povjerljivost, cjelovitost i dostupnost informacija.

Faze su sljedeće:

  • Faza planiranja (engl. Plan) – ova faza služi da se isplanira osnovna organizacija informacijske sigurnosti, postave ciljevi za informacijsku sigurnost i da se odaberu primjerene sigurnosne mjere (u normi se nalazi katalog od 133 moguće sigurnosne mjere)
  • Faza implementacije (engl. Do) – u ovoj fazi se provodi sve što se isplaniralo tijekom prethodne faze
  • Faza praćenja i pregledavanja (engl. Check) – svrha ove faze jest da se kroz razne „kanale” nadgleda kako funkcionira ISMS, i da li rezultati ispunjavaju postavljene ciljeve
  • Faza održavanja i poboljšavanja (engl. Act) – svrha ove faze jest da se poboljša sve što je u prethodnoj fazi identificirano kao nesukladno

Ciklus ove četiri faze nikada ne završava, nego je sve aktivnosti potrebno ciklički provoditi kako bi ISMS ostao učinkovit.

 ISO 27001 dokumentacija

ISO 27001 zahtijeva sljedeću dokumentaciju:

  • opseg ISMS-a
  • politika ISMS-a
  • procedure za upravljanje dokumentacijom, za interne audite, te za korektivne i preventivne mjere
  • sve ostale dokumente ovisno o odabranim sigurnosnim mjerama
  • metodologiju za procjenu rizika
  • izvješće o procjeni rizika
  • izvješće o primjenjivosti
  • plan obrade rizika
  • zapise

Količina i preciznost dokumentacije ovisi o veličini i sigurnosnim zahtjevima pojedine organizacije – to znači da će maloj organizaciji biti dovoljno samo 10-tak dokumenata, dok će velike i kompleksne organizacije imati po nekoliko stotina dokumenata u svojem ISMS-u.

 Faza planiranja

Ona se sastoji od sljedećih koraka:

  • određivanje opsega ISMS-a
  • pisanje politike ISMS-a
  • identificiranje metodologije za procjenu rizika i određivanje kriterija za prihvaćanje rizika
  • identifikacija resursa, ranjivosti i prijetnji
  • ocjenjivanje veličine rizika
  • identifikacija i procjena opcija za obradu rizika
  • odabir sigurnosnih mjera za obradu rizika
  • pribavljanje odobrenja menadžmenta za preostale rizike
  • pribavljanje odobrenja menadžmenta za implementaciju ISMS-a
  • pisanje Izvješća o primjenjivosti koje popisuje primjerene sigurnosne mjere, koje su od njih već provedene, i koje sigurnosne mjere nisu primjerene

 Faza implementacije

Ova faza se sastoji od sljedećih aktivnosti:

  • pisanje plana obrade rizika – opisuje tko, kako, kada i s kojim budžetom treba provesti primjerene mjere zaštite
  • implementirati plan obrade rizika
  • implementirati primjerene sigurnosne mjere
  • odrediti kako će se mjeriti učinkovitost sigurnosnih mjera
  • provesti osvješćivanje i obuku djelatnika
  • upravljanje normalnim radom ISMS-a
  • upravljanje resursima ISMS-a
  • provedba procedure za detekciju i upravljanje sigurnosnim incidentima

 Faza praćenja i pregledavanja

Ova faza podrazumijeva sljedeće:

  • provedba procedura i ostalih kontrola za nadzor i pregledavanje kako bi se ustanovila sva kršenja pravila, krivo procesiranje podataka, da li se sigurnosne aktivnosti provodi kako je očekivano i sl.
  • poduzimanje redovitog pregledavanja učinkovitosti ISMS-a
  • mjerenje učinkovitosti sigurnosnih mjera
  • pregledavanje procjene rizika u redovitim intervalima
  • poduzimanje internih audita u planiranim intervalima
  • poduzimanje pregleda od strane menadžmenta kako bi se osiguralo da ISMS funkcionira i da se identificiraju mogućnosti za poboljšanja
  • ažuriranje sigurnosnih planova kako bi se uzele u obzir ostale aktivnosti nadzora i pregledavanja
  • vođenje zapisa aktivnosti i incidenata koji mogu imati utjecaj na učinkovitost ISMS-a

 Faza održavanja i poboljšavanja

Ova faza podrazumijeva sljedeće:

  • implementacija identificiranih poboljšanja u ISMS-u
  • poduzimanje korektivnih i preventivnih mjera; primjena vlastitih i tuđih sigurnosnih iskustava
  • komuniciranje aktivnosti i poboljšanja svim zainteresiranim stranama
  • osiguravanje da poboljšanja postižu željene ciljeve

 Ostale vezane norme za informacijsku sigurnost

Osim norme ISO 27001 (nekadašnja norma BS 7799-2), postoji i norma ISO 27002 (nekadašnja norma ISO 17799), koja je „pomoćna” norma i detaljnije opisuje na koji način provesti pojedine sigurnosne mjere određene kroz ISO 27001.

Vrlo korisne mogu biti i norma ISO 27005 koja detaljnije opisuje proces procjene rizika, te norma BS 25999-2 koja detaljnije opisuje upravljanje kontinuitetom poslovanja.

 

Preuzmite dijagram implementacije