ISO/IEC 27001:2013 sustav upravljanja sigurnosti informacija

Porastom ovisnosti o informacijskim tehnologijama, otvorenosti organizacija i povećanjem značaja informacija u svakodnevnom poslovanju nastala je norma za upravljanje sigurnosti informacija ISO/IEC 17799 i ISO/IEC 27001 kao rezultat želje da se urede i ujedine iste. Norma je alat neovisan o upravljanju poslovanjem i pojedinim tehnološkim rješenjima a nudi cjelovit pregled sigurnosti informacija pri poslovanju organizacije. Ocjena informacijskih rizika je osnova za izradu sustava upravljanja sigurnosti informacija i njegova temeljnog značaja.

Norma ISO/IEC 17799 nudi niz mjera za nadzor prepoznatih rizika, a koji su se kroz godine uporabe unutar organizacija po svijetu pokazale kao primjeri dobre prakse. U jedanaest poglavlja su opisane 114 kontrole koje su namijenjene dosezanju 35 različitih ciljeva.

Norma ISO/IEC 27001 zapisana  je u obliku zahtjeva, koje organizacija mora ispuniti, ako želi pridobiti certifikat. Zahtjevi iz poglavlja 4, 5, 6, 7, 8, 9 i 10  moraju se poštovati u cijelosti i bez ispuštanja. Uz spomenuta poglavlja norma sadrži i prilog A, gdje je izvadak 114 kontrole iz norme ISO/IEC 17799 i potrebno je za svaku izostavljenu kontrolu navesti razlog izostavljanja.

Norma je cjelovita u pogledu informacijske sigurnosti.  To znači  da ne definira informacijske tehnologije i informacije u elektronskom obliku, nego informacije svih oblika i na svim medijima. U tom smislu je navedeno puno kontrola u potpunosti organizacijske naravi, koje nisu povezane s tehnologijom (npr.: klasifikacija informacija, politika praznih stolova, fizičko osiguranje objekata ili opis čuvanja informacija u ugovorima o zapošljavanju).

Poslovne koristi uspostave sustava

  • prepoznavanje i smanjivanje sigurnosnih rizika na željeni nivo, 
  • poboljšavanje poslovnog partnerstva (veće povjerenje u razmjeni informacija), 
  • usvajanje procesa zaštite informacija.

Opens internal link in current windowNovo izdanje norme ISO 27001:2013