Implementacija ISO 27001
Standard ISO 27001:2013 – sistem bezbednosti informacija
Potreba za upravljanjem bezbednošću informacija postala je ne samo delom i zakonska obaveza poslovnih subjekata, već i pitanje opšte dugotrajne i stabilne funkcionalnosti svake organizacije. Kako je u zadnjih 20-tak godina informacija postala jedna od najtraženijih „roba“ na tržištu, posebno zbog dominantnog elektronskog oblika obrade, prenosa i pohranjivanja informacija.
Kao početak problema borbe za informaciounu bezbednost treba odmah razjasniti šta se podrazumeva pod pojmom informacija. U raznoj literaturi se sreće niz definicija koje su manje ili više slične, ali za ove potrebe može se pojednostavljeno reći da je „informacija svaki podatak koji ima neku vrednost za onoga ko ga zna“. Kako je fizički sama informacija „apstraktna stvar“, teško se može uporediti sa klasičnim materijalnim sredstvima za koja je relativno jednostavno organizovati čuvanje i zaštitu.
Svaka informacija se:
- čuva u nekom obliku (zapis na papiru, na CD/DVD medijima, tvrdim diskovima, u glavama – pamćenju zaposlenih i partnera, itd);
- prenosi (telefoni, telefaksi, kompjuterske mreže, pisma, itd);
- obrađuje (u kompjuteru, kod partnera, ručnim manipulacijam zaposlenih, itd), te daje na upotrebu raznim korisnicima.
To upućuje na činjenicu, da ako se uvedu određene kontrole na oblike prenosa, čuvanja, obrade i distribucije informacija, posredno će biti i informacija zaštićena.
U standardu ISO 27001 se kaže da je “Informacija imovina koja kao i ostala važna imovina u poslovanju ima vrednost za organizaciju i mora biti stalno odgovarajuće štićena.”
Upravo taj standard ISO 27001 definiše šta bi sve organizacija trebala da preduzme da bi se osiguralo štićenje, odnosno zaštita informacija. U samom standardu ISO27001 definisano je 114 kontrola u 14 grupa, čime se sveobuhvatno, na današnjem nivou saznanja i tehnologije predlaže šta bi se sve trebalo preduzimati u cilju zaštite informacija.
Kako standard ISO 27001 utiče na poslovanje?
Svaka organizacija ima za cilj da svoje klijente i poslovne partnere uveri da se prema informacijama postupa odgovorno i da se one koriste profesionalno i sigurno. Niko ne želi da sarađuje sa kompanijom koja ne odaje utisak poverljivog partnera, a to je moguće samo ako pokažete da uvek vodite računa o onome sa čime raspolažete.
Procena rizika je jedan od najkritičnijih koraka implementacije ISMS, ne samo zato što je rezultat procene rizika temelj za planiranje i provođenje potrebnih kontrola, već i zbog samog postupka i metodologije provođenja procene. Da bi se moglo pristupiti proceni rizika nužno je da konsultanti, zaposleni u firmi dobro znaju mehanizme i relacije ugrožavanja bezbednosti informacija.
Ono što vam implementacija sistema upavlajnja bezbednošću informacija ISO 27001 omogućava jeste:
- konkurentska prednost;
- smanjenje rizika od oštećenja i gubitka informacija, a samim tim i troškova;
- usaglašenost sa važećim zakonskim propisima;
- veće poverenje klijenata, zaposlenih, saradnika, institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni;
- zajednička “platforma” sa drugim sistemima menadžmenta (ISO 9001, ISO 14001 itd.);
- smanjenje nesporazuma kod zaposlenih usled „ukrštanja informacija“;
- sistem koji je usmeren na jasna kontinualna poboljšavanja procesa kojima se obezbeđuje informaciona sigurnost;
- preventivno delovanje kroz na primer smanjenje »uskih grla« u mreži ili kroz analizu zaštićenih i sačuvanih ranijih podataka o procesima;
- smanjenje incidenata i bolje razumevanje uzroka;
- razvoj svesti zaposlenih o značaju zaštite informacija;
- jasan protok i raspoloživost informacija;
- obezbeđivanje da zaposleni poštuju pravila korištenja informacionog sistema (password-i, pristup dokumentima, čuvanje dokumenata);
- korišćenje najbolje prakse u implementaciji sigurnosti na svim nivoima: fizička sigurnost, hardware, sistemska sigurnsot, aplikativna sigurnost, sigurnost na mreži, sigurnost na web-u i dr.;
- praćenje i analizu sigurnosnih incidenata;
Standard ISO 27001 iz ugla IT korisnika
Cena uvođenja ISO 27001 standarda
Cene uvođenja ISO 27001 standarda su u rasponu od 800e do 15.000e. Cena zavisi od vrste delatnosti, složenosti procesa i rizika aktivnosti po bezbednost informacija, IT infrastrukture, postojeće IT bezbednosti, broja zaposlenih, broja lokacija i od drugih elemenata koje konsultant prikuplja pre davanja ponude.
Kada birate konsultanta, uvek tražite preporuku za njihov rad, CV tima konsultanata i IT stručnjaka, postojeće reference i dr.