Sigurnost informacija

ISO / IEC 27001 Sigurnost informacija

Motivacija i koristi

Sa svojom neprocjenjivom vrijednošću, informacije i podaci su srž modernih organizacija. Potreba za zaštitom daleko nadilazi tehničku IT sigurnost. Posljedično, procesi "upravljanja IT uslugama" odvijaju se kao pojas za spašavanje u cijeloj tvrtki i omogućuju visokokvalitetne IT usluge uz smanjene troškove.

Cjelokupno područje informacijske sigurnosti razvija se iznimnom dinamikom. Sigurnosni incidenti, od globalnih napada virusa do kršenja podataka koji oštećuju sliku, podigli su svijest o potrebi za kontroliranim sustavima upravljanja sigurnošću informacija (ISMS).

Međunarodna norma ISO/IEC 27001 "Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi" specificira zahtjeve za uspostavu, implementaciju, rad, praćenje, održavanje i poboljšanje dokumentiranog sustava upravljanja informacijskom sigurnošću, uzimajući u obzir rizike u cijeloj organizaciji.

U obzir dolaze sve vrste organizacija (npr. komercijalna poduzeća, vladine organizacije, neprofitne organizacije).

Ciljevi
  • Najviša zaštita podataka i informacija
  • Zaštita nematerijalne imovine: analogne i digitalne informacije
  • Provedba tehničkih i organizacijskih mjera s provjerama učinkovitosti i optimizacijskim petljama
  • Uvođenje sustava upravljanja informacijskom sigurnošću iz jednog izvora
  • Sustavna procjena i minimizacija sigurnosnih nedostataka
Ciljna grupa

Ovaj je standard prikladan za organizaciju bilo koje veličine i vrste industrije.

Kriteriji

Nova verzija ISO/IEC 27001 objavljena je u listopadu 2022. U tom smislu potrebno je ispuniti sljedeće zahtjeve:

  • Prijenos će biti dovršen prije listopada 2025. godine.
  • Certifikat ISO/IEC 27001:2013 bit će povučen do 31. listopada 2025. godine.
  • Prijelaz sa standarda ISO/IEC 27001:2013 na verziju 2022 može se dogoditi tijekom recertifikacijske revizije.
  • Ako se premještaj odvija tijekom nadzorne revizije ili posebne revizije, za tu svrhu potrebno je osigurati najmanje 8 dodatnih sati (ovisno o složenosti organizacije/kontrole). Ako do prijenosa dođe tijekom recertifikacijske revizije, dodaju se četiri radna sata.
  • Certifikat ISO/IEC 27001:2022 zadržat će se izvorni ciklus certifikacije

Od 1. studenog 2023. inicijalne certifikacije mogu se provoditi samo prema novoj verziji ISO 27001:2022 . ISO/IEC 27001:2022 uključuje zahtjeve sustava upravljanja navedene u poglavljima 4 do 10 i 93 kontrole informacijske sigurnosti u 4 poglavlja (organizacijske kontrole, kontrole ljudi, fizičke kontrole, tehnološke kontrole) navedene u Dodatku A. ISO 27001 temelji se na ISO visokoj strukturi i može se učinkovito kombinirati s drugim standardima kao što su ISO 9001 i ISO 14001 zbog iste strukture i formata.

Ostali relevantni standardi

Dok ISO/IEC 27001 nudi smjernice o širokom rasponu kontrole informacijske sigurnosti koje se uobičajeno primjenjuju u mnogim organizacijama, drugi dokumenti u obitelji ISO/IEC 27000 pružaju komplementarne savjete ili zahtjeve o drugim aspektima cjelokupnog procesa upravljanja informacijskom sigurnošću.

Pogledajte ISO/IEC 27000 za opći uvod u ISMS i niz dokumenata. ISO/IEC 27000 daje rječnik, definirajući većinu pojmova koji se koriste u dokumentaciji obitelji ISO/IEC 27000, te opisuje opseg i ciljeve za svakog člana standarda obitelji.

Postoje sektorski specifični standardi koji uključuju dodatne kontrole usmjerene na bavljenje određenim područjima (npr. ISO/IEC 27017 za usluge u oblaku , ISO/IEC 27701 za privatnost , ISO/IEC 27019 za energiju, ISO/IEC 27011 za telekomunikacijske organizacije i ISO 27799 za zdravlje)

Naš ekspert

Nezavisnost. Kompetentnost. Pouzdanost.

Igor Panin

General Manager QAA d.o.o - Edukacija, certifikacija i evaluacija

+385 99 654 6542