Pretražite novosti

  • OPŠTA PITANJA: +382 69 499997

ISO 27001 - Sistem menadžmenta bezbjednosti informacija - Crna Gora
- Crna Gora

Standard IS0 27001 Crna Gora - Sistem menadžmenta bezbjednosti informacija

UVOD U ISO 27001

Bezbjednost informacija postaje sve važnija u modernom društvu. Savremeni državni i privredni subjekti sve više zavise od informatičke i komunikacione infrastrukture. To omogućava protok velike količine informacija između subjekata, ali ujedno izlaže informacije i informacione sisteme brojnim prijetnjama.

Pojam bezbjednosti informacija ne odnosi se isključivo na tehničke mjere zaštite (lozinke, programsko šifrovanje, prava pristupa i sl.), već ISO 27001 podrazumijeva i administrativne (sigurnosne politike, pravilnike, procedure) kao i fizičke (video nadzor, zaštita prostorija, fizička kontrola pristupa itd.).

Kad govorimo o ISO 27001:2005 prvenstveno mislimo na informacije, jer one predstavljaju životnu snagu svih kompanija i može imati nekoliko oblika: napisana na papiru, elektronski, poslata poštom ili elektronskim sredstvima, pomenuta u razgovoru i sl. U veoma oštroj konkurentskoj borbi, zaštita informacija je neophodna jer postoje prijetnje iz raznih izvora. Ti izvori mogu biti interni, eksterni i slučajni a sve češće prijetnje nastaju usled zloupotrebe novih moćnih tehnologija. Vaša sposobnost da uspješno poslujete zavisi od sposobnosti preduzeća da efektivno upravlja rizicima što upravo nudi ISO 27001.


Značenje ISO 27001?

To je međunarodni standard koji svojim zahtjevima definiše Sistem menadžmenta bezbjednosti informacija, čiji je primarni cilj informaciono-fizičko-tehnička zaštita preduzeća. Sistem menadžmenta bezbjednosti informacija ISO 27001 je primjenljiv na bankarske i finansijske institucije, IT sektore, ekonomske sektore, sve javne ili privatne organizacije.

Bezbjednost informacija je ključna komponenta upravljanja IT (Informacione Tehnologije). Poput informacione tehnologije, same informacije postaju sve više strateški pokretači organizacione aktivnosti, tako da efektivan menadžment IT-a i informacija postaje kritična strateška tačka mnogih kompanija.

Ovaj standard će omogućiti preduzećima da osiguraju njihove strategije bezbjednosti IT koordinisane, koherentne, jasne, da smanjuju troškove i ispunjavaju njihove specifične organizacione i poslovne potrebe.

PREDNOSTI I KORISTI OD IMPLEMENTACIJE ISO 27001

ISO 27001:2005 daje okvir koji je neophodan za stvaranje sigurnog sistema. Usaglašen sistem ISO 27001 će obezbijediti sistematski pristup za identifikovanje i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije.

Koristi od implementacije Sistema menadžmenta bezbjednosti informacija u preduzeću su:

  • ISO 27001
  • dokaz da je usaglašeno sa zahtjevima koji su iznijeti u Standardu ISO 27001
  • saglasnost sa najboljom praksom u menadžmentu rizika u odnosu na vlasništvo i bezbjednost informacija;
  • usaglašenost sa zakonima;
  • sistematska zašta od opasnih i potencijalnih troškova zlonamjerne upotrebe kompjutera, sajber kriminala i drugih negativnih uticaja;
  • poboljšanje svog kredibiliteta kod osoblja, klijenata i partnerskih organizacija;
  • finansijske koristi;
  • poboljšana prodaja usluga;
  • praktične odluke vezane za sigurnosne tehnike i rešenja za razvoj;
  • postojanje odgovornosti za bezbjednost informacija od strane svih i na svim nivoima u organizaciji;
  • bolje tržišne mogućnosti.

POSTUPAK UVOĐENJA ISO 27001



OSAM FAZA Postupak uvođenja 270001 u Vaše preduzeće - Postupak uvođenja Sistema menadžmenta bezbjednosti informacija obuhvata 8 faza
KONTINUALNO OCJENJIVANJE Nakon certifikovanja naš ocjenjivač će Vas posjećivati u redovnim intervalima svake godine, kako bi ocijenio da li je Vaša organizacija i dalje usklađena sa zahtjevima ISO 27001: 2005

U postupku uvođenja ISO 27001 neophodna je stručna pomoć konsultanata. Cjelokupan proces uvođenja tj. razvijanja i implementacije Sistema menadžmenta bezbjednosti informacija (ISMS ili ISO 27001) se mora dobro isplanirati i zahtijeva koordinaciju konsultanata i rukovodstva organizacije. Naš tim konsultanata u radu sa klijentima primjenjuje individualni pristup. Potrebe klijenta i njegova dobra poslovna praksa se usklađuju sa potrebama standarda, i u cjelokupnom projektu se teži nalaženju optimalnih rešenja. To će garantovati primjenljivost ISMS-a i njegovu adekvatnost veličini i organizacionoj strukturi preduzeća.

FAZA: Pripremne aktivnosti

Upoznavanje rukovodstva preduzeća sa zahtjevima standarda ISO 27001:2005, ciljevima i očekivanim efektima projekta, kao i sa predlogom programa uspostavljanja sistema.

Konsultanti će izvršiti analizu postojećeg stanja u preduzeću koja će obuhvatiti:

  • organizacionu strukturu;
  • sistematizaciju radnih mjesta;
  • internu i eksternu dokumentaciju;
  • analize procesa;
  • aktivnosti realizacije;
  • fizičko-tehničko ispitivanja stanja;
  • način rada menadžmenta;
  • imenovanje Menadžera bezbjednosti informacija.
II FAZA: Identifikacija poslovanja

Konsultanti zajedno sa rukovodstvom preduzeća ili Menadžerom bezbjednosti informacija definišu i klasifikuju poslovanje preduzeća na osnovu analize postojećeg stanja.

III FAZA: Definisanje osnovnih zahtjeva ISMS

Konsultanti zajedno sa rukovodstvom preduzeća definišu:

  • misiju i viziju preduzeća;
  • politike bezbjednosti informacija;
  • zahtjeve koji su primjenljivi;
  • javnu Politiku bezbjednosti informacija preduzeća.
IV FAZA: Definisanje procesa

Konsultanti zajedno sa vlasnikom preduzeća vrše identifikaciju, popis, klasifikaciju, označavanje i međusobne veze procesa.

V FAZA: Izrada dokumenata sistema ISMS-a

Sistem menadžmenta bezbjednosti informacija mora biti dokumentovan i prikladno implementiran.

U skladu sa rezultatima prethodno obavljenih aktivnosti, odnosno usvojenim programom definišu se, izrađuju i usvajaju odgovarajući dokumenti ISMS-a:

  • poslovnik bezbjednosti informacija- opisuje kako organizacija zadovoljava zahtjeve ISO 27001:2005
  • procedure bezbjednosti informacija - opisuju metod putem kojih se upravlja procesima
  • radne instrukcije - opisuju kako se obavljaju individualni zadaci i aktivnosti
VI FAZA: Implementacija ISMS-a

Usvojena rešenja i dokumenta ISMS-a se prezentuju na odgovarajući način zaposlenima, u obliku obuka i prezentacija koje su neophodne za funkcionisanje i razumijevanje ISO 27001.

U okviru realizacije definisanih aktivnosti, s obzirom na niz radnji, posebna pažnja se posvećuje:

  • ISO 27001
  • upravljanju dokumentima;
  • klasifikaciji fizičke i informacione imovine;
  • odgovornostima rukovodstva;
  • definisanju ciljeva i zahtjeva;
  • analizi rizika;
  • kontroli pristupa;
  • sprovođenju obuke;
  • upravljanju resursima (zaposleni, infrastruktura, radna sredina);
  • mjerenju, analizi i poboljšanju.
VII FAZA: Sprovođenje interne provjere

Interna provjera se vrši sa ciljem da se provjeri stanje poslovnog sistema sa aspekta zahtjeva standarda ISO 27001:2005.

Osposobljeni proverivači, obavljaju jednu ili više internih provjera sistema kako bi se utvrdio stepen efektivnosti Sistema menadžmenta bezbjednosti informacija.

Po sprovedenoj internoj provjeri, može se ustanoviti da li je preduzeće spremno za sertifikaciju ili je neophodno preduzeti korektivne mjere, koje su identifikovane na internoj provjeri.

VIII FAZA: Sertifikacija ISMS-a

Sertifikacija ISO 27001:2005 predstavlja provjeru uspostavljenog Sistema menadžmenta bezbjednosti informacija koje vrši izabrano sertifikaciono tijelo. Prema prikupljenim ponudama preduzeće bira sertifikaciono tijelo, kome se prijavljuje uz pomoć konsultanta. Naš ocjenjivač je uključen u sve aktivnosti na sertifikacionoj provjeri.

Kontinualno ocjenjivanje

Nakon sertifikovanja, ocjenjivač posjećuje preduzeće jednom godišnje, kako bi se ocijenilo da li je organizacija i dalje usklađena sa zahtjevima ISO 27001:2005.

Održavanje sertifikovanog ISO 27001

Preko naših konsultanata pružamo uslugu stalnog održavanja sistema menadžmenta, čime omogućavamo preduzeću da postigne efektivan sistem, kao i da vrši kontinualno poboljšanje Sistema menadžmenta bezbjednosti informacija i cijelog poslovnog sistema.

Popunite online formular i pošaljite nam zahtev za ponudu, a mi ćemo Vam odgovoriti u najkraćem mogućem roku:


UVOD U ISO 27001

Bezbjednost informacija postaje sve važnija u modernom društvu. Savremeni državni i privredni subjekti sve više zavise od informatičke i komunikacione infrastrukture. To omogućava protok velike količine informacija između subjekata, ali ujedno izlaže informacije i informacione sisteme brojnim prijetnjama.

Pojam bezbjednosti informacija ne odnosi se isključivo na tehničke mjere zaštite (lozinke, programsko šifrovanje, prava pristupa i sl.), već ISO 27001 podrazumijeva i administrativne (sigurnosne politike, pravilnike, procedure) kao i fizičke (video nadzor, zaštita prostorija, fizička kontrola pristupa itd.).

Kad govorimo o ISO 27001:2005 prvenstveno mislimo na informacije, jer one predstavljaju životnu snagu svih kompanija i može imati nekoliko oblika: napisana na papiru, elektronski, poslata poštom ili elektronskim sredstvima, pomenuta u razgovoru i sl. U veoma oštroj konkurentskoj borbi, zaštita informacija je neophodna jer postoje prijetnje iz raznih izvora. Ti izvori mogu biti interni, eksterni i slučajni a sve češće prijetnje nastaju usled zloupotrebe novih moćnih tehnologija. Vaša sposobnost da uspješno poslujete zavisi od sposobnosti preduzeća da efektivno upravlja rizicima što upravo nudi ISO 27001.


Značenje ISO 27001?

To je međunarodni standard koji svojim zahtjevima definiše Sistem menadžmenta bezbjednosti informacija, čiji je primarni cilj informaciono-fizičko-tehnička zaštita preduzeća. Sistem menadžmenta bezbjednosti informacija ISO 27001 je primjenljiv na bankarske i finansijske institucije, IT sektore, ekonomske sektore, sve javne ili privatne organizacije.

Bezbjednost informacija je ključna komponenta upravljanja IT (Informacione Tehnologije). Poput informacione tehnologije, same informacije postaju sve više strateški pokretači organizacione aktivnosti, tako da efektivan menadžment IT-a i informacija postaje kritična strateška tačka mnogih kompanija.

Ovaj standard će omogućiti preduzećima da osiguraju njihove strategije bezbjednosti IT koordinisane, koherentne, jasne, da smanjuju troškove i ispunjavaju njihove specifične organizacione i poslovne potrebe.


PREDNOSTI I KORISTI OD IMPLEMENTACIJE ISO 27001

ISO 27001:2005 daje okvir koji je neophodan za stvaranje sigurnog sistema. Usaglašen sistem ISO 27001 će obezbijediti sistematski pristup za identifikovanje i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije.

Koristi od implementacije Sistema menadžmenta bezbjednosti informacija u preduzeću su:

  • ISO 27001
  • dokaz da je usaglašeno sa zahtjevima koji su iznijeti u Standardu ISO 27001
  • saglasnost sa najboljom praksom u menadžmentu rizika u odnosu na vlasništvo i bezbjednost informacija;
  • usaglašenost sa zakonima;
  • sistematska zašta od opasnih i potencijalnih troškova zlonamjerne upotrebe kompjutera, sajber kriminala i drugih negativnih uticaja;
  • poboljšanje svog kredibiliteta kod osoblja, klijenata i partnerskih organizacija;
  • finansijske koristi;
  • poboljšana prodaja usluga;
  • praktične odluke vezane za sigurnosne tehnike i rešenja za razvoj;
  • postojanje odgovornosti za bezbjednost informacija od strane svih i na svim nivoima u organizaciji;
  • bolje tržišne mogućnosti.

<< >>

POSTUPAK UVOĐENJA ISO 27001

U postupku uvođenja ISO 27001 neophodna je stručna pomoć konsultanata. Cjelokupan proces uvođenja tj. razvijanja i implementacije Sistema menadžmenta bezbjednosti informacija (ISMS ili ISO 27001) se mora dobro isplanirati i zahtijeva koordinaciju konsultanata i rukovodstva organizacije. Naš tim konsultanata u radu sa klijentima primjenjuje individualni pristup. Potrebe klijenta i njegova dobra poslovna praksa se usklađuju sa potrebama standarda, i u cjelokupnom projektu se teži nalaženju optimalnih rešenja. To će garantovati primjenljivost ISMS-a i njegovu adekvatnost veličini i organizacionoj strukturi preduzeća.

FAZA: Pripremne aktivnosti

Upoznavanje rukovodstva preduzeća sa zahtjevima standarda ISO 27001:2005, ciljevima i očekivanim efektima projekta, kao i sa predlogom programa uspostavljanja sistema.

Konsultanti će izvršiti analizu postojećeg stanja u preduzeću koja će obuhvatiti:

  • organizacionu strukturu;
  • sistematizaciju radnih mjesta;
  • internu i eksternu dokumentaciju;
  • analize procesa;
  • aktivnosti realizacije;
  • fizičko-tehničko ispitivanja stanja;
  • način rada menadžmenta;
  • imenovanje Menadžera bezbjednosti informacija.
II FAZA: Identifikacija poslovanja

Konsultanti zajedno sa rukovodstvom preduzeća ili Menadžerom bezbjednosti informacija definišu i klasifikuju poslovanje preduzeća na osnovu analize postojećeg stanja.

III FAZA: Definisanje osnovnih zahtjeva ISMS

Konsultanti zajedno sa rukovodstvom preduzeća definišu:

  • misiju i viziju preduzeća;
  • politike bezbjednosti informacija;
  • zahtjeve koji su primjenljivi;
  • javnu Politiku bezbjednosti informacija preduzeća.
IV FAZA: Definisanje procesa

Konsultanti zajedno sa vlasnikom preduzeća vrše identifikaciju, popis, klasifikaciju, označavanje i međusobne veze procesa.

V FAZA: Izrada dokumenata sistema ISMS-a

Sistem menadžmenta bezbjednosti informacija mora biti dokumentovan i prikladno implementiran.

U skladu sa rezultatima prethodno obavljenih aktivnosti, odnosno usvojenim programom definišu se, izrađuju i usvajaju odgovarajući dokumenti ISMS-a:

  • poslovnik bezbjednosti informacija- opisuje kako organizacija zadovoljava zahtjeve ISO 27001:2005
  • procedure bezbjednosti informacija - opisuju metod putem kojih se upravlja procesima
  • radne instrukcije - opisuju kako se obavljaju individualni zadaci i aktivnosti
VI FAZA: Implementacija ISMS-a

Usvojena rešenja i dokumenta ISMS-a se prezentuju na odgovarajući način zaposlenima, u obliku obuka i prezentacija koje su neophodne za funkcionisanje i razumijevanje ISO 27001.

U okviru realizacije definisanih aktivnosti, s obzirom na niz radnji, posebna pažnja se posvećuje:

  • ISO 27001
  • upravljanju dokumentima;
  • klasifikaciji fizičke i informacione imovine;
  • odgovornostima rukovodstva;
  • definisanju ciljeva i zahtjeva;
  • analizi rizika;
  • kontroli pristupa;
  • sprovođenju obuke;
  • upravljanju resursima (zaposleni, infrastruktura, radna sredina);
  • mjerenju, analizi i poboljšanju.
VII FAZA: Sprovođenje interne provjere

Interna provjera se vrši sa ciljem da se provjeri stanje poslovnog sistema sa aspekta zahtjeva standarda ISO 27001:2005.

Osposobljeni proverivači, obavljaju jednu ili više internih provjera sistema kako bi se utvrdio stepen efektivnosti Sistema menadžmenta bezbjednosti informacija.

Po sprovedenoj internoj provjeri, može se ustanoviti da li je preduzeće spremno za sertifikaciju ili je neophodno preduzeti korektivne mjere, koje su identifikovane na internoj provjeri.

VIII FAZA: Sertifikacija ISMS-a

Sertifikacija ISO 27001:2005 predstavlja provjeru uspostavljenog Sistema menadžmenta bezbjednosti informacija koje vrši izabrano sertifikaciono tijelo. Prema prikupljenim ponudama preduzeće bira sertifikaciono tijelo, kome se prijavljuje uz pomoć konsultanta. Naš ocjenjivač je uključen u sve aktivnosti na sertifikacionoj provjeri.

Kontinualno ocjenjivanje

Nakon sertifikovanja, ocjenjivač posjećuje preduzeće jednom godišnje, kako bi se ocijenilo da li je organizacija i dalje usklađena sa zahtjevima ISO 27001:2005.

Održavanje sertifikovanog ISO 27001

Preko naših konsultanata pružamo uslugu stalnog održavanja sistema menadžmenta, čime omogućavamo preduzeću da postigne efektivan sistem, kao i da vrši kontinualno poboljšanje Sistema menadžmenta bezbjednosti informacija i cijelog poslovnog sistema.

Popunite online formular i pošaljite nam zahtev za ponudu, a mi ćemo Vam odgovoriti u najkraćem mogućem roku: