Informacije se mogu naći u mnogo različitih oblika. Informacije mogu biti zapisane na papiru, mogu se čuvati elektroničkim putem, mogu se proslijediti s nekog mjesta negdje drugdje putem pošte ili e-pošte ili se mogu izraziti usmeno među ljudima. Informacije apsolutno moraju biti zaštićene na prikladan način, bez obzira u kojem su obliku.

Osiguravanje sigurnosti informacija je moguće uz dovoljno osiguravanje povjerljivosti, integriteta i dostupnosti informacija. Sigurnost informacija u osnovi ima za cilj sljedeća tri elementa:

• Povjerljivost

• Integritet

•  Dostupnost

Povjerljivost: Informacije se zatvaraju za pristup neovlaštenim osobama ili sprečavaju otkrivanje informacija od strane neovlaštenih osoba.

Integritet: Da bi se osigurala tačnost i integritet informacija i operativnih sistema.

Dostupnost: To znači da su informacije dostupne i spremne za upotrebu kada je potrebno, čak i ako postoji problem. Kao princip dostupnosti, svaki korisnik mora biti u mogućnosti pristupiti izvoru informacija kojem ima pravo pristupiti u trenutku kada je za to ovlašten.

Sistem upravljanja informacijskom sigurnošću, ili skraćeno ISMS, sistemski je pristup koji se usvaja s ciljem da institucija može upravljati njihovim osjetljivim informacijama. Primarni cilj ISMS-a je zaštita osjetljivih informacija. Koristi se standard „ISO / IEC 27001: 2013 Sistemi upravljanja sigurnošću informacija - Zahtjevi“. Ovaj standard sadrži zahtjeve za postavljanje, primjenu, nadzor, pregled, održavanje i poboljšanje ISMS-a u kontekstu svih poslovnih rizika institucije.

Pogrešne percepcije o sistemima upravljanja informacijskom sigurnošću

Činjenica da ne postoji zakonska regulativa i obaveza upravljanja informacionom sigurnošću dovodi do primjene upravljanja informacijskom sigurnošću u vrlo malo institucija u javnim institucijama i privatnom sektoru u našoj zemlji. Pravni nedostaci takođe sprečavaju pravilno strukturiranje upravljanja informacionom sigurnošću. U ovoj situaciji menadžeri i osoblje koje rade u institucijama koje žele uspostaviti Sistem upravljanja informacionom sigurnošću imaju pogrešne percepcije.

ISO / IEC 27001 Sistem upravljanja informacijskom sigurnošću je međunarodni standard sistema upravljanja čije područje primjene postoji u svim vrstama organizacija, bez obzira na njihov sektor i veličinu, i koji osigurava da se informacije organizacija i njihovih kupaca pravilno čuvaju i izrađuju sigurnosne kopije, pruža sigurnu i ovlaštenu dostupnost i osigurava da se trećim stranama onemogući neovlašteni pristup ovim informacijama, ukratko, osigurava sigurnost svih informacija i dokumenata koji pripadaju organizaciji i njenim kupcima.

Ko mora da ima ISO 27001 standard

ISO / IEC 27001 pogodan je za sve ustanove, i velike i male, bez obzira iz kojeg je sektora. Ovaj se standard zahtijeva posebno u poljima u kojima je zaštita informacija izuzetno važna, kao što su financije, zdravstvo, javni i softverski sektor.

Osnovni principi ISO 27001 ISMS

Zavod mora uspostaviti, implementirati, upravljati, nadgledati, pregledavati, održavati i poboljšati dokumentovani ISMS u kontekstu svojih poslovnih aktivnosti i rizika s kojima se suočava. Kao zahtjev ovog standarda, model Plan-Do-Check-Measure (PDCA) predstavlja 4 osnovna principa sistema upravljanja informacijskom sigurnošću:

• Uspostavljanje i upravljanje ISMS-om

• Implementacija i rad ISMS-a

• Nadgledanje i pregled ISMS-a

• Pružanje i poboljšanje održivosti ISMS-a

Prednosti primjene sistema upravljanja sigurnošću informacija ISO 27001

• Biti svjestan informacijske imovine: Razumijevanje informacijske imovine, shvaćajući njihovu vrijednost.

• Mogućnost zaštite imovine: Navodi metode zaštite s kontrolama koje će se postaviti i štiti primjenom.

• Kontinuitet poslovanja: Garancije djeluju dugi niz godina. Nadalje, u slučaju katastrofe, ima sposobnost da nastavi rad.

• Biti u miru sa zainteresiranim stranama: Steći će povjerenje zainteresiranih strana kao rezultat zaštite njihovih podataka, posebno podataka dobavljača.

• Štiti informacije pomoću sistema, ne prepušta ih slučaju.

• Ako ga kupci procijene, bit će ocijenjen bolje od konkurencije.

• Povećava motivaciju zaposlenih.

• Sprječava pravne postupke.

• Pruža snažnu reputaciju.

Koraci implementacije ISO 27001 ISMS

• Klasifikacija imovine,

• Procjena imovine prema sigurnosti, integritetu i pristupačnosti,

• Provođenje analize rizika,

• Određivanje kontrola koje će se primenjivati ​​prema rezultatima analize rizika,

• Izrada dokumentacije,

• Primjena kontrole,

• Interni ispit,

• Vođenje evidencije,

• Pregled menadžmenta,

• Certifikat.

Kako se stječe ISO 27001 ISMS certifikat?

Nakon ispunjavanja svih zahtjeva standarda ISO 27001, podnosi se zahtjev za vanjsku reviziju. Institucija koja će provesti reviziju prvo pregledava dokumentaciju.

Ova dokumentacija mora sadržavati sigurnosnu politiku, dokumente za procjenu rizika, akcioni plan rizika, izjavu o usklađenosti i sigurnosne postupke. Nakon ovog pregleda, revizori izvršavaju naknadne revizije na licu mjesta. U ovoj reviziji ispituje se jesu li provedene kontrole koje odgovaraju veličini vašeg poslovnog prostora i vrsti vašeg poslovanja kako je opisano u postupcima koje ste pripremili.

Nakon uspješne revizije dobiva se certifikat ISO 27001. Inspekcijski pregledi za obnavljanje provode se prema rokovima koje ćete odrediti jedan ili dva puta u godini nakon dobivene potvrde.

Dobijeni certifikat vrijedi 3 godine, a na kraju treće godine vrši se ponovna certifikacija i provjerava se vaš napredak u procesu.