Uspostava informacijske sigurnosti

Uspostava sustava upravljanja informacijskom sigurnošću

Informacijska je sigurnost vrlo često nepravilno shvaćena kao skup tehničkih mjera zaštite informacijskih sustava (vatrozida, antivirusnih rješenja i sl.). Međutim, već dulje vrijeme statistike pokazuju da se najveći broj sigurnosnih incidenata događa ne zbog tehničkih nedostataka u informacijskom sustavu, nego zbog nepostojanja kvalitetnog i efikasnog upravljačkog sustava koji bi obuhvaćao ne samo tehničke kontrole, nego i organizacijske, pa i fizičke kontrole.

Na području implementacije sustava upravljanja informacijskom sigurnošću najprihvaćeniji i najpouzdaniji skup preporuka i dobrih praksi je dan u ISO/IEC 27000 seriji standarda.

Najrelevantniji standardi u toj seriji su:

  • ISO/IEC 27001:2005 – standard koji definira zahtjeve za uspostavu sustava upravljanja informacijskom sigurnošću (eng. Information Security Management System, ISMS) i
  • ISO/IEC 27002:2005 – skup smjernica i principa za uspostavu, implementaciju, održavanje i kontinuirano poboljšavanje sustava upravljanja informacijskom sigurnošću.

Generička priroda standarda ISO/IEC 27000 serije jamči primjenjivost standarda na različite organizacije, neovisno o tipu, veličini i ostalim karakteristikama organizacije. Upravo je zbog te općenitosti ISO/IEC 27000 serija standarda u širokoj primjeni u velikom broju organizacija diljem svijeta koje su prepoznale informacijsku sigurnost kao nužan preduvjet za ostvarivanje svojih poslovnih ciljeva.

Faze projekta Isporuke
Uspostava temelja ISMS sustava Opseg ISMS sustava
Sigurnosna politika
Definicija metodologije za procjenu rizika Metodologija procjene rizika
Identifikacija i vrednovanje informacijskih resursa Izvještaj o provedenoj procjeni rizika
Gap analiza (snimka postojećih sigurnosnih kontrola)
Identifikacija ranjivosti i prijetnji
Procjena rizika
Izrada prijedloga za umanjivanje rizika Prijedlog za umanjivanje rizika
Izrada izjave o sukladnosti (eng. Statement of Applicability – SoA) Izjava o sukladnosti
Izrada plana implementacije (plan tretiranja rizika) Plan tretiranja rizika
Uspostava ključnih procesa i procedura Procesi, politike, procedure, pravilnici prema potrebama naručitelja
Izrada ISO 27001 obvezne dokumentacije Procedura za kontrolu dokumenata
Procedura za internu reviziju
Procedura za upravljanje preventivnim i korektivnim mjerama