Kvalitet

ISO 27001 i ISO 22301

ISO 27001 (zvanični naziv ISO/IEC 27001:2013, u Srbiji je zvanični naziv SRPS ISO/IEC 27001:2014)  je međunarodni standard koji se odnosi na zaštitu i bezbednost informacija. Standard pruža sveobuhvatni okvir kroz koji organizacija identifikuje, analizira i adresira rizike bezbednosti informacija i obezbeđuje usaglašenost bezbednosnog uređenja u cilju održavanja koraka sa promenama u okviru bezbednosnih pretnji, ranjivosti i poslovnih uticaja.

 

Takođe, standard podleže različitim područjima primene kao i za razlikovanje mogućih procesa u organizaciji koji su povezani sa upravljanjem kontrole sigurnosti, kao sto su: politika sigurnosti, sigurnost organizacije, kontrola i klasifikacija izvora, sigurnost osoblja, sigurnost materijalnih dobara i životne sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje raznih sistema i upravljanje kontinuitetom poslovanja.

 

Standard je deo serije standarda 27000, koji pored njega čine još i:

       ISO 27000 – Pregled i rečnik;

       ISO 27002 - Pravila prakse za kontrole bezbednosti informacija;

       ISO 27003 - Smernice za implementaciju;

       ISO 27004 - Merenja;

       ISO 27005 - Upravljanje rizikom;

       ISO 27006 - Zahtevi za tela koja obavljaju proveru i sertifikaciju;

       ISO 27007 - Uputstvo za interne i eksterne provere

       ISO 27011, ISO 27012, ISO 27013,...

 

ISO 27001 daje okvir koji je neophodan za stvaranje sigurnog sistema. Usaglašen sistem ISO 27001 će obezbediti sistematski pristup za identifikovanje i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije. Svojim zahtevima definiše četiri glavna područja sistema zaštite informacija:

·          Sistem menadžmenta bezbednosti informacija (ISMS)

·          Odgovornost rukovodstva

·          Ocena rukovodstva

·          Unapređenje ISMS-a

 

Standard ISO 27001 je sveobuhvatan, jer tretira bezbednosti informacija sa tri aspekta:

·          informatičkog – analizirajući i definišući performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po bezbednost podataka i informacija;

·          administrativnog – definišući jasna uputstva, politike i procedure za generisanje informacija, njihovu distribuciju, čuvanje (skladištenje);

·          fizičku – fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija.

 

Kroz niz zahteva koje je neophodno zadovoljiti, svaka organizacija ima velike koristi od primene ovog standarda, a među njima su:

·          usaglašenost sa zakonima;

·          sistematska zaštita od opasnih i potencijalnih troškova zlonamerne upotrebe kompjutera, sajber kriminala i drugih negativnih uticaja;

·          poboljšanje svog ugleda kod zaposlenih, klijenata i partnerskih organizacija;

·          poboljšana prodaja usluga;

·          praktične odluke vezane za sigurnosne tehnike i rešenja za razvoj;

·          postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u organizaciji;

·          smanjenje troškova koji nastaju usled zloupotrebe informacija.


Standard informacije tretira kao imovinu i daje osnovne smernice za njeno očuvanje, bezbedno upravljanje i upotrebu. Kao i najveći broj drugih standarda kompatibilan je sa ISO 9001, ali specificira dodatne zahteve vezane za identifikaciju rizika (internih i eksternih) po bezbednost informacija i uspostavljanje mehanizama za njihovo eliminisanje ili svođenje na prihvatljiv nivo. Implementacija sistema zaštite i bezbedosti informacija pruža uverenje klijentima i poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i distribuiraju profesionalno i sigurno.

 

 

ISO 27001 je takođe kompatibilan sa standardom ISO 22301:2012 (u Srbiji zvanično SRPS ISO 22301:2014 - Društvena bezbednost - Sistemi menadžmenta kontinuitetom poslovanja – Zahtevi) koji se odnosi na identifikaciju potencijalnih pretnji po sistem i koji kroz uspostavljen sistem upravljanja kontinuitetom poslovanja ima za cilj zaštitu preduzeća od potencijalnih pretnji, smanji verovatnoću prekida poslovanja, pripremi za adekvatno reagovanje ukoliko do toga dođe i obezbedi odgovarajuće planove oporavka. Incidenti koji su obuhvaćeni mogu biti u rangu od iznenadnog prekida IT sistema do prirodnih katastrofa i terorističkih napada.

 

Standard ISO 22301 u poslednje vreme dobija na sve većem značaju i u potpunosti je usaglašen, kako sa već pomenutim ISO 27001, tako i sa vodećim standardima (ISO 9001, OHSAS 18001, ISO 14001...) i njegova implementacija podleže Plan-Do-Check-Act (PDCA) ciklusu i obuhvata zahteve vezane za uspostavljanje konteksta sistema upravljanja kontinuitetom poslovanja, zahteve vezane za ulogu vrhovnog rukovodstva, ciljeve kontinuiteta poslovanja i mere za rešavanje rizika, podršku, sprovođenje, merenje i korektivne akcije.

 

Ključne koristi od primene standarda 22301:

       maksimiziranje kvaliteta i efikasnosti u radu

       omogućava fleksibilnost organizaciji prilikom prekida u radu

       kompetitivna prednost

       kontinualno unapređivanje organizacije kroz interne provere

       usaglašenost sa regulatornim zahtevima

       uštede u troškovima

       održavanje optimalnog nivoa pružanja usluge klijentima i stejkholderima

 

 

Oni će Vas oceniti

Knjiga dr Nikole Vujanovića

Oni će Vas posavetovati

Prijava na Nedeljni pregled

Facebook Kvalitet