logoPK

PORTAL KVALITET

Planirajte, radite, proveravajte i delujte kvalitetno

  1. Vi ste ovde:
  2. Infrastruktura kvaliteta
  3. Standardi
  4. ISO 27001 i ISO 22301

ISO 27001 i ISO 22301

ISO 27001 (zvanični naziv ISO/IEC 27001:2013, u Srbiji je zvanični naziv SRPS ISO/IEC 27001:2014)  je međunarodni standard koji se odnosi na zaštitu i bezbednost informacija. Standard pruža sveobuhvatni okvir kroz koji organizacija identifikuje, analizira i adresira rizike bezbednosti informacija i obezbeđuje usaglašenost bezbednosnog uređenja u cilju održavanja koraka sa promenama u okviru bezbednosnih pretnji, ranjivosti i poslovnih uticaja.

 

Takođe, standard podleže različitim područjima primene kao i za razlikovanje mogućih procesa u organizaciji koji su povezani sa upravljanjem kontrole sigurnosti, kao sto su: politika sigurnosti, sigurnost organizacije, kontrola i klasifikacija izvora, sigurnost osoblja, sigurnost materijalnih dobara i životne sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje raznih sistema i upravljanje kontinuitetom poslovanja.

 

Standard je deo serije standarda 27000, koji pored njega čine još i:

• ISO 27000 – Pregled i rečnik;
• ISO 27002 - Pravila prakse za kontrole bezbednosti informacija;
• ISO 27003 - Smernice za implementaciju;
• ISO 27004 - Merenja;
• ISO 27005 - Upravljanje rizikom;
• ISO 27006 - Zahtevi za tela koja obavljaju proveru i sertifikaciju;
• ISO 27007 - Uputstvo za interne i eksterne provere
• ISO 27011, ISO 27012, ISO 27013,...
 

ISO 27001 daje okvir koji je neophodan za stvaranje sigurnog sistema. Usaglašen sistem ISO 27001 će obezbediti sistematski pristup za identifikovanje i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije. Svojim zahtevima definiše četiri glavna područja sistema zaštite informacija:

· Sistem menadžmenta bezbednosti informacija (ISMS)
· Odgovornost rukovodstva
· Ocena rukovodstva
· Unapređenje ISMS-a

 

Standard ISO 27001 je sveobuhvatan, jer tretira bezbednosti informacija sa tri aspekta:

· informatičkog – analizirajući i definišući performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po bezbednost podataka i informacija;
· administrativnog – definišući jasna uputstva, politike i procedure za generisanje informacija, njihovu distribuciju, čuvanje (skladištenje);
· fizičku – fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija.

 

Kroz niz zahteva koje je neophodno zadovoljiti, svaka organizacija ima velike koristi od primene ovog standarda, a među njima su:

· usaglašenost sa zakonima;
· sistematska zaštita od opasnih i potencijalnih roškova zlonamerne upotrebe kompjutera, sajber kriminala i drugih negativnih uticaja;
· poboljšanje svog ugleda kod zaposlenih, klijenata i partnerskih organizacija;
· poboljšana prodaja usluga;
· praktične odluke vezane za sigurnosne tehnike i rešenja za razvoj;
· postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u organizaciji;
· smanjenje troškova koji nastaju usled zloupotrebe informacija.

 

Standard informacije tretira kao imovinu i daje osnovne smernice za njeno očuvanje, bezbedno upravljanje i upotrebu. Kao i najveći broj drugih standarda kompatibilan je sa ISO 9001, ali specificira dodatne zahteve vezane za identifikaciju rizika (internih i eksternih) po bezbednost informacija i uspostavljanje mehanizama za njihovo eliminisanje ili svođenje na prihvatljiv nivo. Implementacija sistema zaštite i bezbedosti informacija pruža uverenje klijentima i poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i distribuiraju profesionalno i sigurno.
 

ISO 27001 je takođe kompatibilan sa standardom ISO 22301 (u Srbiji zvanično SRPS ISO 22301 - Društvena bezbednost - Sistemi menadžmenta kontinuitetom poslovanja – Zahtevi) koji se odnosi na identifikaciju potencijalnih pretnji po sistem i koji kroz uspostavljen sistem upravljanja kontinuitetom poslovanja ima za cilj zaštitu preduzeća od potencijalnih pretnji, smanji verovatnoću prekida poslovanja, pripremi za adekvatno reagovanje ukoliko do toga dođe i obezbedi odgovarajuće planove oporavka. Incidenti koji su obuhvaćeni mogu biti u rangu od iznenadnog prekida IT sistema do prirodnih katastrofa i terorističkih napada.

 
Standard ISO 22301 u poslednje vreme dobija na sve većem značaju i u potpunosti je usaglašen, kako sa već pomenutim ISO 27001, tako i sa vodećim standardima (ISO 9001, OHSAS 18001, ISO 14001...) i njegova implementacija podleže Plan-Do-Check-Act (PDCA) ciklusu i obuhvata zahteve vezane za uspostavljanje konteksta sistema upravljanja kontinuitetom poslovanja, zahteve vezane za ulogu vrhovnog rukovodstva, ciljeve kontinuiteta poslovanja i mere za rešavanje rizika, podršku, sprovođenje, merenje i korektivne akcije.

 

Ključne koristi od primene standarda 22301:
•       maksimiziranje kvaliteta i efikasnosti u radu
•       omogućava fleksibilnost organizaciji prilikom prekida u radu
•       kompetitivna prednost
•       kontinualno unapređivanje organizacije kroz interne provere
•       usaglašenost sa regulatornim zahtevima
•       uštede u troškovima
•       održavanje optimalnog nivoa pružanja usluge klijentima i stejkholderima