IT/ICT Security conference
Zlatibor 24-26 April, 2014
ISO 20000 i ISO 27001
integracija za bolji IT
Dr. Zdenko Adelsberger
Bluefield d.o.o.
www.bluefield.hr
zdenko@bluefield.hr

O predavaču …
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 2
Dr. Zdenko Adelsberger, informatičke nauke
• EOQ menadžer i auditor za: ISMS (ISO/IEC 27001)
QMS (ISO 9001)
EMS (ISO 14001)
OHSAS (18001)
• CIS menadžer za ISMS
• IRCA LA za ISMS
Trener i konzultant za ISMS, RM, ITSMS

Agenda
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 3
• Osnovni pojmovi sistema upravljanja
• Što je to ISO/IEC 27001 i njegov značaj?
• Što je to ISO/IEC 20000 i njegov značaj?
• Integracija ISO/IEC 27001 i ISO/IEC 20000 i značaj za IT
• Zaključak

Što je SISTEM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 4
Sistem je uređeni skup
aktivnosti koje su na temelju
pravila i funkcionalno
vezanih resursa usmjereni na
ostvarivanje svoje misije.
SISTEM
Granice
Okruženje

Elementi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 5
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija
upravljanja je
osigurati
postizanje
ciljeva i
poboljšanje
Sigurnost
postizanja ciljeva
temelji se na:
UPRAVLJANJU
RIZICIMA
Postizanje
poboljšanja temelji
se na:
MJERENJU
UČINKOVITOSTI

Definicija procesa
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 6
(Poslovni)
PROCES
Resursi
Pravila
Ulaznizahtjevi
Zadovoljenjeulaznih
zahtjeva
Jedini razlog postojanja
poslovnih procesa je:
zadovoljenje ulazne
zahtjeve.
Pojedine zainteresirane
strane mogu imati potpuno
različite ulazne zahtjeve na
istom procesu
Aktivnost ili niz
aktivnosti gdje se
upotrebljavaju
resursi i kojima se
upravlja kako bi se
omogućila
pretvorba ulaza u
izlaz mogu se
smatrati procesom.
(ISO 9001:2008)

PDCA krug za upravljanje procesima
Prema ISO 9001:2008
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 7
1
23
4

Odnos pojmova procesa i procedure
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 8
PROCES PROCEDURA
U realnosti U dokumentaciji

Povezanost sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 9

Doprinosi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 10
ISO 9001 ISO/IEC 27001
ISO/IEC 20000-1
Korektivne radnje
Preventivne radnje
Upravljanje dokumentacijom
Interni auditi
Upravina ocjena
Procesni pristup
Upravljanje nabavom
Upravljanje incidentima
Upravljanje promjenama
Dostupnost usluge
BCP
Upravljanje sigurnošću

ISO/IEC 27001:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 11
Sistem za upravljanje sigurnošću informacija
ISMS
Information Security Management System

Dobit od ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 12
Poslovni rizik Poslovna potreba Značajka standarda Prednost
(kako to koristi?)
Dobit
Neuspjela zaštita informacija
kupaca
Smanjenje rizika incidenata Postupak za utvrđivanje
relevantnih rizika, razumijevanje o
tome kako se rizik formirana i
ocjenjivanje poboljšanja.
Bolja svijest i razumijevanje rizika.
Bolje upravljanje rizikom.
Manje incidenata i nesreća.
Manje incidenta. Manje smetnji.
Manje vremena utrošeno na
saniranju nesreća i nezgoda.
Više se vremena troši na
proaktivne mjere.
Niži zahtjevi nadzora i audita
klijenata.
Gubitak od kupaca i investitora
zbog oštećenog ugleda
informacijske nesigurnosti
Kako bi zaštitili i povećati ugled.
Za uspjeh više ponuda.
Privući što više ulagača
Operativne kontrole će bit na
mjestu
Smanjenje incidenata i nesreća.
Bolje upravljanje incidentima i
nesrećama.
Manje negativnog pritiska što
znači manje vremena i novca
potrošenog na mjere ograničenih
šteta. Manje resursa se troši na
pronalaženje novih kupaca i
investitora.
Mogućnosti za pozitivan PR
Nedovoljno razumijevanje i
prijetnje za poslovanje
Odlučivanje na temelju poslovnih
podataka
Uloge i odgovornosti će biti
definirane.
Osoblje će biti osposobljeno i
kompetentno.
Komunikacija učesnika i
uključenost rješavanje zahtjeva
ISMS
Djelatnici su svjesni svoje uloge i
odgovornosti u potrebe
informacijske sigurnosti.
Veća vjerojatnost da će učesnici
uočiti i izbjeći potencijalne
opasnosti. Manji gubitak vremena
na incidentima.
Veća produktivnost.
Manje vremena i novca potrošeno
na odgovaranje na incidente.
Prekid poslova, kao posljedica
informacijskih incidenata
Kontrola informacija, ali ne
pretjerani utjecaj na poslovne
procese
Operativne kontrole moraju biti na
mjestu.
Postupci za pregled i ispitivanje
biti na mjestu.
Manja vjerojatnost incidenata.
Bolja pripremljenost u slučaju
incidenta, što znači brži odgovor i
smanji utjecaj.
Učinkovitije poslovanje.
Razumijevanje poslovnih
informacijskih procesa.
Bolje mogućnosti uvjeravanja
kupca i unutarnje strane.

Što je informacija?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 13
10001100
11001011
10011111
10101011
11001000
Signali
(znakovi)
7910 je
PODATAK
7910
PIN: 7910
7910 je
INFORMACIJA
(kontekst označava da
je to PIN kartice)
(može biti npr. nadmorska
visina, prva kozmička
brzina, profit organizacije,
itd.)

Glavne karakteristike informacije
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 14
CJELOVITOST
Integrity
RASPOLOŽIVOST
Availability
INFORMACIJA
TAJNOST
Confidentiality
C-I-A

Što o informaciji kaže ISO/IEC 27002:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 15
“Informacija je imovina koja kao i ostala
važna imovina u poslovanju ima
vrijednost za organizaciju i mora biti
stalno odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se
smatra očuvanje karakteristika informacije:
tajnosti, cjelovitosti i raspoloživosti.

Šta je informacijski sistem?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 16
Informacijski sistem (IS) je sistem koji
prikuplja, pohranjuje, čuva, obrađuje, i
isporučuje potrebne informacije uz pomoć
odgovarajućih resursa i pravila, na način da su
informacije dostupne svim članovima neke
zajednice (organizacije) koji se njima žele
koristiti te imaju odgovarajuću autorizaciju.
Važna činjenica: IT ≠ IS

Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 17
Informacije na
serverima i mreži Informacije na lokalnim kompjuterima
Informacije prenošene telefonskim
linijama i/ili Internetom
Informacije zapisane
na papiru Informacije štampane
na papiru
Informacije spremljene
na diskovima, trakama,
CD-ovima, USB memorijama,
...
Informacije fax
strojeva
Zaposlenici i
partneri

Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 18
Slika A
IS
IT
Slika B
IS
IT

Komponente sigurnosnog rješenja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 19
Tehnička
rješenja Organizacijska
rješenja
Procjena
rizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNO
RJEŠENJE

Upravljanje informacijskom sigurnošću obuhvaća 3 široka područja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 20
Upravljanje
informacijskom
sigurnošću
Upravljanje
IT i fizičkom
zaštitom
Upravljanje
legislativom,
regulativom i
ugovornim obvezama
Upravljanje
ljudima, procesima,
poslovanjem,
operacijama,
treningom / sviješću

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 21
Serija standarda za područje informacijske sigurnosti

Kratka povijest ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 22
• 1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information
Security Management'.
• 1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996
Support and compliance tools begin to emerge, such as COBRA.
• 1999
The first major revision of BS7799 was published. This included many major enhancements.
Accreditation and certification schemes are launched.
• 2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally,
ISO/IEC 17799).
• 2001
The 'ISO 17799 Toolkit' is launched.
• 2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than
a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
• 2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005
ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security
management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013
ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS
(information security management system)

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 23
ISO/IEC 27001:2013 Foreword
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
6 Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk treatment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
10 Improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
Annex A (normative) Reference control objectives and controls
Bibliography

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 24
ISO/IEC 27001:2013 Predgovor
0 Uvod
1 Opseg
2 Normativne reference
3 Pojmovi i definicije
4 Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta
4.2 Razumijevanje potreba i očekivanja zainteresiranih strana
4.3 Određivanje opsega sustava za upravljanje informacijskom sigurnošću
4.4 Sustav za upravljanje informacijskom sigurnošću
5 Rukovođenje
5.1 Rukovođenje i predanost
5.2 Politika
5.3 Organizacijske uloge, odgovornosti i ovlasti
6 Planiranje
6.1 Akcije za rješavanje rizika i prilika
6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje
7 Podrška
7.1 Resursi
7.2 Kompetencije
7.3 Svjesnost
7.4 Komunikacija
7.5 Dokumentirane informacije
8 Operacije
8.1 Operativno planiranje i kontrola
8.2 Procjena rizika informacijske sigurnosti
8.3 Obrada rizika informacijske sigurnosti
9 Ocjenjivanje uspješnosti
9.1 Nadzor, mjerenje, analiza i ocjena
9.2 Unutarnji audit
9.3 Upravina ocjena
10 Poboljšanje
10.1 Nesukladnost i korektivne akcije
10.2 Kontinuirano poboljšanje
Aneks A (normativni) Referenca ciljeva kontrola i kontrola
Bibliografija

Sigurnosna područja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 25
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizička sigurnost i sigurnost okoliša
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sustava, razvoj i održavanje
11 A.15. Odnosi s dobavljačima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglašenost

Veza između ISO/IEC 27001 i ISO/IEC 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 26
Sigurnosno područje
X
Sigurnosni cilj X1
Kontrola 1
Uputstvo za
primjenu
Ostale
informacije
Kontrola 2
Uputstvo za
primjenu
Ostale
informacije
Kontrola n
Uputstvo za
primjenu
Ostale
informacije
Sigurnosno područje
X
Sigurnosni cilj X1
Kontrola 1
Kontrola 2
Kontrola n
Aneks A u ISO/IEC 27001:2013
Sadržaj ISO/IEC 27002:2013
Broj sigurnosnih područja 14
Broj sigurnosnih ciljeva 35
Broj kontrola 114

Primjer veze 27001 - 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 27
ISO/IEC 27001:2013
Annex A
ISO/IEC 27002:2013

Faze implementacije ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 28
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)
Početak
projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
• Animacija vrhovne uprave
• Obrazovanje tima za
implementaciju (procjenu
rizika)

Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 29
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljšanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaćanje
i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A

Dokumentacija za ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 30
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,
područje djelovanja,
procjena rizika,
SoA
PROCEDURE:
tko, šta, kada, gdje?
RADNE UPUTE:
Detaljni opis zadataka i aktivnosti
ZAPISI:
Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
OperacionarazinaOrganizacijskarazina

ISO/IEC 2000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 31
IT servis menadžment
ITSM
Information technology Service management

Nastanak i razvoj ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 32
• 1995/1998 - A code of practice for Service Management
• BS 15000:2000 - Specification for Service Management
• PD0015:2000 IT Service Management: Self-assessment Workbook
• 2000 – 2002 Early adopters trials BS 15000-1:2002
• ITSMF Certification scheme - Nov 2003
• ISO/IEC 20000 Parts 1 and 2 – Dec 2005

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 33

Neki pojmovi prema ISO/IEC 20000-1 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 34
service component
single unit of a service that when combined with other units will deliver a complete
service. EXAMPLES Hardware, software, tools, applications, documentation,
information, processes or supporting services.
NOTE A service component can consist of one or more configuration items.
komponenta usluge
jedna jedinica usluge koja u kombinaciji s drugim jedinicama isporučuje kompletnu
uslugu, npr. hardver, softver, alat, aplikacija, dokumentacija, informacija, procesi i
prateće usluge.
NAPOMENA dio usluga može se sastojati od jedne ili više konfiguracija elemenata.
service continuity
capability to manage risks and events that could have serious impact on a service or
services in order to continually deliver services at agreed levels
kontinuitet usluga
Sposobnost za upravljanje rizicima i događajima koji bi mogli imati ozbiljan utjecaj na
uslugu ili usluge kako bi se kontinuirano pružaju usluge na dogovorenim nivoima
service level agreement - SLA
documented agreement between the service provider and customer that identifies
services and service targets
NOTE 1 A service level agreement can also be established between the service
provider and a supplier, an internal
group or a customer acting as a supplier.
NOTE 2 A service level agreement can be included in a contract or another type of
documented agreement.
ugovor o razini usluge - SLA
dokumentirani dogovor između pružatelja usluga i kupca koji identificira usluge i
ciljeve službe
NAPOMENA 1 ugovor o razini usluge također može biti uspostavljen između
pružatelja usluga i dobavljača, interne skupine ili kupca koji djeluje kao dobavljač.
NAPOMENA 2 Ugovor o razini usluge može biti uključeni u ugovor ili drugu vrstu
dokumentiranog sporazuma.
service management
set of capabilities and processes to direct and control the service provider's activities
and resources for the design, transition, delivery and improvement of services to
fulfil the service requirements
upravljanje uslugama
set sposobnosti i procesa za upravljanje i kontrolu aktivnosti davatelja usluga i
resursa za projektiranje, tranziciju, isporuku i poboljšanje usluga u cilju ispunjavanja
zahtjeva usluga

Neki pojmovi prema ISO/IEC 20000-1 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 35
service management system - SMS
management system to direct and control the service management activities of the
service provider
NOTE 1 A management system is a set of interrelated or interacting elements to
establish policy and objectives and to
achieve those objectives.
NOTE 2 The SMS includes all service management policies, objectives, plans, processes,
documentation and resources required for the design, transition, delivery and
improvement of services and to fulfil the requirements in this part of ISO/IEC 20000.
NOTE 3 Adapted from the definition of “quality management system” in ISO 9000:2005.
sistem za upravljanje uslugama - SMS
Sistem upravljanja za upravljanje i kontrolu aktivnosti upravljanja u službi davatelja
usluga
NAPOMENA 1 Sistem upravljanja je skup međusobno povezanih ili među-interaktivnih
elemenata sa uspostavljenom politikom i ciljevima, te postizanjem tih ciljeva.
NAPOMENA 2 SMS uključuje sve politike upravljanja uslugama, ciljeve, planove,
procese, dokumentaciju i resurse potrebne za projektiranje, tranziciju, isporuku i
poboljšanje usluga kroz zadovoljenje zahtjeva ISO/IEC 20000.
NAPOMENA 3 Prilagođeno iz definicije "sistem upravljanja kvalitetom ISO 9000:2005" u.
service provider
organization or part of an organization that manages and delivers a service or services
to the customer
NOTE A customer can be internal or external to the service provider's organization.
dobavljač usluga
organizacija ili dio organizacije koja upravlja i pruža uslugu ili usluge za kupca
NAPOMENA kupac može biti unutarnja ili vanjska organizacija davatelja usluga.
service request
request for information, advice, access to a service or a pre-approved change
zahtjev za servis
zahtjev za informacije, savjete, pristup usluzi ili pred-odobrene promjene
service requirement
needs of the customer and the users of the service, including service level
requirements, and the needs of the service provider
zahtjev usluge
potrebe kupca i korisnika usluga, uključujući i zahtjeve o nivou usluge, kao i potrebe
davatelja usluga

Što je standard ISO/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 36
Standard ISO/IEC 20000-1 objavljen je od strane Međunarodne organizacije za standarde (ISO) i on je
certifikacijski.
Zamjenjuje standard BS 15000 i predstavlja međunarodno prihvaćenu standard za upravljanje IT
uslugama. Standard se većim dijelom temelji na sadržaju BS 15000, ali tako posložen da odgovara i bude
harmoniziran sa ostalim međunarodnim standardima.
Standard je dobro podržan i oslanja se na druge dokumente uključujući srodan standard ISO/IEC 20000-
2, koji predstavlja Kodeks prakse Upravljanja IT Uslugama sa široko prihvaćenim smjernicom IT
Infrastructure Library (ITIL®).
Po svojoj namjeni, ISO/IEC 2000-1 je skup zahtjeva koje
se MORA ispuniti, ako se želi certificirati uspostavljeni,
održavani i poboljšavani sistem upravljanja uslugama.

Kome je namijenjen IS/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 37
Prije svega, standard pomaže organizacijama da:
• steknu uvid u kvalitetu usluga koje isporučuju,
• specificiraju sve procese, i
• stvore sliku o tome šta bi trebalo unaprediti radi povećanja kvaliteta usluga.
Kada se govori o primjeni standarda ISO/IEC 20000, misli se prvenstveno na
ispunjavanje zahtjeva danih u ISO/IEC 20000-1:2011, dok su ostali dokumenti u
okviru ovog standarda smjernice namijenjene da pomognu organizaciji da se na
što bolji i lakši način ispune zahtjeve.

Familija standarda ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 38
 ISO/IEC 20000-1:2011 (Part 1: Service management system requirements) bliže opisuje sistem upravljanja
uslugama (SMS - Service Management System). Njime su obuhvaćeni svi zahtjevi koje bi organizacija trebalo da
ispuni u cilju planiranja, uspostavljanja, primjene, provođenja, nadgledanja, revidiranja, održavanja i poboljšavanja
Service Management sistema. Standard sadrži ukupno 256 zahtjeva, podijeljenih u 6 grupa, a koji se odnose na
dizajn, promjenu, isporuku u poboljšanje usluga.
 ISO/IEC 20000-2:2012 (Part 2: Guidance on the application of service management systems) sadrži smjernice
(upute) za primjenu SMS-a, na osnovu zahtjeva opisanih u ISO 20000-1. Sadrži primjere i prijedloge primjene
sistema, a omogućava organizacijama da na što vjerodostojniji način interpretiraju i primjene ISO/IEC 20000-1.
 ISO/IEC TR 20000-3:2009 (Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1): Odnosi
se na definiranje opsega i primjenljivosti standarda ISO/IEC 20000-1 u određenoj organizaciji. Dopunjuje dokument
ISO 20000-2, koji sadrži opća iskustva i može pomoći, kako organizacijama koje posluju prema navedenom
standardu, tako i organizacijama koje su zainteresirane da uvedu standard ISO/IEC 20000-1 u svoje poslovanje.
 ISO/IEC TR 20000-4:2010 (Part 4: Process reference model) bliže opisuje i olakšava primjenu modela
procjene procesa, opisanog standardom ISO/IEC 15504 (IT - Process assessment ). Model opisan ovim standardom je
logičan prikaz elemenata procesa u okviru upravljanja uslugama koji se mogu provoditi na osnovnom nivou. On
opisuje sve procese na apstraktnom nivou, uključujući i procese SMS-a opisanih u ISO/IEC 20000-1 standardu.
 ISO/IEC TR 20000-5:2010 (Part 5: Exemplar implementation plan for ISO/IEC 20000-1) predstavlja primjer
plana implementacije, koji daje bliže upute kako primijeniti SMS u cilju ispunjavanja zahtjeva opisanih ISO 20000-1
standardom. Obuhvaća savjete u vezi kojim redom bi trebalo planirati i primjeniti poboljšanja.
ZAHTJEVI
Primjeri
(ITIL)
Opseg
Procjena
procesa
Plan
implementacije

Koristi od primjene ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 39
• Usuglašenost IT usluga sa poslovnim ciljevima,
• Stvaranje okvira za poboljšanje kvalitete usluga,
• Usporedivost sa najboljima iz područja IT usluga,
• Smanjenje rizika i troškova IT usluga,
• Stvaranje neophodne hijerarhije i kulture u okviru same organizacije,
• Stvaranje konkurentske prednosti kroz promoviranje stabilnih i isplativih usluga,
• Kreiranje stabilnog okvira koji potiče automatizaciju u upravljanju uslugama.
Standard ISO/IEC 20000 pruža pomoć organizaciji u vidu sagledavanja i poboljšanja nivoa IT usluga i
demonstracije sposobnosti organizacije da ispuni sve neophodne zahtjeve korisnika. Konkretne koristi
koje primjena ovog standarda može se prikazati kroz:

Sistem upravljanja servisom (SMS)
prema ISO/IEC 20000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 40
Kupci
(i ostale
zainteresirane
strane)
Kupci
(i ostale
zainteresirane
strane)
Zahtjevi za
uslugom
Usluga
SMS - zahtjevi
•Odgovornost uprave
•Upravljanje procesima
drugih strana
•Dokumentacija za upravljanje
•Upravljanje resursima
•Uspostava i poboljšanje SMS
Projektiranje i tranzicija nove usluge ili promjena usluga
Procesi isporuka usluga
•Upravljanje kapacitetom
•Kontinuitet usluga i dostupnost
•Upravljanje nivoima servisa
•Izvještavanje o uslugama
•Upravljanje sigurnošću
•Računovodstvo za usluge
Kontrolni procesi
• Upravljanje konfiguracijom
• Upravljanje promjenama
• Upravljanje verzijama i primjena
Procesi razlučivosti
• Upravljanje incidentima i
zahtjevima usluge
• Upravljanje problemima
Procesi odnosa
• Upravljanje poslovnim
odnosima
• Upravljanje dobavljačima

Faze implementacije ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 41
1) Imenujte tim i definirajte Vašu strategiju
Usvajanje sistema upravljanja mora biti strateška odluka cijele organizacije. Važno je da Vaša Uprava bude uključena u process. Oni odlučuju o poslovnoj strategiji koju
učinkovit sistem upravljanja podržava. U dodatku, trebate odabrati tim koji će razvijati i implementirati Vaš sistem upravljanja.
2) Identificirajte potrebe edukacije
Članovi tima koji su odgovorni za implementaciju i održavanje sistema upravljanja trebaju znati sve detalje o primjenjivom standardu. Postoji velik izbor seminara i radionica
koji su dostupni kako bi zadovoljili Vaše potrebe.
3) Procijenite Vaše opcije za konzultante
Neovisni konzultanti će Vas moći savjetovati oko izvedivog, objektivnog strateškog plana, sa što manje troška za implementaciju.
4) Izradite priručnik sustava upravljanja
Vaš priručnik sistema upravljanja treba opisivati politiku i poslovanje Vaše tvrtke. Kroz priručnik, pružit ćete točan opis organizacije i najbolju praksu koja je primijenjena
kako bi kontinuirano ispunjavali očekivanja Vaših klijenata.
5) Izradite procedure
Procedure opisuju procese Vaše organizacije i najbolju praksu kako postići te procese. Ove procedure trebaju odgovoriti na slijedeća pitanja za svaki proces: Zašto? Tko?
Kada? Gdje? Što?
6) Implementirajte Vaš sistem upravljanja
Komunikacija i edukacija su ključni za uspješnu implementaciju. Tokom faze implementiranja, Vaša će organizacija raditi prema ovim procedurama koje su razvijene kako bi
dokumentirale i demonstrirale učinkovitost sistema upravljanja.
7) Razmotrite potrebu procjene stanja
Možete odabrati da se održi procjena stanja implementiranog sistema upravljanja od strane certifikacijske kuće. Njena svrha je identificiranje područja nesukladnosti i
omogućavanje da se ta područja poprave prije nego krenete u proces akreditirane certifikacije. Dobivanje nesukladnosti znači da određeni dio Vašeg sistema upravljanja
nije usklađen sa zahtjevima norme.

Implementacija ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 42
1
Svijest
Vizija i opseg
Procjena
Grubi plan
2
Poslovni slučaj
Sponzor
3
Program
Plan
Upravljanje
programom
4
Proces
Uspostava sistema
upravljanja
Definiranje politika,
planova, SLA
Razvoj procesa i
procedura
Monitoring
Kontinuirano
poboljšanje
5
Ljudi
Definiranje i alociranje uloga
Mjerenje kompetentnosti
Identificirati promjenu kulture
Potrebe
Komunikaciona strategija
6
Tehnologija
Pregled postojećeg slupa alata
Definiranje zahtjeva tehnologije
Razvoj opcija
Implementacija alata
7
Certifikacija
Odabira vanjskog auditora
Pred-certifikacijski audit
Certifikacijski audit
Ukazivanje na kontrole
8
Mjerenje koristi
Održavanje
Usklađenost
Proširenje opsega

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 43

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 44

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 45

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 46

ITSMS
Kakva je sprega ISMS i ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 47
ISMS

ISO/IEC 20013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 48
Smjernica za integralni implementaciju
ISO/IEC 27001 i ISO/IEC 20000-1
ITSM
Information technology — Security techniques —
Guidance on the integrated implementation of
ISO/IEC 27001 and ISO/IEC 20000-1

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 49

Prednosti integracije ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 50
Odnos između informacijske sigurnosti i
upravljanja uslugama je tako usko vezan da su
mnoge organizacije prepoznale prednosti usvajanja
oba standarda ISO/IEC 27001 za informacijsku
sigurnost, i ISO/IEC 20000-1 za upravljanje
uslugama.
Postoji niz prednosti u provedbi integriranog sistema upravljanja koji će uzeti u
obzir ne samo usluge koje se pružaju, nego i zaštitu informacija. Te prednosti se
mogu postići implementacijom prvo jednog pa onda drugog sistema, ili oba
standardi implementirati istodobno. Uprava i organizacijski procesi, posebno,
može izvući korist iz sličnosti i zajedničkih ciljeva oba standarda.

Ključne prednosti integracije ISMS i ITSM uključuju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 51
a)kredibilitet, internim i vanjskim kupcima organizacije, učinkovite i sigurne usluge;
b)niže cijene cjelovitog programa dvaju projekata,
gdje se postiže i upravljanje uslugama i sigurnost
informacija što su dio strategije organizacije;
c) smanjenje vrijeme provedbe zbog integriranog
razvoja zajedničkih procesa oba standarda;
d)eliminacija nepotrebnih dupliciranja;
e)veće razumijevanje međusobnih stavova od strane menadžmenta usluga i sigurnosnog osoblja;
f) organizacija certificirana za ISO/IEC 27001 će lakše ispuniti zahtjeve za informacijsku sigurnost u
ISO/IEC 20000-1:2011.

Područje primjene standarda ISO/IEC 27013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 52
a) implementirati ISO/IEC 27001, kada je ISO/IEC 20000-1 već implementiran, ili
obrnuto;
b) provoditi implementaciju istodobno po ISO/IEC 27001 i ISO/IEC 20000-1;
c) integrirati postojeće ISO/IEC 27001 i ISO/IEC 20000-1 sisteme upravljanja.
Ovaj Međunarodni standard fokusira se isključivo na
integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1.
U praksi, ISO/IEC 27001 i ISO/IEC 20000-1 mogu biti
integrirani s ostalim sistemima upravljanja, kao što su npr.
ISO 9001 i ISO 14001, itd.
Ovaj međunarodni standard daje smjernice za integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1,
za one organizacije koje se namjeravaju bilo:

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 53
KONCEPT ISO/IEC 27001
ISO/IEC 27001 pruža model za uspostavljanje, implementaciju,
upravljanje, nadzor, pregled, održavanje i usavršavanje ISMS u
cilju zaštite informacijske imovine. Informacijska imovina
obuhvaća informacije u bilo kojem obliku, pohranjene u bilo
kojem obliku, a koristi se za bilo koju svrhu, od strane ili okruženju
organizacije.
Da bi se postigla sukladnost s ISO/IEC 27001, organizacija treba
implementirati ISMS koji se temelji na procesu procjene rizika
kako bi identificirala rizike za informacijsku imovinu. Kao dio ovog
posla, organizacija treba odabrati, implementirati, nadzirati i
pregledati razne mjere za upravljanje tim rizicima. Ove mjere su
poznate kao kontrole. Organizacija mora odrediti prihvatljive
razine rizika, uzimajući u obzir poslovne zahtjeve i definirane
zahtjeve. Primjeri definiranih zahtjeva su zakonski i regulatorni
zahtjevi ili ugovorne obveze.
ISO/IEC 27001 mogu koristiti bilo koje vrste i veličine organizacije.
KONCEPT ISO/IEC 20000-1
ISO/IEC 20000-1 može biti korišten od strane organizacija, ili dijelova
organizacije, koje koriste ili pružaju usluge. To dodaje vrijednost i za
kupca i davatelja usluga. Međutim, svi procesi obuhvaćeni
standardom su kontrolirani od strane davatelja usluga, i on je jedini
koji može postići sukladnost s ISO/IEC 20000-1. Standard se
prvenstveno bavi osiguranjem da usluge ispunjavaju uvjete usluga i
osiguravaju vrijednost i za kupca i davatelja usluga.
Upravljanje uslugama usmjerava i nadzire aktivnosti i sredstva
davatelja usluge u dizajnu, razvoju, tranziciji, isporuci i poboljšanju
usluga u cilju da ispuni zahtjeve usluga u dogovoru sa svojim kupcima.
Da bi se ispunili zahtjevi standarda, davatelj usluga bi morao provesti
niz određenih procesa. To su procesi, kao npr.: upravljanje
incidentima, upravljanje promjenama i upravljanje problema, itd.
Upravljanje sigurnošću je jedan procesa u ISO/IEC 20000-1.
ISO/IEC 20000-1 može se koristiti bilo koje vrste i veličine organizacije.

Usporedba koncepata ISO/IEC 27001 i ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 54
Specifično za
ISO/IEC 27001
•Klasifikacija informacijske
imovine
•Upravljanje
informacijskom
Imovinom
Dijeljeni dijelovi (djelomično su isti, djelomično se
razlikuju)
Specifično za
ISO/IEC 20000-1
•Budžetiranje i vođenje
troškova usluga
•Upravljanje poslovnim
odnosima
•Dizajn i tranzicija novih i
izmijenjenih usluga
•Upravljanje nivoom
usluge
•Upravljanje kapacitetom
•Upravljanje promjenama
•Upravljanje
konfiguracijom
•Upravljanje
dokumentima
•Upravljanje incidentima
•Upravljanje problemima
•Upravljanje razvojem i
verzijama
•Upravljanje resursima
•Upravljanje rizikom
•Odgovornosti i ovlaštenja
•Upravljanje sigurnošću
•Upravljanje
kontinuitetom
poslovanja
•Upravljanje
podugovaračima
Zajednički dijelovi (identični za obadva standarda)
•Kontinuirano poboljšavanje
•Zakonska i regulativna usuglašenost
•Preispitivanje od strane rukovodstva
•PDCA
•Trening i svijest
•Upravljanje dokumentima
ISO/IEC 27001 ISO/IEC 20000-1
ORGANIZACIJA
Fokus na informacijsku
imovinu
Fokus na uslugu

Odnos između informacijske imovine u ISO/IEC 27001 i konfiguracijskog
elementa (CI) u ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 55
Informacijska
imovina
Informacijska imovina
koja se ne koristi u
okviru SM
CI
CI koji nisu dio
informacijske
imovine
Informacijska
imovina koja
je CI
CI = Configuration Item – element koji treba biti kontroliran vezano za isporuku usluge ili usluga

Ilustracija odnosa standarda i upravljanja incidentima
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 56
ISO/IEC 27001
Upravljanje
incidentima
ISO/IEC 20000-1
Upravljanje
incidentima
Incidenti uvjetovani
servisom i sigurnošću
Trebaju li dva sistema
upravljanja incidentima?
Trebaju li dva Help-deska za
evidenciju incidenata?

Integracija procesa sigurnosti u organizaciju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 57
CSO - Chief Security Officer – je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je
direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika,
odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.
Top
menadžment
CSO
Odbor za
sigurnost
Po definiciji članovi su:
• Menadžeri ISMS, ITSM, QMS, OHSAS, ...
• Predstavnici nekih od zainteresiranih strana
• Vanjski suradnici - konzultanti
Vanjski suradnici –
specijalisti sa iskustvom
Tim za
procjenu rizika
Sektor 1 Sektor 2 Sektor n

Kako do kvalitetnog ISMS & ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 58
Postani i ostani
kompetentan
Izbori se za
budžet
Izbori se za
podršku uprave
Upravljaj sa
IS
(C-I-A)
Isporučuj
ugovorenu
uslugu (SLA)
Analiziraj
postignute
rezultate
Predloži
poboljšanje

Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 59

Povezanost ISO/IEC 27001:2005 i
ISO/IEC 20000-1:2011 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 60

Primjer usporedbe definicije pojmova u ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 61

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 62