ISMS, information, security, information security, ISO, standard, ISO 27001, benefits, regulation, planning

1. IT procesi
Studija slučaja: Uvođenje sustava
upravljanja informacijskom sigurnošću
prema standardu ISO 27001
pišu Siniša Pintek i
zahtjevi poslovanja ispunjavaju orga-
Sustav
Gabrijela VarGa nizacijske, kupčeve i pravne obveze. upravljanja
Ta međunarodna norma prihvaća informacijskom
model ‘Plan-Do-Check-Act’ primije- sigurnošću
Motiv ulaganja njen u oblikovanju svih ISMS-ovih (Information
Security
U Omegi software smo, na tragu želje procesa, a predviđa ciklus od četiri Management
da razumijemo sadašnje i buduće po- faze koje se kontinuirano trebaju pro- System -
trebe svojih kupaca i nastavno na uve- voditi kako bi se uveo sustav uprav- ISMS)
deni sustav upravljanja kvalitetom ljanja informacijskom sigurnošću
prema standardu ISO 9001, prepo- (ISMS). One su:
znali važnost sigurnosti informacija 1) uspostava ISMS-a
kao jedan od ključnih faktora koji una- 2) uvođenje i izvršavanje ISMS-a
pređuju poziciju tvrtke na tržištu. 3) nadzor i provjera ISMS-a zaposlenici jer sustav obuhvaća cijelu ukupno trajanje projekta pomaknuto
4) održavanje i poboljšavanje ISMS-a. tvrtku. sa šest na devet mjeseci, a proračun
Zašto sigurnost? Projekt je imao nekoliko faza: projekta ostao je isti.
Sustav upravljanja informacijskom si- Preduvjeti uspjeha • Uspostava sustava sastojala se od
gurnošću (Information Security Ma- Kao i za svaki projekt, predanost analize stanja, klasifikacije informa- Dobrobiti
nagement System - ISMS) prema uprave najvažniji je čimbenik uspješ- cija i izrade kataloga imovine te Najvažnije su dobrobiti uspostave
normi ISO/IEC 27001:2005 pruža su- nosti projekta. Nakon Upravine od- upravljanja rizicima. takvoga sistematičnog pristupa
stavan pristup upravljanju osjetljivim luke da će se u tvrtku uvesti sustav • Implementacija je uključila izradu upravljanju sigurnošću informa-
informacijama kako bi ih zaštitio, a bili su osigurani potrebni resursi. plana tretiranja rizika, izvedbu po- cija:
obuhvaća procese, informacijske imo- Stručni tim sastojao se od zaposlenika trebnih postupaka za uspostavu i • sigurnost i pouzdanost uvedenih
vinu i zaposlenike. On je isto tako tvrtke specijaliziranih za pojedina po- mjerenje učinkovitosti sustava te rješenja
sredstvo uz pomoć kojeg poslovod- dručja i vanjskih konzultanata čija je program izobrazbe svih zaposlenika • povjerenje poslovnih partnera u
stvo organizacije prati i nadzire sigur- uloga bila analiza postojećeg sustava tvrtke čiji je rezultat bilo podizanje sigurnost informacijske imo-
nost informacijskih sustava organiza- i usklađivanje sa zahtjevima norme. razine svijesti o informacijskoj si- vine
cije svodeći poslovni rizik na mi- gurnosti. • usklađenje s hrvatskom i zakon-
nimum i osiguravajući da sigurnosni Opseg sustava • Postavljanje nadzora omogućilo je skom regulativom EU
S obzirom na motive ulaganja i na naj- žurno otkrivanje pogrešaka, sigur- • konkurentska prednost na tr-
više kriterije kvalitete koje smo si po- nosnih incidenata te redovite pro- žištu
Važni RazlOzi
stavili odlučili smo obuhvatiti sve po- vjere i mjerenja učinkovitosti, što • osiguranje kontinuirane raspolo-
slovne procese u tvrtki. Tako sustav uključuje i unutarnje prosudbe kva- živosti usluge
Dva su glavna pokriva projektiranje, izgradnju i in- litete sustava. • povećanje svijesti zaposlenika o
motiva ulaganja: tegraciju složenih informacijskih su-
stava, uvođenje aplikativnih i pro-
• Postupkom certifikacije projekt
je uspješno dovršen; ona je uključi-
informacijskoj sigurnosti
• posjedovanje međunarodno pri-
• S obzirom na to da pristupamo gramskih rješenja, informatičko sa- vala neovisnu prosudbu sustava znatog certifikata prema normi
visoko povjerljivim informacijama vjetovanje, podršku, pomoć i održa- koju je provela vanjska certifika- ISO 27001
svojih klijenata, uvođenje takvog vanje informacijskih sustava. cijska kuća. Uvođenje sustava upravljanja infor-
sustava dodatno je jamstvo po- macijskom sigurnošću i certifikacija
stupanja takvim informacijama Tijek uvođenja Rizici prema normi ISO 27001 dodali su
na najvišoj razini sigurnosti. Na početku posebnu pozornost po- Od rizika prepoznatih na početku našem poslovanju znatnu vrijednost
• Ujedno smo zadovoljili Uredbu o svetili smo pomnom odabiru konzul- projekta (nedostatak resursa, nedo- jer tako svim svojim poslovnim par-
mjerama informacijske sigurnosti tanata koji su nas pratili tijekom ci- voljne poslovne i tehničke kompeten- tnerima pokazujemo da Omega sof-
koja tijelima državne uprave, od jelog projekta. Projektni tim sastojao cije, nedovoljna kvaliteta vanjskih tware u svoje poslovanje ugrađuje
kojih su mnoga naši klijenti, pro- se od voditelja projekta, sistem-admi- konzultanata) tijekom projekta akti- svjetski dokazanu najbolju praksu i
pisuje mjere informacijske sigur- nistratora i voditeljice informacijske virao se rizik nedostatka resursa koji potpisuje vrhunsku kvalitetu i inte-
PROMO
nosti za postupanje s klasificira- sigurnosti potpomognutih vanjskim je bio uzrokom pomicanja roka zavr- gritet svojih poslovnih rješenja i
nim i neklasificiranim podacima. konzultantima, a uključeni su bili i svi šetka projekta za tri mjeseca. Tako je usluga. L
www.liderpress.hr 13