Korištenje standarda ISO 27001 Sistema menadžmenta sigurnosti informacija

Postoje brojni direktni i praktični razlozi za implementaciju sistema menadžmenta bezbjednosti informacija i sistema upravljanja sigurnošću informacija (ISMS) koji može nezavisno da se certifikuje prema ISO 27001. Certifikat stalnim i budućim klijentima ukazuje da je Kompanija uspostavila i definisala efektivne procese zaštite informacija i tim stvorila pouzdan odnos. Proces certifikacije, također pomaže organizaciji da se usresredi na stalno unaprijeđenje bezbjednosti informacija.

"Naravno, prije svega, certifikacija i redovno externo preispitivanje od kog zavisi stalna certifikacija, obezbjeđuju da organizacija na očekivanom nivou održava sistem bezbjednosti informacija i da nastavlja da uvjerava klijente i poslovne partnere o svojoj sposobnosti da uspješno posluje", kazao je za Akta.ba Nermin Mahmutović, Externi auditor sistema sigurnosti informacija.

Većina informacionih sistema su od početka tako dizajnirani da budu sigurni. Mjere tehničke bezbjednosti su ograničene mogućnostima da štite informacioni sistem. Sistemi upravljanja i proceduralne kontrole su neophodne komponente bilo kog zaista sigurnog sistema i, da bi bili efektivni, treba pažljivo da se planiraju i mora da im se posveti detaljna pažnja.

ISO 27001:2013 obezbjeđuje okvir neophodan za stvaranje sigurnog sistema i oslanja se na iskustvo grupe iskusnih praktičara iz TC ISO organizacije u Ženevi u vezi bezbjednosti informacija u širokom spektru značajnih organizacija, kako bi se ustanovila najbolje praksa u bezbjednosti informacija. Sistem koji je usaglašen sa ISO 27001:2013 će obezbjediti sistematski pristup u utvrđivanju i borbi protiv cjelokupnog niza potencijalnih rizika za informacije organizacije. Također će direktorima navedenih preduzeća, vladinih organizacija i direktorima u lancima snadbjevanja u organizacijama iz javnog i privatnog sektora pružiti sistematske i uočljive dokaze da su to uradili na osnovu dosljednog standarda.

"Certifikacija na ISO 27001 ISMS-a organizacije je važan korak. Jasno se pokazuje klijentima, dobavljačima, partnerima i nadležnim organima da organizacija ima bezbjedan sistem upravljanja informacijama. U Velikoj Britaniji, Služba za akreditaciju Ujedinjenog Kraljevstva (United Kindgom Accreditation Service – UKAS) radi na osnovu Memoranduma o razumjevanju između Ministarstva trgovine i industrije. UKAS vrši akreditaciju kompetentnosti Organa za certifikaciju, kako bi pružala usluge u oblastima odobravanja sistema proizvoda i upravljanja", pojašnjava Mahmutović.

Slične organizacije postoje u drugim zemljama sa odgovornostima za akreditaciju unutar državnih granica. Organizacija treba da koristi samo akreditovanu kuću za certifikaciju kada zahtjeva certifikaciju za ISO 27001 za organizaciju, ili kada preispituje tvrdnje druge organizacije da je certifikovana, kako bi bila sigurna da može da se osloni na certifikaciju. Certifikat je obično validan do tri godine.

Mahmutović je kazao da je opšte pravilo da će organizacija koja implementira standard dobro postupiti ako naročito, obrati pažnju na sam tekst standarda i bude svjesna bilo kojih njegovih izmjena. Neusaglašenost sa bilo kojim revizijama predstavljaće prijetnju po postojeću certifikaciju. Sam standard je ono na osnovu čega će se ocjenjivati bilo koji ISMS; tamo gdje postoji bilo koja neusklađenost između datih savjeta ili bilo koje druge smjernice za implementaciju ISO 27001:2013 i samog standarda, pažnje treba da se usmjeri na tekst u standardu. Eksterni auditor će ocjenjivati ISMS na osnovu objavljenog standarda a ne na osnovu savjeta datih u ovom tekstu ili od strane nekog drugog. Stoga je važno da oni koji su odgovorni za ISMS budu u mogućnosti da se explicitno pozovu na njegove klauzule i namjeru i treba da budu u mogućnosti da brane, bilo koje korake implementacije koje su preduzeli na osnovu samog standarda. Prvi odgovarajući korak je, stoga, da se nabavi i pročita primjerak međunarodnog standarda ISO/IEC 27001:2013.