Danijel Hofer DANIJEL HOFER STEP osiguranje kvalitete d.o.o., Zagreb danijel.hofer@step-kvaliteta.hr
IMPLEMENTACIJA SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PREMA ISO 27001:2013 KORACI I PREDNOSTI Stručni rad/Professional paper Sažetak Informacijska sigurnost sve je važnija u suvremenom društvu. Državni i poslovni subjekti sve više ovise o računalnoj i komunikacijskoj infrastrukturi koja uistinu omogućuje protok velike količine informacija medu njima, ali ih ujedno i izlaže raznim, brojnim i često značajnim prijetnjama. Implementacija Sustava upravljanja informacijskom sigurnošću prema ISO/IEC 27001:2013 je kompleksna, zahtijeva različite aktivnosti, vremenske i materijalne resurse, no u konačnici omogućuje organizacijama da budu sigurne da su njihove povjerljive informacije dostupne samo onima kojima su i namijenjene, da informacijama mogu pristupiti ovlaštene osobe uvijek kada je to potrebno, te da su one nepromijenjive i cjelovite. Ključne riječi: ISO/IEC 27001:2013, sustav upravljanja informacijskom sigurnošću, informacijska sigurnost, implementacija sustava, ISMS 1. UVOD U današnje doba većina suvremenih organizacija ima razvijen informacijski sustav, a jedan od najvažnijih ciljeva svih organizacija je osiguranje kontinuiteta poslovanja. Za osiguranje poslovnog kontinuiteta bitno je i da resursi informacijskog sustava u svako vrijeme kada su potrebni budu dostupni i cjeloviti, a da povjerljivost informacija ne bude dovedena u pitanje. Jedan od načina postizanja ovih ciljeva jest uvođenje Sustava upravljanja informacijskom sigurnošću. Ovaj sustav, uz osiguranje kontinuiteta poslovanja, pomaže da se organizacija u svakom trenutku može suočiti s najnovijim sigurnosnim prijetnjama i na vrijeme reagira na sigurnosne incidente, te kao takva postane prepoznata kao pouzdan i suvremen poslovni partner. HRN ISO/IEC 27001:2013 „Sustavi upravljanja informacijskom sigurnošću – zahtjevi“, vodeća je međunarodna norma koja definira zahtjeve za implementaciju sigurnosnih kontrola a pisali su je najbolji svjetski stručnjaci u području informacijske sigurnosti. ISO 27001 je upravljačka norma i organizacije se mogu certificirati po njoj. ISO/IEC 27002 "Informacijska tehnologija – Sigurnosne tehnike - Kodeks prakse za upravljanje informacijskom sigurnošću" pruža implementacijske smjernice za uspostavu ISO 27001 koje se mogu koristiti prilikom uspostave sigurnosnih kontrola. Implementacija i učinkovita primjena normi ISO 27001 i ISO 27002 organizacijama osigurava usklađenost s važećom zakonskom regulativom vezanom uz informacijsku sigurnost, povećava sigurnost sustava u slučaju realizacije sigurnosnih incidenata te pridonosi
14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.
- 157 -