JOŽE KNEZ, mr. sc. SIQ, Ljubljana joze.knez@siq.si i GORAN BUDISELIĆ, dipl. ing. SIQ CROATIA, Zagreb goran.budiselic@siq.hr
SIGURNOST INFORMACIJA PO NORMI ISO/IEC 27001 U POSTOJEĆIM SUSTAVIMA UPRAVLJANJA Sažetak U današnjem konkurentskom okruženju rastu potrebe, zahtjevi i očekivanja svih zainteresiranih strana za informacijama kao najvažnijom pogonskom snagom svake organizacije. Kod korisnika se povećava potreba za osiguravanjem raspoloživosti, povjerljivosti i cjelovitosti informacija, koje se pojavljuju u najrazličitijim oblicima. Područje informatike kao potporni proces u svim organizacijama pridobiva s vremenom u očima najvišega vodstva sve veću važnost. Iako je njemu naložena zadaća za cjelovitu primjenu zahtjeva ISO/IEC 27001, zapravo je to zadaća i skrb svih zaposlenih u organizaciji na svim njenim razinama i područjima rada. Kod integracije više sustava upravljanja potrebno je prepoznati ona područja, procese ili zahtjeve norma, koja se potpuno združuju u jedinstven oblik i zahtjeve, koji u integriranom sustavu ostanu samostalni. Najvažnije načelo, koje vodi do uvođenja i integracije sustava upravljanja je načelo korisnosti. Neke koristi su direktne, a ostale su indirektne, gdje se rezultati pokažu tek kroz neko vrijeme. Pridobivanje ISO/IEC 27001 certifikata ne znači kraj zbivanja na području sigurnosti informacija, već je samo početak cjelovitog upravljanju informacijama.
Ključne riječi: informacije, sigurnost informacija, integrirani sustav upravljanja, norma ISO/IEC 27001:2005.
1. UVOD U današnjem konkurentskom okruženju, zahtjevi i očekivanja svih zainteresiranih strana za boljim i kvalitetnijim proizvodima i uslugama se neprestano povisuju. S tim rastu očekivanja i potrebe za informacijama kao pokretačkim snagama svake organizacije. Kod korisnika se povećava potreba za osiguravanjem raspoloživosti, povjerljivosti i cjelovitosti informacija, koje se pojavljuju u najrazličitijim oblicima. S ovisnošću o informacijskim tehnologijama povećavaju se i prijetnje i ranjivosti, kojima su izloženi informacijski izvori, što neupitno utječe ne povećanje informacijskih rizika. Značajka sustava upravljanja sigurnošću informacija je u upravljanju rizicima. Sama provedba ocjenjivanja rizika organizaciji omogućuje prepoznavanje rizika s kojima se susreće. Upravljanje rizicima označava odabir i uvođenje primjerenih sigurnosnih kontrola (eng. Control) i mjera kojima se rizici smanjuju na prihvatljivu razinu.
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.