Modul 3: Implementacija ISMS u organizaciji

U kojim fazama uspostave ISMS-a u pojedinom tijelu ili pravnoj osobi ZSIS može biti uključen?

Slijedeći korak jest određivanje opsega primjene ISMS-a.

Standard predlaže način provedbe ISMS-a, primjenom metode PCDA (Plan, Do, Check, Act), čime je određen kružni proces, u kojem se neprestano provjerava provedba planiranog, te se koriste uočene pogreške da se proces popravi, usavrši.

Na zahtjev tijela ili pravne osobe ZSIS može biti uključen u projekt uspostave, odnosno proces nadzora ISMS-a pojedinog Tijela ili pravne osobe.

Takva integracija dolazi upravo kroz ISMS koji osigurava da su svi napori koordinirani kako bi se postigla optimalna sigurnost uz minimalna ulaganja.

Zbog toga ISMS mora uključivati metodu procjene, zaštitne mjere, dokumentaciju i proces revizije.

Primjena međunarodne norme za ISMS, ISO/IEC 27001:2005, daje veliku prednost svakoj organizaciji na više razina:

Information Security Management System ISMS) pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske sustave i zaposlenike.

Igor Gregurec, dipl.ing. Trenutno zaposlen u tvrtki ECS d. o. o. gdje radi kao stariji konzultant za informacijsku sigurnost na projektima vezanim uz PCI DSS, BCMS te ISMS.

ISMS) do certificiranja po ISO 27001:2005 standardu za jednu od najvećih telekom tvrtki u Hrvatskoj, revizije informacijskih sustava i savjetovanje pri usklađivanju s regulativom HNB-a za neke od domaćih banaka i sl.

S obzirom da je implementacija ISMS-a projekt svih zaposlenih i cijelog menadžmenta, certifikacijska kuća Bureau Veritas održala je dvodnevni tečaj za interne prosuditelje po normi ISO 27001:2005 za članove užeg i šireg tima, čime je AKD-Zaštita osposobila 14 internih prosuditelja koji su zajednički izvršili: pripremu, procjenu, popis dokumentacije, pregled i ocjenu imovine, ljudskih resursa i poslovnih procesa, informacija u papirnatom, elektronskom i drugom obliku.

Ključni dokument koji se u cijelom projektu implementacije koristi kao temelj za donošenje odluke uprave o konačnom prihvaćanju strukture ISMS je Izjava o prihvatljivosti (SoA - Statement of Applicatibility).

Kroz taj dokument se točno definira šta sve treba od kontrola primjeniti u organizaciji da bi se uspostavio željeni ISMS.

U koliko se kontrola ne primjenjuje tada se mora u dokumentu SoA detaljno navesti razlog zašto se ta kontrola ne koristiu okviru konkretnog ISMS.

Vođena dobrim temeljima Sustava upravljanja kvalitetom ISO 9001:2008, a u svrhu daljnjeg unaprjeđenja svoga poslovanja, tvrtka AKD-Zaštita d. o. o. u prosincu je prošle godine uspješno završila proces certifikacije Sustava upravljanja informacijskom sigurnošću (ISMS) sukladno zahtjevima međunarodne norme ISO/IEC 27001:2005. Na svečanosti održanoj sredinom veljače u sjedištu tvrtke u Zagrebu, direktor AKD-Zaštite Neven Martić primio je certifikat 27001:2005 koji mu je uručio Željko Bunjevac, predstavnik tvrtke Bureau Veritas Croatia.

To drugim riječima znači, da rezultati procjene rizika na imovini određuju sve kriterije za bilo kakve potrebne kontrole i aktivnosti vezane za uspostavu ISMS.

ISO 27001 bavi se uspostavom sustava upravljanja informacijskom sigurnošću, kojeg označavamo kraticom ISMS (Information Security Management System).

Nakon dodjele ovoga certifikata, u AKD-Zaštiti najavili su pristupanje novoj fazi, koja podrazumijeva daljnju nadogradnju, razvijanje i održavanje sustava ISMS-a u skladu s promjenama u području sigurnosti. (R.

Recertifikacija je provedena u suradnji s Vedranom Kunovićem, vodećim ISMS auditorom jedne od vodećih svjetskih certifikacijskih tijela Bureau Veritas, a postupak recertifikacije u Omegi software trajao je tri dana. Sustav upravljanja informacijskom sigurnošću temeljen na ISO 27001 standardu pomogao nam je definirati i osigurati financijski i vremenski kritičnu raspoloživost naših IT usluga, identificirali smo i smanjili rizike poslovanja vezane za sigurnost te zadovoljili sve preduvjete prema našim klijentima i partnerima koji se tiču sigurnosti njihovih informacija.

Seminar opisuje proces uspostave i elemente bitne za održavanje ISMS sustava u skladu s ISO 27001 normom te proces procjene i upravljanja rizikom.

ISMS predstavlja sistemski pristup u upravljanju sigurnošću informacija prisutnih u organizaciji, a uključuje djelatnike, procese, IT sustav i politiku.

ISMS - information security management system).

Implementacija i rad ISMS sustava je formalni postupak, te su stvoreni razni standardi koji ga nastoje uniformirati.

Najpoznatiji su, i globalno prihvaćeni, ISO 17799, odnosno BS 7799 - 2 koji su se pokazali kao najefikasniji za uspostavu ISMS.

Modul 4: Priprema organizacije za certificiranje ISMS

Svima koji žele ili imaju plan baviti se poslovima menadžmenta za ISMS kao profesionalci u organizaciji, kao i onima koji su zainteresirani da ovladaju problematikom upravljanja s informacijskom sigurnošću.

Škola za menadžere sigurnosti informacijskih sustava (ISMS)

ISMS), Implementacija sustava upravljanja kontinuitetom poslovanja (eng.

Sustav je višejezičan te ima poseban autorizacijski sustav kao dio ISMS-a. e-INSPEKTOR predstavlja ekspertni sustav koji u potpunosti podržava rad inspekcije te je izrađen u sukladnosti s direktivama Europske unije (za područja različitih inspekcija).