ISO/IEC 27001 pripada porodici standarda ISO 27000 koja pokriva set standarda za bezbednost informacija (uključujući ISO 27002, ISO 27005, ISO 27017, ISO 27031, ISO 27701, ISO 27017, ISO 27018 i druge) svaki od ovih standarda predstavlja zasebne zahteve i uputstva čijom primenom kompanija obezbeđuje usaglašenost sa specifičnim kontrolama. Objavljeni su od strane Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) i opisuje kako upravljati bezbednošću informacija u organizacijama.
Standard za bezbednost informacija je namenjen organizacijama svih veličina i oblasti poslovanja i pruža uputstva za uspostavljanje, implementaciju, održavanje i poboljšanje ISMS. Takođe, pomaže pri prepoznavanju rizika i proaktivnom delovanju, prilikom čega se smanjuje opasnosti od pretnji i štete po imovinu organizacije.
ISO 27001 tretira bezbednost informacija sa tri aspekta:
Informatičkog – definiše performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokole, politike sa aspekta pojave rizika po bezbednost informacija
Administrativnog – definiše uputstva, procedure i politike za generisanje informacija, njihovu distribuciju, skladištenje
Fizičkog – fizička kontrola pristupa, evidencija zaposlenih, zaštita radnih prostorija, video nadzor
Pored pomenutih aspekata ISMS dodatno uključuje tri osnovna principa na kojima se zasnivaju standardi za bezbednost informacija su:
Poverljivost (confidentiality) omogućava organizacijama da zaštite podatke od neovlašćenog pristupa
Intergritet (Integrity) obezbeđuje tačnost i konzistentnost podataka
Dostupnost (Availability) omogućava korisnicima da pristupe sistemima i podacima kada i kome je to potrebno
Relacija ISO 27701, ISO 27017 i ISO 27018 i ISO 27000
ISO/IEC 27701 je prvi međunarodni standard koji utvrđuje zahteve i pruža uputstvo za uspostavljanje, primenu, održavanje i kontinualno poboljšavanje sistema za menadžment informacijama o privatnosti (PIMS) u formi proširenja postojećeg standarda za bezbednost informacija ISO/IEC 27001 i ISO/IEC 27002.
ISO 27017 i ISO 27018 posebno su prilagođeni specifičnim zahtevima cloud provajdera. ISO 27017 pojašnjava uloge i dobavljača i korisnika usluga, te pruža smernice o aspektima bezbednosti informacija u cloud computing-u, preporučuje i pomaže pri implementaciji kontrola bezbednosti informacija specifičnih za oblak, dopunjujući smernice u ISO/IEC 27002:2013 i drugim standardima ISO 27000. ISO 27018 se posebno bavi zahtevima zakona o zaštiti podataka i samim tim osigurava sigurnu obradu ličnih podataka prilikom korišćenja cloud servisa.
Nova verzija standarda
Nova verzija standarda objavljena je u oktobru 2022. godine kao rezultat suočavanja savremenog poslovanja sa novim bezbednosnim izazovima i zamenila je verziju iz 2013. godine. Ključne prednosti su:
Veće poslovne mogućnosti
Smanjenje mogućeg rizik od prevare, gubitka informacija i otkrivanja podataka
Usklađivanje poslovanja sa zakonima i Evropskom praksom
Zaštita informacija od neovlašćenog pristupa i mogućih zloupotreba
Dokaz da se dobijene informacije čuvaju, koristite i distribuiraju u skladu sa zakonom o zaštiti podataka o ličnosti
Novine kod nove verzije odnose se na bezbednosne kontrole.
Bezbednosne kontrole standarda su u novoj verziji podeljene u 4 poglavlja, umesto u prethodnih 14 i to:
Poglavlje 5: Organizacija (37 kontrola)
Poglavlje 6: Ljudi (8 kontrola)
Poglavlje 7: Fizički (14 kontrola)
Poglavlje 8: Tehnologija (34 kontrole)
ISO/IEC 27001:2022 sadrži izmene i u samom broju kontrola, te ih sada ima 93, od kojih je 11 novih, 23 preimenovanih, 57 prerasporođenih u 24, dok je 35 ostalo nepromenjeno.
11 novih kontrola odnose se na: pretnje inteligenciji, sigurnost informacija za korišćenje cloud servisa, ICT spremnost za kontinuitet poslovanja, nadgledanje fizičke sigurnosti, upravljanje konfiguracijom, brisanje informacija, maskiranje podataka, sprečavanje curenja podataka, praćenje aktivnosti, web filtriranje, i sigurno kodiranje.
Prema IAF-u (Međunarodni forum za akreditaciju) tranzicija ISO 27001 odnosno period prelaska na novu verziju iz 2022. godine je tri godine od datuma izdavanja iste. Krajnji rok za tranziciju je 31. oktobar 2025. godine.
Benefiti od posedovanja sertifikata ISO 27001:
Dokaz da je ISMS usaglašen sa međunarodnim standardom
Poboljšano upravljanje rizicima i veća bezbednost informacija
Usaglašenost sa zakonodavstvom
Smanjenje rizika od gubitka informacija
Veće poverenje zaposlenih, klijenata i poslovnih partnera
Veća konkurentnost
Veća ekonomska mogućnost
Da li je verzija iz 2013. godine još uvek važeća?
Organizacije koje su započele implementaciju po verziji standarda 2013, mogu da završe implementaciju i da se sertifikuju do 31. oktobra 2023. godine.
Nakon prve sertifikacije organizacije imaju 2 godine da završe prelazak na novu verziju standard i da usklade procese i dokumentaciju.
Važeći sertifikat ISO 27001 jedan je od načina da demonstrirate prednosti i pokažete korisnicima, kupcima i drugim zainteresovanim stranama da ste sposobni da bezbedno upravljate informacijama.
