Menadžment sistem 21. veka
Želite da informacije u vašoj organizaciji budu dostupne autorizovanom osoblju na zahtev, da zaštitite poverljivost sopstvenih podataka, informacija zaposlenih, saradnika, klijenata i ostalih zainteresovanih strana, ali i da budete sigurni da su podaci kojima pristupate autentični? ISMS je rešenje!
Standard ISO/IEC 27001 specificira zahteve za uspostavljanjem, implementacijom, primenom, praćenjem, preispitivanjem, održavanjem i poboljšavnjem dokumentovanog ISMS‑a. Primenljiv je na sve organizacije, ali je od posebnog značaja za one koje imaju potrebu za očuvanjem bezbednosti informacija i čije se poslovanje zasniva na procesima koji koriste informacione tehnologije. Cilj implementacije ISMS‑a je uspostavljanje sistemskog pristupa u upravljanju informacionim resursima radi zaštite njihove bezbednosti u tri glavna aspekta: poverljivosti, integriteta i dostupnosti.
Primarni informacioni resursi koje je potrebno zaštititi su informacije i poslovni procesi, a pored njih neophodno je obuhvatiti i zaposlene, podizvođače, odnose sa eksternim stranama, hardverske i softverske komponente IT sistema, ICT i organizacione servise, intelektualnu svojinu – know‑how, reputaciju…
Specifičnost standarda ISO/IEC 27001
Specifičnost strukture zahteva ISO/IEC 27001 u odnosu na druge ISO standarde u oblasti sistema menadžmenta ogleda se u tome što ISO/IEC 27001, pored osnovnih zahteva, sadrži i normativni Aneks A sa 133 kontrolne mere, kojima se tretiraju identifikovani rizici po bezbednost informacija u organizaciji. Detaljni opis ciljeva i uputstvo za implementaciju ovih kontrolnih mera, po principu najbolje svetske prakse, prikazan je u standardu ISO/IEC 27002. Sistematizacijom pomenutih kontrolnih mera, dobija se sledeći odnos:
46% mere povezane s IT
30% mere povezane s organizacijom / dokumentacijom
9% mere fizičke sigurnosti
6% pravna zaštita
5% mere povezane s odnosima s eksternim stranama
4% mere upravljanja ljudskim resursima
Vidi se da ISMS ne čini samo tehnička zaštita, već da ovaj, pre svega, menadžment sistem obuhvata mnogo širi spektar komplementarnih kontrola. Posebno treba istaći značaj dosledne primene propisanih pravila i svest zaposlenih o značaju i obavezama zaštite informacija, jer statistički podaci pokazuju da je najveći procenat uzroka incidenata povezanih s bezbednošću informacija izazvan upravo ljudskim faktorom.
Com-4T konsalting u implementaciji ISMS‑a
U okviru svojih konsultantskih usluga, Com-4T pruža pomoć klijentima u implementaciji ISMS-a primenom projektnog pristupa. Implementacija se odvija po sledećim fazama:
Iniciranje Projekta – podrška menadžmenta, formiranje i inicijalna obuka projektnog tima,
Definisanje Projekta – snimanje stanja, definisanje željenog opsega ISMS‑a i dinamike toka implementacije,
Procena rizika po bezbednost informacija – upoznavanje sa metodologijom procene rizika, popis informacionih resursa, procena rizika, izveštaj procene rizika,
Program informacione bezbednosti – plan tretiranja rizika, implementacija kontrolnih mera zaštite i dokumentovanje sistema,
Primena sistema – obuke za primenu usvojenih mera i njihova praktična primena,
Provera sistema – merenje efektivnosti, interna provera, preispitivanje menadžmenta,
Prezentacija i usvajanje Projekta.
Iskustvo korisnika
„Nama je pre svega značilo to što je Com‑4T firma sa dosta iskustva u oblasti sistemske integracije i bezbednosti informacionih sistema. Tim inženjera za konsalting je stručan, iskusan i uigran, što je doprinelo članovima našeg tima da prošire svoja znanja tokom rada na ovom projektu. Jasno smo detektovali i izlečili slabosti koje su nam ranije stvarale probleme, centralizovali smo i osavremenili informacioni sistem bez mnogo dodatnih ulaganja. Uz njihovu pomoć integrisali smo ISMS sa postojećim sistemima menadžmenta i sada naš sistem upravljanja privrednim društvom, krunisan sa četiri sertifikata, diše punim plućima.“
Ljubodrag Josipović, rukovodilac projekta implementacije ISMS, Privredno društvo „Drinsko‑limske hidroelektrane“ Bajina Bašta
Ključni faktor uspeha
Kao i za svaki projekat, zaposleni su ključni faktor uspeha. Na prvom mestu dosledna podrška menadžmenta i rukovodilac tima sa dovoljno iskustva, motivacije i ličnog i profesionalnog autoriteta. Pored toga, tim za implementaciju ovog sistema treba da bude multifunkcionalan, a imajući u vidu da je skoro polovina kontrolnih mera tehničkog karaktera, poželjno je da je toliki i udeo zaposlenih iz IT službe u okviru projektnog tima.
Ovo je važno jer mnogo organizacija ima čak i adekvatne tehnologije, ili bar dovoljno resursa da implementira potrebne kontrole, ali svest, znanje, napor i vreme zaposlenih koje treba uložiti da bi se ovi resursi koristili na odgovarajući, optimalan način ključno je za uspeh u implementaciji ovog sistema.
Smernice iz standarda serije 27k i znanje i iskustvo stručnih konsultanata, sa višegodišnjim iskustvom u implementaciji različitih informacionih tehnologija, sistemskoj integraciji, IT bezbednosti i standardizaciji, predstavljaju pravu kombinaciju za uspešnu realizaciju ovakvog projekta.
Sertifikacija i koristi za organizaciju
Sertifikat kao potvda ovlašćene sertifikacione kuće da se ispunjavaju zahtevi standarda ISO/IEC 27001, na definisanom opsegu u okviru organizacije, demonstrira korisnicima i ostalim zainteresovanim stranama da je poslovna politika organizacije usmerena na stalna poboljšanja u upravljanju bezbednošću informacija. Prepoznatljiv je u svetu i omogućava bolju saradnju i razumevanje sa sličnim organizacijama, koje poseduju ovaj sertifikat.
Koristi od implementacije ISMS‑a
Pored konkurentske prednosti i prepoznatljivosti na tržištu, implementacijom Sistema menadžmenta bezbednošću informacija definišu se odgovornosti za bezbednost informacija na svim nivoima u organizaciji, čime se obezbeđuje veće poverenje zaposlenih, klijenata, saradnika, institucija i drugih zainteresovanih strana, zbog postojanja svesti da su njihove informacije bezbedne.
Dokumentovan, uređen sistem Identifikovane, klasifikovane informacije i upravljanje njima Konsolidovani i obučeni zaposleni Delegirana prava, privilegije i odgovornosti Redundantno IT osoblje Fizička bezbednost okruženja i opreme Formalizovano upravljanje promenama i incidentima po bezbednost informacija Usaglašenost sa važećim zakonskim i internim propisima Obezbeđen kontinuitet poslovanja |
Upravljanje bezbednošću mreže Kontrolisan pristup informacionom sistemu Planiranje kapaciteta Upravljanje arhiviranjem rezervnih kopija Upravljanje antivirusnom zaštitom Upravljanje tehničkim ranjivostima Nadzor upotrebe informacionog sistema Upravljanje korisničkim pristupom Kontrolu udaljenog pristupa Smanjenje rizika od oštećenja i gubitka informacija, a samim tim |
Mila Paunović, rukovodilac službe za sisteme menadžmenta Com-4T
Com-4T, www.com-4t.rs