Norme za informacijsku sigurnost - pregled

SADRŽAJ

• Norme za informacijsku sigurnost - popis
• Certifikacija je konkurentska prednost
• Deset ISO normi za informacijsku sigurnost koje biste trebali poznavati
• Druge teme u nizu normi ISO 2700x
• DQS - Kako vam mi možemo pomoći

Norme za informacijsku sigurnost: Niz normi ISO 2700X

Pojedinačne norme za informacijsku sigurnost iz niza normi ISO 2700x bave se različitim temama iz područja informacijske sigurnosti. Na primjer, međunarodna norma ISO 27001 odnosi se na sustav upravljanja informacijskom sigurnošću, a ISO 27701 na sustav upravljanja zaštitom podataka, ISO 27017 daje smjernice za mjere informacijske sigurnosti za računalstvo u oblaku, a ISO 27005 za upravljanje rizikom informacijske sigurnosti.

Organizacije iz svih industrija mogu imati koristi od sustavno strukturiranog pristupa ovih normi za informacijsku sigurnost. On omogućava zaštitu povjerljivih podataka od gubitka ili zlouporabe, i pomaže pouzdano identificirati i smanjiti (potencijalne) prijetnje. Pristup pomaže osigurati dostupnost korporativnih IT sustava čime se doprinosi optimizaciji poslovnih procesa i troškova informacijske tehnologije i procesa te smanjenju poslovnih rizika i rizika od odgovornosti.

Certifikacija daje konkurentsku prednost

Certifikacija prema ISO 27001, koju na primjer provodi DQS, zahtijeva određenu razinu pripreme i napora. Organizacija pokazuje dokumentirani dokaz usklađenosti sa zahtjevima informacijske sigurnosti i provodi mjere za zaštitu osjetljivih podataka organizacije. To joj daje konkurentsku prednost.

Deset ISO normi za informacijsku sigurnost koje biste trebali znati

Sljedeći popis daje informativni pregled trenutnog statusa niza normi ISO 2700x za informacijsku sigurnost. Sve su norme dostupne za kupovinu na internetskoj stranici ISO organizacije.

ISO 27001 - Zahtjevi za sustave upravljanja informacijskom sigurnošću

U vremenima kada se podacima i informacijama trguje kao rijetkom robom, njihova zaštita je ključna. Optimalnu osnovu za učinkovitu implementaciju holističke strategije sigurnosti daje dobro strukturirani sustav upravljanja informacijskom sigurnošću (ISMS) u skladu s normom ISO 27001. To je međunarodno priznata norma za informacijsku sigurnost u privatnim, javnim ili neprofitnim organizacijama, koja pokriva više od aspekata sigurnosti informacijske tehnologije.

ISO 27001 ISMS definira zahtjeve, pravila i metode za osiguranje sigurnosti informacija koje zahtijevaju zaštitu u organizacijama. ISO norma daje model za uspostavu, implementaciju, nadzor i poboljšanje razine zaštite. Cilj je identificirati potencijalne rizike za organizaciju, analizirati ih i kontrolirati ih odgovarajućim mjerama. ISO 27001 formulira zahtjeve za takav sustav upravljanja, koji su predmet audita tijekom vanjskog certifikacijskog procesa.

Ovo možete postići primjenom norme:

• Sigurnost osjetljivih informacija postaje integralnim dijelom korporativnih procesa.
• Preventivno čuvanje ciljeva zaštite povjerljivosti, dostupnosti i integriteta informacija
• Održavanje neprekidnosti poslovanja stalnim poboljšavanjem razine sigurnosti
• Senzibiliziranje zaposlenika i značajno povećanje svijesti o sigurnosti na svim razinama organizacije
• Izgradnja povjerenja kod zainteresiranih strana
• Uspostava djelotvornog procesa upravljanja rizikom

ISO 27019 - Mjere informacijske sigurnosti za opskrbu energijom

Norma ISO 27019 za informacijsku sigurnost formulira komplementarne mjere za energetski sektor.

Ova Vam norma pomaže osigurati svoje elektroničke sustave upravljanja procesima koje koristite za kontrolu i nadzor proizvodnje, prijenosa, skladištenja i distribucije električne energije, plina, nafte i topline, kao i za kontrolu povezanih potpornih procesa.

Što možete postići primjenom norme:

• Sustavno osiguranje ciljeva zaštite povjerljivosti, dostupnosti i integriteta informacija
• Stalno poboljšanje razine sigurnosti i otpornosti na neovlašteni pristup
• Postizanje veće sigurnosti djelovanja i pravne sigurnosti, bolja usklađenost s relevantnim zahtjevima
• Povećanje svijesti o sigurnosti među zaposlenicima i menadžerima
• Postizanje visoke razine povjerenja i lojalnosti svih zainteresiranih strana
• Stjecanje priznatog dokaza učinkovitosti sigurnosnih mjera za potrebe organa vlasti, poput HAKOMA

ISO 27006 - Zahtjevi za certifikacijska tijela

ISO 27006 je namijenjen tijelima poput DQS-a koja provode certifikacije sustava upravljanja informacijskom sigurnošću. Akreditirana norma ISO 27006 opisuje zahtjeve koje certifikacijska tijela moraju slijediti kada u sklopu certifikacije ocjenjuju sustave upravljanja klijenata prema ISO 27001.

To uključuje npr. dokaz o određenim naporima za provođenje audita ili specifikacije o kvalifikacijama auditora. Akreditacijski procesi navedeni u normi jamče sa ISO 27001 certifikati koje izdaju akreditirana certifikacijska tijela imaju međunarodnu valjanost.

Što možete postići ovom normom:

• Jedinstveni kriteriji za procedure provođenja certifikacijskih, nadzornih i recertifikacijskih audita
• Osiguranje valjanosti ISO 27001 certifikata
• Osiguranje minimalnih zahtjeva za napor potreban za provođenje audita i kvalifikacije osoblja koje rade izračun i provode procedure certificiranja

ISO 27002 - Smjernice za kontrole informacijske sigurnosti 

Sustav upravljanja informacijskom sigurnošću (ISMS) prema ISO 27001 sadrži normativni Dodatak A: Referentni ciljevi kontrola i kontrole. Ovaj Dodatak sadrži određene mjere koje treba implementirati u sklopu sustava upravljanja, u mjeri u kojoj su relevantne za organizaciju. ISO 27002 su smjernice s preporukama za implementaciju mjera iz ISO 27001. 

Smjernice su značajno revidirane i ažurirane početkom 2022. godine. Novo izdanje upraviteljima informacijskom sigurnošću daje precizne smjernice za implementaciju kako ne bi previdjeli važne mjere za upravljanje rizikom informacijske sigurnosti.

Što možete postići ovom normom:

• Podrška implementaciji ISO 27001
• Implementacija preporuka za mjere u Dodatku A norme ISO 27001

ISO 27000 - Pregled i rječnik sustava upravljanja informacijskom sigurnošću

ISO 27000 sadrži pojmove i definicije koje se koriste u nizu normi ISO 2700x. ISO 27000 daje pregled sustava upravljanja informacijskom sigurnošću i niza normi ISO 2700x.

U rječniku su (tehnički) pojmovi definirani eksplicitno i formalno.

Što vam daje ova norma:

• Rječnik: pokriva većinu tehničkih izraza koji se koriste u nizu normi ISO 2700x u području informacijske sigurnosti
• Jasna terminologija
• Jasno razumijevanje vokabulara između procjenitelja ("zajednički jezik")
• Pregled sustava upravljanja informacijskom sigurnošću: uvod u informacijsku sigurnost, upravljanje rizikom i sigurnošću, sustavi upravljanja

ISO 27701 - Smjernice za upravljanje zaštitom podataka

Norma za informacijsku sigurnost koja se posebno odnosi na privatnost podataka ISO 27701 definira sustav upravljanja zaštitom podataka koji se temelji na ISO 27001, ISO 27002 (kontrole informacijske sigurnosti) i ISO 29100 (okvir zaštite podataka) kako bi se na odgovarajući način postupalo s obradom osobnih podataka i informacijskom sigurnošću. Odnosi se i na kontrolore i izvršitelje obrade osobnih podataka.

Što možete postići ovom normom:

• Bolje upravljanje osobnim podacima i informacijskom sigurnošću
• Jednostavnija primjena zajedničkih načela upravljanja informacijskim rizikom za osobne podatke
• Usklađivanje i proširenje  kontrola unutar ISO 27001 kao i povezane norme ISO 27002

ISO 27017 - Smjernice za mjere informacijske sigurnosti za usluge u oblaku

Norma ISO 27017 daje smjernice za mjere informacijske sigurnosti u računalstvu u oblaku u sklopu normi za informacijsku sigurnost.

Preporuča, pruža podršku i daje dodatne mjere za implementaciju kontrola informacijske sigurnosti specifičnih za usluge u oblaku.

Što možete postići ovom normom:

• Razumijevanje aspekata informacijske sigurnosti za računalstvo u oblaku
• Oblikovanje i primjena kontrola informacijske sigurnosti specifičnih za usluge u oblaku
• Kontrola nad opcijama za izbor, primjenu i upravljanje informacijskom sigurnošću za računalstvo u oblaku 

ISO 27018 - Smjernice za zaštitu podataka za usluge u oblaku

Norma ISO 27018 daje smjernice kako bi se osiguralo da pružatelji usluga u oblaku imaju uspostavljene odgovarajuće kontrole informacijske sigurnosti s ciljem zaštite privatnosti klijenata svojih kupaca osiguranjem osobnih podataka koji su im povjereni.

Na ovu normu se nastavlja norma ISO 27017 (Mjere informacijske sigurnosti za usluge u oblaku) koja pokriva i druga načela informacijske sigurnosti u računalstvu u oblaku, ne samo zaštitu podataka.

Što možete postići ovom normom:

• Izbor kontrola zaštite osobnih podataka (PII)  u sklopu implementacije sustava upravljanja informacijskom sigurnošću u računalstvu u oblaku na temelju ISO 27001.
• Primjena načelno prihvaćenih kontrola zaštite osobnih podataka.
• Produbljivanje znanja jer se norma temelji na ISO 27002 i proširuje opće znanje u nekim područjima
• Povezivanje načela privatnosti OECD-a koja su dio nekoliko zakona i propisa o zaštiti podataka

ISO 27005 - Smjernice za upravljanje rizikom informacijske sigurnosti

Norma ISO 27005 daje smjernice za upravljanje rizikom informacijske sigurnosti i podržava opće koncepte iz ISO 27001.

Norma ISO 27005 također je osmišljena s ciljem podrške implementaciji informacijske sigurnosti na temelju koncepta upravljanja rizikom.

Ovo možete postići ovom normom:

• Implementacija informacijske sigurnosti temeljene na pristupu upravljanja rizikom.
• Definiranje konteksta upravljanja rizikom
• Kvantitativna i kvalitativna procjena (j. identifikacija, analiza i evaluacija) relevantnih informacijskih rizika
• Stalan nadzor i pregled rizika, obrade rizika, zahtjeva i kriterija
• Odgovarajuće upravljanje rizikom
• Stalna komunikacija između svih dionika

ISO 27007 - Smjernice za audit sustava upravljanja informacijskom sigurnošću

Norma ISO 27007 daje smjernice za provođenje audita te je namijenjena internim i eksternim auditorima koji procjenjuju sustave upravljanja informacijskom sigurnošću prema ISO/IEC 27001.

Ove se smjernice temelje na Smjernicama za provođenje audita sustava upravljanja (ISO 19011) i daju dodatne upute za sustave upravljanja informacijskom sigurnošću.

Što možete postići ovom normom:

• Smjernice posebno za audite sustava upravljanja informacijskom sigurnošću prema ISO 27001
• Smjernice za planiranje i provođenje audita na temelju ISO 19011
• Važne informacije o kompetencijama auditora za sustave upravljanja informacijskom sigurnošću
• Razumijevanje i provođenje audita sustava upravljanja informacijskom sigurnošću

DQS - kako vam mi možemo pomoći

DQS je vodeći stručnjak za certifikaciju sustava upravljanja i procesa od 1985. godine. Od tada je povijest DQS-a usko povezana s poviješću norme ISO 9001. Svoje znanje i opsežno razumijevanje normi dijelimo s klijentima kroz 30 000 dana audita godišnje. 

Povjerenje i stručnost

Naše članke i bijele knjige pišu isključivo naši stručnjaci za norme ili dugogodišnji auditori. Isto vrijedi i za pregled normi za informacijsku sigurnost. Ako imate pitanja za autora teksta o sadržaju teksta ili našim uslugama, slobodno nam se obratite.

Norme za informacijsku sigurnost: Druge teme u obitelji normi ISO 2700X

ISO 27003 - Smjernice za razvoj i implementaciju sustava upravljanja informacijskom sigurnošću 

Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -- Smjernice

ISO 27004 - Smjernice o metodama mjerenja u sustavu upravljanja informacijskom sigurnošću

ISO/IEC 27004:2016

Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -- Praćenje, mjerenje, analiza i ocjena

ISO 27008 - Smjernice za procjenu kontrola informacijske sigurnosti

ISO/IEC TS 27008:2019

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za procjenu kontrola informacijske sigurnosti

ISO 27009 - Smjernice za sektorsku primjenu sustava upravljanja informacijskom sigurnošću 

ISO/IEC 27009:2020

Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti -- Sektorska primjena ISO/IEC 27001 -- Zahtjevi

ISO 27010 - Smjernice za upravljanje informacijskom sigurnošću za međusektorsku i međuorganizacijsku komunikaciju

ISO/IEC 27010:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Upravljanje informacijskom sigurnošću za međusektorsku i međuorganizacijsku komunikaciju

ISO 27011 - Smjernice za upravljanje informacijskom sigurnošću u telekomunikacijskom sektoru

ISO/IEC 27011:2016

Informacijska tehnologija -- Sigurnosne tehnike -- Kodeks postupaka za upravljanje informacijskom sigurnošću na temelju ISO/IEC 27002 za telekomunikacijske organizacije

ISO 27013 - Smjernice za integriranu implementaciju sustava upravljanja informacijskom sigurnošću i upravljanja uslugama

ISO/IEC 27013:2021

Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti -- Smjernice za integriranu implementaciju ISO/IEC 27001 i ISO/IEC 20000-1

ISO 27014 - 'Upravljanje' informacijskom sigurnošću

ISO/IEC 27014:2020

Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti -- Upravljanje informacijskom sigurnošću

ISO 27016 - Ekonomija upravljanja informacijskom sigurnošću

ISO/IEC TR 27016:2014

Informacijska tehnologija -- Sigurnosne tehnike -- Upravljanje informacijskom sigurnošću -- Organizacijska ekonomija

ISO 27021 - Zahtjevi za kompetentnost stručnjaka za sustave upravljanja informacijskom sigurnošću

ISO/IEC 27021:2017/AMD 1:2021

Tehnike -- Zahtjevi za kompetentnost stručnjaka za sustave upravljanja informacijskom sigurnošću -- Amandman 1: Dodavanje točaka i podtočaka u zahtjevima za kompetentnost u ISO/IEC 27001:2013

ISO 27031 - Smjernice za neprekidnost poslovanja 

ISO/IEC 27031:2011

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za razinu spremnosti informacijske i komunikacijske tehnologije za neprekidnost poslovanja

SAVJET: Pročitajte našu objavu na blogu o upravljanju neprekidnošću poslovanja kako biste saznali što norma ISO 22301 preporuča za osiguranje kontinuiranog postojanja organizacije u izvanrednim situacijama.

ISO 27032 - Smjernice za kibernetičku sigurnost

ISO/IEC 27032:2012

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za kibernetičku sigurnost

ISO 27033 - Smjernice za mrežnu sigurnost

ISO/IEC 27033

Informacijska tehnologija -- Sigurnosne tehnike -- Mrežna sigurnost -- 1. dio: Pregled i koncepcija, 2. dio: Smjernice za projektiranje i implementaciju mrežne sigurnosti, 3. dio: Referentni mrežni scenariji - Prijetnje, tehnike projektiranja i pitanja kontrole, 4. dio: Osiguravanje komunikacije između mreža upotrebom sigurnosnih pristupnika, 5. dio: Osiguravanje komunikacije u mreži upotrebom virtualnih privatnih mreža (VPN-ova), 6. dio: Osiguranje pristupa bežičnoj IP mreži

ISO 27034 - Smjernice za sigurnost aplikacija

ISO/IEC 27034

Informacijska tehnologija -- Sigurnosne tehnike -- Sigurnost aplikacija

1. dio: Pregled i koncepcija, 2. dio: Normativni okvir organizacije, 3. dio: Proces upravljanja sigurnošću aplikacija, 4. dio: Validacija i verifikacija, 5. dio: Struktura podataka za protokole i kontrole sigurnosti aplikacija, 6. dio: Studije slučaja, 7. dio: Okvir predviđanja osiguranja

ISO 27035 - Smjernice za upravljanje incidentima informacijske sigurnosti

ISO/IEC 27035

Informacijska tehnologija -- IT sigurnosne prakse -- Upravljanje incidentima informacijske sigurnosti

1. dio: Osnove upravljanja incidentima, 2. dio: Smjernice za planiranje i pripremu odziva na incident, 3. dio: Smjernice za odziv na incidente informacijske i komunikacijske tehnologije (nacrt)

ISO 27036 - Smjernice za odnose s dobavljačima

ISO/IEC 27036

Informacijska tehnologija -- Sigurnosne tehnike -- Informacijska sigurnost za odnose s dobavljačima

1. dio: Pregled i koncepcija, 2. dio: Zahtjevi, 3. dio: Smjernice za sigurnost opskrbnog lanca informacijske i komunikacijske tehnologije, 4. dio: Smjernice za sigurnost usluga u oblaku

ISO 27037 - Smjernice za rukovanje digitalnim dokazima

ISO/IEC 27037:2012

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za prepoznavanje, skupljanje, pribavljanje i očuvanje digitalnih dokaza 

ISO 27038 - Specifikacija digitalne redakcije

ISO/IEC 27038:2014

Informacijska tehnologija -- Sigurnosne tehnike -- Specifikacija digitalne redakcije 

ISO 27039 - Smjernice za sustave za otkrivanje upada  (IDPS)

ISO/IEC 27039:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Odabir, implementacija i rad sustava za otkrivanje i sprječavanje upada (IDPS)

ISO 27040 - Smjernice za sigurnost pohrane

ISO/IEC 27040:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Sigurnost pohrane

ISO 27041 - Smjernice za metode istraživanja incidenta

ISO/IEC 27041:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za osiguranje prikladnosti i opravdanosti metode istraživanja incidenta 

ISO 27042 - Smjernice za analizu i interpretaciju digitalnih dokaza

ISO/IEC 27042:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Smjernice za analizu i interpretaciju digitalnih dokaza 

ISO 27043 - Smjernice za postupke istraživanja incidenta

ISO/IEC 27043:2015

Informacijska tehnologija -- Sigurnosne tehnike -- Principi i postupci u istraživanju incidenta

ISO 27050 - Smjernice za elektroničko otkrivanje

ISO/IEC 27050

Informacijska tehnologija -- Elektroničko otkriće

1. dio: Pregled i koncepcija, 2. dio: Smjernice za upravljanje elektroničkim otkrićima, 3. dio: Kodeks postupaka za elektroničko otkriće

ISO 27102 - Smjernice za kibernetičko osiguranje

ISO/IEC 27102:2019

Upravljanje informacijskom sigurnošću -- Smjernice za kibernetičko osiguranje

ISO 27103 - Smjernice za kibernetičku sigurnost i ISO/IEC norme

ISO/IEC TR 27103:2018

Informacijska tehnologija -- Sigurnosne tehnike --  Kibernetička sigurnost i ISO i IEC norme

ISO 27550 - Projektiranje privatnosti za procese životnog ciklusa sustava

ISO/IEC TR 27550:2019-09

Informacijska tehnologija -- Sigurnosne tehnike -- Projektiranje privatnosti za procese životnog ciklusa sustava

ISO 27799 - Upravljanje informacijskom sigurnošću u zdravstvu

ISO 27799:2016

Medicinska informatika -- Upravljanje informacijskom sigurnošću u zdravstvu pomoću ISO/IEC 27002