Okviri IT revizije

Published on February 20th, 2011 | by Nermin Catovic

ISO 27001 i ISO 27002




ISO / IEC 27002 (bivši 17799:2005) i ISO / IEC 27001:2005 standardi predstavljaju minimalne zahtjeve i mjere koje bi organizacije trebale poduzeti kako bi uspostavili validan Information Security Management System – ISMS ( Sistem upravljanja informacionom sigurnošću).

To je standard koji je usko usmjeren na informacionu sigurnost te zajedničke primjene u području revizije informacionih sistema. Ova dva standarda su trenutno jedini službeni informacioni standardi koji sadrže više od 100 preporučenih kontrola koje informacioni system i informacije koje proizilaze iz njegovog funkcioniranja treba da smatraju sigurnim i pouzdanim ali detaljne upute o tome kako primjeniti ovaj standard nisu jos uvijek utvrđene.

One savjetuju minimum kontrolnih zahtjeva ili minimum kontrola koje su unutar informacionog sistema neophodne za implementaciju tako da sigurnosni rizik njihovog korištenja bude smanjen. ISO 27002 i ISO 27001 standardi predstavljaju preporuke ili liste svih kontrola potrebnih (mogućih) za implementaciju u cilju smanjivanja sigurnosnog rizika na odgovarajući nivo. Standardi su jako popularni i često korišteni a njihova implementacija može pridonijeti ispunjavanju glavnih ciljeva internih kontrola informacionog sistema (sigurnosni ciljevi, informacioni ciljevi kao i kontinuitet poslovanja).

S obzirom na uočene nedostatke prethodnih standard i važnost upravljanja informacionim tehnologijama, ISO je najavio ali djelimično sproveo temeljitu reorganizaciju standarda i postupno uvođenje niza novih tzv. ISO 27000 “obitelji” standarda.

Neki od ovih standarda su već jako popularni ( ISO 27001:2005) dok ostali kao što su ISO 27002, ISO 27003, ISO 27004, ISO 27005, novi standardi za sigurnost trebaju temeljito pokriti područja menadzment rizika u informacionim tehnologijama kao i implementaciju mehanizama za kontrolu nad informacionim sistemima kako bi se postigla sigurnost. Stoga odgovarajući koncept koji se spominje trebao bi biti na korporativnom nivou.

ISO/IEC 27001 certificiranje kao i ostala ISO certificiranja obično imaju tri faze u procesu revizije:

 

  • Faza 1 – je preliminarni, neformalni pregled ISMS, kao npr. provjeravanje postojanja i potpunosti ključne dokumentacije za politike informacione sigurnosti organizacije kao što su Statement of Applicability (SoA) i Risk Treatement Plan (Plan tretiranja rizika). Ova faza obično služi kako bi upoznala revizore sa organizacijom i strukturom.
  • Faza 2 – je detaljnija i spada u formalni segment revizije u kojem se neovisno testira ISMS nasuprot zahtjeva ISO/IEC 27001. Revizori traže dokaze koji potvrđuju da menadžment sistem neovisno funkcionira, pravilno je dizajniran i implementiran i kao takav operativan. Revizije certifikacije se obično obavljaju od strane Vodećih revizora ISO/IEC 27001 revizora. Uspješan „prolaz“ ove faze rezultuje certificiranjem ISO/IEC 27001 standarda za postojeći ISMS.
  • Faza 3 – obično uključuje popratne provjere ili revizije kako bi se potvrdilo da sistem i organizacija ostaje u skladu sa standardima. Održavanje certifikacije podrazumijeva periodične procjene revizije koje potvrđuju da ISMS nastavlja da radi u skladu sa specifičnim zahtjevima. Obično se revizije obavljaju godišnje (u dogovoru sa menadžmentom) ali mogu se obavljati i češće, pogotovo ako je sistem još u fazi sazrijevanja.

ISO/IEC 27002 standard obuhvata slijedećih dvanaest glavnih poglavlja.

  1. Procjena rizika
  2. Sigurnosne politike – usmjerene menadžmentu
  3. Organizacija informacione sigurnosti – upravljanje informacionom sigurnošću
  4. Menadžment imovine – popis i klasifikacija it imovine
  5. Sigurnost ljudskih resursa – sigurnosni aspekti za ulazak, kretanje i izlazak zaposlenika
  6. Fizička sigurnost okoline – zaštita računara i računarskih komponenti
  7. Komunikacije i operacije upravljanja – upravljanje tehničkim sigurnosnim kontrolama u sistemima i mreži
  8. Kontrole pristupa – ograničavanje prava pristupa mrežama, sistemima i aplikacijama kao i podacima
  9. Razvoj, održavanje i adaptiranje informacionog sistema – sigurnost aplikacija
  10. Upravljanje sigurnosnim incidentima informacija – predvidjeti i reagovati na odgovarajući način na povrede informacione sigurnosti
  11. Upravljanje kontinuitetom poslovanja – zaštita, održavanje i oporavak kritičnih procesa i sistema za poslovanje
  12. Usklađenost – osiguravanje usklađenosti s politikama informacione sigurnosti, standardima, regulacijama i zakonima.

Tags: , , , , , , , ,


About the Author

Osnivač portala itrevizija.ba i pristalica edukacije kroz besplatne članke, materijale i međusobne diskusije. Zainteresovan za područja IT revizije, informacione sigurnosti, zaštite podataka, implementacije ISO standarda, kontinuiteta poslovanja i projekt menadžmenta.



Back to Top ↑

UA-16409049-1