Professional Documents
Culture Documents
ISO 27001 Foundation Skripta
ISO 27001 Foundation Skripta
1999
1995
1999
ISO/IEC
27001:2013
ISO/IEC
ISO/IEC
27002:2013
27002:2007
ISO/IEC
ISO/IEC
BS 77992:1999
BS 77991:1999
2000
2005
17799:2000
17799:2005
ISO/IEC
27001:2005
Razvijen da bi
se sprovela
Prvi standard
BS7799
certifikacija
Kriterijumi vrednosti
Potrebe
Trina relevantnost
Lakoa korienja
Koje su oekivane koristi i
tete za organizacije
Primenljivost ocenjivanja
usaglaenosti
Kompatibilnost sa ostalim
MSS
Ciljevi seminara
ISO 27001
Analiza
A
li prednosti
d
ti i nedostataka
d t t k standarda
t d d ISO/IEC
27001:2013 u poreenju sa standardom ISO/IEC
27001:2005
Procena napora da
P
d se pree
sa standarda
t d d ISO/IEC
27001:2005 na standard ISO/IEC 27001:2013 i da se dobije
certifikat.
Ciljevi seminara
ISO 27002
Analiza
A
li prednosti
d
ti i nedostataka
d t t k standarda
t d d ISO/IEC
27002:2013 u poreenju sa standardom ISO/IEC
27002:2005
ISO/IEC direktive
Izvod iz Annex-a SL
4 Kontekst organizacije
4.1 Razumevanje organizacije i njenog konteksta
Organizacija mora da odredi svrshishodna interna i eksterna relevantna pitanja
koja mogu uticati na sposobnost organizacije prilikom postizanja
eljenih rezultata sopstvenog sistema upravljanja sigurnou informacija.
Uvod
Normativne reference
Termini i definicije
Kontekst organizacije
Liderstvo
Planiranje
Podrka
Operativni rad
Evaluacija performansi
10
Poboljanja
Upravljanje sredstvima
Kontrola pristupa
10
Kriptografija
11
12
Sigurnost funkcionisanja
13
Sigurnost komunikacija
14
15
Odnosi sa dobavljaima
16
17
18
Usklaenost
Taka 10
Poboljanja
Taka 7
Podrka
Taka 8
Operativni rad
Taka 9
Performance
evaluation
Taka 5
Liderstvo
Annex A
12
4 Kontekst organizacije
4.1 Razumevanje organizacije i njenog konteksta
Organizacija mora da odredi svrshishodna interna i eksterna relevantna pitanja koja mogu
uticati na sposobnost organizacije prilikom postizanja eljenih rezultata sopstvenog
sistema upravljanja sigurnou informacija.
NAPOMENA Odreivanje ovih pitanja odnosi se na uspostavljanje eksternog i internog
konteksta organizacije, to je objanjeno u Poglavlju 5.3 standarda ISO 31000:2009 [5].
13
4 Kontekst organizacije
4.2 Razumevanje potreba i oekivanja zainteresovanih strana
Organizacija bi morala da utvrdi sledee:
a) zainteresovane strane koje su relevantne za sistem upravljanja sigurnou informacija i;
b) zahteve tih zainteresovanih strana koji su relevantni za sigurnost informacija.
NAPOMENA Zahtevi zainteresovanih strana mogu podrazumevati pravne i regulatorne
zahteve, kao i ugovorne obaveze.
14
4 Kontekst organizacije
4.3 Odreivanje predmeta i podruja primene sistema upravljanja sigurnou
informacija
15
4 Kontekst organizacije
4.4 Sistem upravljanja sigurnou informacija
Organizacija mora da uspostavi, implementira, odrava i stalno poboljava sistem
upravljanja sigurnou informacija u skladu sa zahtevima ovog meunarodnog standarda.
16
5 Liderstvo
5.1 Liderstvo i posveenost (1 od 2)
Top menadment (najvie rukovodstvo) mora da pokae liderstvo i posveenost sistemu
upravljanja sigurnou informacija tako to e:
a) obezbediti uspostavljanje politike i ciljeva sigurnosti informacija, kao i njihovu
kompatibilnost sa stratekim pravcem organizacije;
b) obezbediti integraciju zahteva za sistem upravljanja sigurnou informacija u procese
organizacije;
c) obezbediti raspoloivost neophodnih resursa za potrebe sistema upravljanja sigurnou
informacija;
d) ukazivati na vanost efektivnog upravljanja sigurnou informacija i usaglaavati se sa
zahtevima za sistem upravljanja sigurnou informacija;
17
5 Liderstvo
5.1 Liderstvo i posveenost (2 od 2)
Top menadment (najvie rukovodstvo) mora da pokae liderstvo i posveenost sistemu
upravljanja sigurnou informacija tako to e:
e) osigurati da sistem upravljanja sigurnou informacija postie eljene rezultate;
f) usmeravati i podravati osoblje kako bi se doprinelo efektivnosti sistema za upravljanje
sigurnou informacija;
g) promovisati stalno poboljanje i
h) podravati i druge relevantne rukovodee strukture u cilju dokazivanja njihovog
liderstva koje se odnosi na njihova podruja odgovornosti.
18
5 Liderstvo
5.2 Politika
Top menadment mora da uspostavi politiku sigurnosti informacija koja ispunjava sledee:
a) odgovara svrsi organizacije;
b) obuhvata ciljeve sigurnosti informacija (videti 6.2) ili daje okvir za utvrivanje ciljeva sigurnosti informacija;
c) ukljuuje obavezu da zadovolji odgovarajue zahteve koji se odnose na sigurnost informacija i
d) ukljuuje posveenost kontinuiranom poboljanju sistema upravljanja sigurnou informacija.
Politika sigurnosti informacija mora:
biti na raspolaganju kao dokumentovana informacija;
e) da se saopti u okviru organizacije i
f) biti raspoloiva zainteresovanim stranama, po ukazanoj potrebi.
19
5 Liderstvo
5.3 Organizacione uloge, odgovornosti i ovlaenja
Najvie rukovodstvo mora blagovremeno da obezbedi dodeljivanje odgovornosti i
ovlaenja relevantnim ulogama u sistemu upravljanja sigurnou informacija, kao i njihovo
saoptavanje.
Najvie rukovodstvo mora dodeliti odgovornost i ovlaenja u cilju:
obezbeenja usaglaenosti sistema upravljanja sigurnou informacija sa zahtevima ovog
meunarodnog standarda i
izvetavanja top menadmenta o funkcionisanju sistema upravljanja sigurnou
informacija.
NAPOMENA Takoe, najvie rukovodstvo moe dodeliti odgovornosti i ovlaenja za
izvetavanje o funkcionisanju sistema upravljanja sigurnou informacija u okviru
organizacije.
20
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.1 Opte karakteristike (1 od 2)
Tokom planiranja sistema upravljanja sigurnou informacija, organizacija mora da uzme u
obzir pitanja iz poglavlja 4.1, kao i zahteve iz poglavlja 4.2 u cilju odreivanja rizika i
mogunosti koje je neophodno reavati radi:
a) osiguranja da sistem upravljanja sigurnou informacija moe da postigne svoj
nameravani rezultat;
b) spreavanja, odnosno smanjenja neeljenih efekata i
c) postizanja kontinualnog poboljanja.
Organizacija mora da planira:
d) mere za reavanje tih rizika i mogunosti i
21
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.1 Opte karakteristike (2 od 2)
Tokom planiranja sistema upravljanja sigurnou informacija, organizacija mora da uzme u
obzir pitanja iz poglavlja 4.1, kao i zahteve iz poglavlja 4.2 u cilju odreivanja rizika i
mogunosti koje je neophodno reavati:
e) kako da
1.
22
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.2 Procena rizika sigurnosti informacija (1 od 3)
Organizacija mora da definie i primeni proces procene rizika sigurnosti informacija koji
e da:
a) uspostavlja i odrava kriterijum za odreivanje rizika sigurnosti informacija koji
obuhvata:
1.
23
6 Planiranje
27001:2013(E)
24
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.2 Procena rizika sigurnosti informacija (3 od 3)
Organizacija mora da definie i primeni proces procene rizika sigurnosti informacija koji e da:
d) analizira rizike sigurnosti informacija:
2) procenom realne verovatnoe nastanka rizika identifikovanih u 6.1.2 v) 1) i
3) utvrivanjem nivoa rizika;
e) procenjuje rizike sigurnosti informacija:
1.
poreenjem rezultata analize rizika sa kriterijumima za odreivanje rizika utvrenih pod 6.1.2 a)
i
2.
25
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.3 Postupak u sluaju rizika sigurnosti informacija (1 od 3)
Organizacija mora da definie i primenjuje proces tretmana u sluaju rizika sigurnosti
informacija na sledei nain:
a) izabrati odgovarajue opcije tretmana rizika sigurnosti informacija, uzimajui u obzir
rezultate procene rizika;
b) odrediti sve neophodne kontrole za implementaciju izabranih opcija (ili opcije) tretmana
rizika sigurnosti informacija;
NAPOMENA Organizacije mogu da dizajniraju kontrole po potrebi, ili da ih identifikuju iz
bilo kog izvora.
26
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.3 Postupak u sluaju rizika sigurnosti informacija(2 od 3)
c) uporediti kontrole odreene u 6.1.3 b) sa kontrolama navedenim u Aneksu A i proverite
da li je izostavljena neka neophodna kontrola;
NAPOMENA 1
Aneks A sadri sveobuhvatnu i iscrpnu listu kontrolnih ciljeva i
kontrola. Korisnici ovog meunarodnog standarda upuuju se na Aneks A, kako bi se
osiguralo da ne doe do izostavljanja neophodnih kontrola.
NAPOMENA 2
Kontrolni ciljevi posredno su ukljueni u odabranim kontrolama.
Navedeni kontrolni ciljevi i kontrole u Aneksu A nisu konani, tako da se moe dogoditi da
je potrebno definisati dodatne kontrolne ciljeve i kontrole.
27
6 Planiranje
28
6 Planiranje
6.2 Ciljevi sigurnosti informacija i planovi za njihovo postizanje (1 od 2)
Organizacija mora da uspostavi ciljeve sigurnosti informacija na relevantnim funkcijama i
nivoima.
Ciljevi sigurnosti informacija moraju:
a) da budu u skladu sa politikom sigurnosti informacija;
b) da budu merljivi (ukoliko je izvodljivo);
c) uzeti u obzir vaee primenljive zahteve za sigurnost informacija, kao i rezultate
procene i tretmana rizika;
d) se saoptiti i
e) se aurirati po potrebi.
Organizacija mora da uva dokumentovane informacije o ciljevima sigurnosti informacija.
29
6 Planiranje
6.2 Ciljevi sigurnosti informacija i planovi za njihovo postizanje (2 od 2)
Prilikom planiranja naina postizanja sopstvenih ciljeva sigurnosti informacija, organizacija
mora da utvrdi sledee:
f) ta e biti uraeno;
g) koji resursi e biti potrebni;
h) ko e biti odgovoran;
i) kada e biti zavreno i
j) kako e se rezultati proceniti.
30
10
Podrka
7.1 Resursi
Organizacija mora da odredi i obezbedi resurse potrebne za uspostavljanje,
implementaciju, odravanje i kontinualno poboljanje sistema upravljanja sigurnou
informacija.
31
Podrka
7.2 Kompetentnost
Organizacija mora da:
a) odredi potrebnu kompetentnost osobe (osoba) koja obavlja posao pod kontrolom organizacije koji
utie na performanse sigurnosti informacija organizacije;
b) obezbedi da se kompetentnost tih osoba zasniva na adekvatnom obrazovanju, obuci ili iskustvu;
c) gde je primenljivo, preduzme mere u cilju sticanja odgovarajue kompetentnosti, kao i da izvri
procenu efektivnosti preduzetih mera i
d) sauva odgovarajue dokumentovane informacije kao dokaz kompetentnosti.
NAPOMENA Primenjene mere mogu obuhvatiti, na primer: obezbeenje obuke, mentorstva, ili
promene radnih mesta zaposlenih; ili zapoljavanje ili ugovorno obavezivanje kompetentnih osoba.
32
Podrka
7.3 Svesnost
Lica koja obavljaju posao pod kontrolom organizacije moraju da budu svesna sledeeg:
a) politike sigurnosti informacija;
b) njihovog doprinosa efektivnosti sistema upravljanja sigurnou informacija, ukljuujui
koristi od poboljane performanse sigurnosti informacija;
c) implikacija (upletenosti) u neusaglaenost sa zahtevima sistema upravljanja sigurnou
informacija.
33
11
Podrka
7.4 Komunikacija
Organizacija mora da odredi potrebu za internim i eksternim komunikacijama relevantnim
za sistem upravljanja sigurnou informacija, ukljuujui sledee:
a) o emu komunicirati;
b) kada komunicirati;
c) sa kim ostvarivati komunikaciju;
d) ko e komunicirati i
e) procese kojima se ostvaruje komunikacija.
34
Podrka
2.
3.
kompetentnosti osoblja.
35
Podrka
7.5.2 Kreiranje i auriranje
Prilikom kreiranja i auriranja dokumentovanih informacija organizacija mora obezbediti
sledee:
a) odgovarajuu identifikaciju i opis (npr. naslov, datum, autor, ili poziv na broj);
b) odgovarajui format (npr. jezik, verzija softvera, grafika) i medij (npr. papir,
elektronska forma) i
c) odgovarajue preispitivanje i odobrenje za pogodnosti i prikladnosti.
36
12
Podrka
7.5.3 Kontrola dokumentovanih informacija(1 od 2)
Dokumentovane informacije zahtevane od strane sistema upravljanja sigurnou
informacija i ovog meunarodnog standarda moraju da se kontroliu, kako bi se obezbedilo
sledee:
a) dostupnost i pogodnost za upotrebu, u svakom momentu prema ukazanim potrebama i
b) adekvatna zatita (npr. od gubitka poverljivosti, nepravilne upotrebe ili gubitka
integriteta).
37
Podrka
38
8 Operativni rad
8.1 Operativno planiranje i kontrola
Organizacija mora da planira, implementira i kontrolie procese potrebne za ispunjavanje
zahteva za sigurnou informacija, kao i da implementira mere koje su odreene u
poglavlju 6.1. Takoe, organizacija mora da implementira planove u cilju ostvarenja ciljeva
sigurnosti informacija, kao to je navedeno u poglavlju 6.2.
Organizacija mora da uva dokumentovane informacije sve dok se ne uveri da su procesi
izvreni prema planu.
Organizacija mora da kontrolie planirane izmene i preispituje posledice nepredvienih
izmena, kao i da, ukoliko je neophodno, preduzima mere radi ublaavanja negativnih
efekata.
Organizacija mora da odredi i kontrolie spoljne (eng. outsource) procese.
39
13
8 Operativni rad
8.2 Procena rizika sigurnosti informacija
Organizacija mora da izvri procenu rizika sigurnosti informacija u planiranim intervalima,
ili u sluaju predloenih ili izvrenih znaajnijih izmena, vodei rauna o kriterijumima koji
su utvreni u poglavlju 6.1.2 a).
Organizacija mora da uva dokumentovane informacije o rezultatima procene rizika
sigurnosti informacija.
40
8 Operativni rad
8.3 Tretman rizika sigurnosti informacija
Organizacija mora da implementira plan tretmana rizika sigurnosti informacija.
Organizacija mora da uva dokumentovane informacije o rezultatima tretmana rizika
sigurnosti informacija.
41
9 Evaluacija performansi
9.1 Praenje, merenje, analiza i evaluacija (1 od 2)
Organizacija mora da oceni performanse sigurnosti informacija, kao i efektivnost sistema
upravljanja sigurnou informacija.
Organizacija mora da utvrdi:
a) ta mora da se prati i meri, ukljuujui i procese i kontrole sigurnosti informacija;
b) metode za praenje, merenje, analizu i procenu po potrebi, kako bi se obezbedili validni
rezultati;
NAPOMENA Da bi se smatrali validnim, odabranim metodama moraju se proizvesti uporedivi
i reproduktivni rezultati.
42
14
9 Evaluacija performansi
9.1 Praenje, merenje, analiza i evaluacija (2 od 2)
c) kada se praenje i merenje vri;
d) ko e vriti monitoring i merenje;
e) kada e se izvriti analiza i evaluacija rezultata praenja i merenja i
f) ko e analizirati i oceniti te rezultate.
Organizacija mora da uva odgovarajue dokumentovane informacije kao dokaz o
rezultatima praenja i merenja.
43
9 Evaluacija performansi
9.2 Interni audit (1 od 2)
44
9 Evaluacija performansi
9.2 Interni audit (2 od 2)
Organizacija mora da:
c) planira, uspostavi, implementira i odrava program(e) audita, ukljuujui i uestalost,
metode, odgovornosti, planiranje zahteva i izvetavanje. Program(i) audita mora da uzme u
obzir znaaj aktuelnih procesa, kao i rezultate prethodnih audita;
d) definie kriterijume i obim za svaki audit;
e) izabere auditore i sprovede audit radi osiguranja objektivnosti i nepristrasnosti
procesa audita;
f) obezbedi da se rezultati audita saopte relevantnom rukovodstvu i
g) zadri dokumentovane informacije kao dokaz sprovedenog programa i rezultata audita.
45
15
9 Evaluacija performansi
9.3 Preispitivanje od strane rukovodstva (1 od 2)
Top menadment mora da preispita sistem upravljanja sigurnou informacija u planiranim
intervalima kako bi se obezbedila stalna pogodnost, adekvatnost i efektivnost sistema.
Prilikom preispitivanja, rukovodstvo mora da uzme u obzir sledee:
a) status mera na osnovu prethodnih preispitivanja;
b) promene u eksternim i internim pitanjima koja su relevantna za sistem upravljanja
sigurnou informacija;
c) povratnu informaciju o performansama sigurnosti informacija, ukljuujui trendove u:
1. neusaglaenostima i korektivnim merama;
2. praenju i merenju rezultata;
3. rezultatima audita i
4.
46
9 Evaluacija performansi
9.3 Preispitivanje od strane rukovodstva (2 od 2)
Top menadment mora da preispita sistem upravljanja sigurnou informacija u planiranim
intervalima kako bi se obezbedila stalna pogodnost, adekvatnost i efektivnost sistema.
Prilikom preispitivanja, rukovodstvo mora da uzme u obzir sledee:
d) povratnu informaciju od zainteresovanih strana;
e) rezultate procene rizika i status plana tretmana rizika i
f) mogunosti kontinualnog poboljanja.
Rezultati preispitivanja od strane najvieg rukovodstva moraju da obuhvate odluke koje se
odnose na kontinualno poboljanje mogunosti i bilo koje potrebe za izmenama sistema
upravljanja sigurnou informacija.
Organizacija mora da uva dokumentovane informacije kao dokaz o rezultatima
preispitivanja od strane menadmenta.
47
10 Poboljanja
10.1 Neusaglaenost i korektivne mere (1 od 2)
U sluaju pojave neusaglaenosti, organizacija mora da preduzme sledee:
a) da odreaguje na neusaglaenosti i ukoliko je mogue:
1. preduzme mere radi uspostavljanja kontrole i ispravljanja i
2. suoi se sa posledicama;
b) proceni potrebu za sledeim merama za otklanjanje uzroka neusaglaenosti, u cilju
spreavanja ponavljanja ili pojave na drugom mestu:
1. preispitivanje neusaglaenosti;
2. utvrivanje uzroka neusaglaenosti i
3. utvrivanje da li postoje sline neusaglaenosti, ili mogunost njihove pojave;
48
16
10 Poboljanja
10.1 Neusaglaenost i korektivne mere (2 od 2)
U sluaju pojave neusaglaenosti, organizacija mora da:
c) sprovodi sve potrebne mere;
d) preispituje efektivnost svake preduzete korektivne mere i
e) ukoliko je potrebno, vri izmene sistema upravljanja sigurnou informacija.
Korektivne mere moraju da odgovaraju posledicama neusaglaenosti sa kojima se susreu.
Organizacija mora da uva dokumentovane informacije kao dokaz:
f) prirode neusaglaenosti i svih preduzetih korektivnih mera i
g) o rezultatima korektivnih mera.
49
10 Poboljanja
10.2 Kontinualna poboljanja
Organizacija mora kontinualno da poboljava pogodnost, adekvatnost i efektivnost sistema
upravljanja sigurnou informacija.
50
Cilj
sigurnosti
A.5.1
Usmerenost
menadment
a na
sigurnost
informacija
Mere sigurnosti
A.5.1.1 Politike sigurnosti
informacija
17
Interna organizacija
ISO 27001, A.6.1
Cilj
sigurnosti
Mere sigurnosti
A.6.1.1 Funkcije i odgovornosti koje se odnose na
sigurnost
informacija
g
j
A.6.1.2 Razdvajanje dunosti
A.6.1
Interna
organizacija
Mere sigurnosti
A.6.2.1 Politika mobilnih
ureaja
A.6.2
Mobilni
ureaji i rad
na daljinu
Cilj
sigurnosti
Mere sigurnosti
A.7.1.1 Provere kandidata
A.7.1
Pre radnog
odnosa
18
Cilj
sigurnosti
A.7.2
Tokom
radnog
odnosa
Mere sigurnosti
Mere
sigurnosti
A.7.2.1 Odgovornosti
rukovodstva
A.7.2.2 Upoznavanje sa
sigurnou informacija,
obrazovanje i obuka
A.7.2.3 Disciplinski proces
Cilj
sigurnosti
A.7.3
Prestanak i
promena
radnog
odnosa
Mere sigurnosti
Odgovornost za imovinu
ISO 27001, A.8.1
Cilj
sigurnosti
A.8.1
Odgovornost
za imovinu
Mere sigurnosti
A.8.1.1 Popis imovine
A.8.1.2 Vlasnitvo nad
imovinom
A.8.1.3 Prihvatljiva upotreba
resursa
A.8.1.4 Povraaj resursa
19
Klasifikacija informacija
ISO 27001, A.8.2
Cilj
sigurnosti
A.8.2
Klasifikacija
informacija
Mere sigurnosti
A.8.2.1 Klasifikacija
informacija
A.8.2.2 Obeleavanje
informacija
Upravljanje medijima
ISO 27001, A.8.3
Cilj
sigurnosti
A.8.3
Upravljanje
medijima
Mere sigurnosti
A.8.3.1 Upravljanje prenosivim
medijima
Cilj
sigurnosti
A.9.1
Poslovni
zahtevi
kontrole
pristupa
Mere sigurnosti
A.9.1.1 Politika kontrole
pristupa
A.9.1.2 Pristup mreama i
mrenim uslugama
20
Cilj
sigurnosti
A.9.2
Upravljanje
korisnikim
pristupom
Mere sigurnosti
A.9.2.1 Registracija i odjavljivanje korisnika
A.9.12.2 Odreivanje korisnikog pristupa
A.9.2.3 Upravljanje privilegovanim pravima
pristupa
A.9.2.4 Upravljanje tajnim informacijama o
autentikaciji korisnika
A.9.2.5 Preispitivanje prava pristupa
korisnika
A.9.2.6 Ukidanje ili prilagoavanje prava
pristupa
Odgovornosti korisnika
ISO 27001, A.9.3
Cilj
sigurnosti
A.9.3
Odgovornost
i korisnika
Mere sigurnosti
Cilj
sigurnosti
Mere sigurnosti
A.9.4.1 Ogranienje pristupa informacijama
A.9.4.2 Procedure za sigurnosno prijavljivanje
A.9.4
Kontrola
pristupa
sistemu i
aplikacijama
21
Kriptografske kontrole
ISO 27001, A.10.1
Cilj
sigurnosti
Mere sigurnosti
A.10.1.1 Politika korienja
kriptografskih kontrola
A.10.1
Kriptografsk
e kontrole
A.10.1.2 Menadment
kljuevima
Sigurne oblasti
ISO 27001, A.11.1
Cilj
sigurnosti
Mere sigurnosti
A.11.1.1 Zona razdvajanja fizike sigurnosti
A.11.1.2 Kontrola fizikog ulaska
A.11.1
Sigurne
oblasti
Oprema
ISO 27001, A.11.2
Cilj
sigurnosti
Mere sigurnosti
A.11.2.1 Postavljanje i zatita opreme
A.11.2
Oprema
22
Cilj
sigurnosti
A.12.1
Operativne
procedure i
odgovornost
i
Mere sigurnosti
A.12.1.1 Dokumentovane
operativne procedure
A.12.1.2 Upravljanje
promenama
A.12.1.3 Upravljanje
kapacitetom
A 12 1 4 Razdvajanje
A.12.1.4
R d j j
razvojnih, testnih i operativnih
okruenja
Cilj
sigurnosti
A.12.2
Zatita od
zlonamernih
programa
Mere sigurnosti
Cilj
sigurnosti
A.12.3
Pravljenje
rezervnih
kopija
Mere sigurnosti
23
Evidentiranje i praenje
ISO 27001, A.12.4
Cilj
sigurnosti
Mere sigurnosti
A.12.4.1 Zapisivanje dogaaja
A.12.4
Evidentiranje
i praenje
Cilj
sigurnosti
A.12.5
Kontrola
operativnog
softvera
Mere sigurnosti
Cilj
sigurnosti
A.12.6
Upravljanje
tehnikim
ranjivostima
Mere sigurnosti
A.12.6.1 Upravljanje tehnikim
ranjivostima
24
Mere sigurnosti
Cilj
sigurnosti
A.12.7
Razmatranje
audita
informacioni
h sistema
Mere sigurnosti
Cilj
sigurnosti
Transfer informacija
ISO 27001, A.13.2
Cilj
sigurnosti
A.13.2
Transfer
informacija
Mere sigurnosti
A.13.2.1 Politike i procedure
transfera informacija
A.13.2.2 Sporazumi o
transferu informacija
A.13.2.3 Elektronske poruke
A.13.2.4 Sporazumi o
poverljivosti ili neotkrivanju
25
Cilj
sigurnosti
A.14.1
Zahtevi
informacioni
h sistema za
sigurnost
Mere sigurnosti
A.14.1.1 Analiza i specifikacija
zahteva sigurnosti informacija
A.14.1.2 Obezbeenje
aplikacionih servisa na javnim
mreama
A.14.1.3 Zatita transakcija
aplikacionih servisa
Cilj
sigurnosti
Mere sigurnosti
A.14.2.1 Politika sigurnosti razvoja
A.14.2.2 Procedure za kontrolu promena sistema
A.14.2
Sigurnost u
procesima
razvoja i
podrke
Testiranje podataka
ISO 27001, A.14.3
Cilj
sigurnosti
A.14.3
Testiranje
podataka
Mere sigurnosti
26
Cilj
sigurnosti
A.15.1
Sigurnost
informacija u
odnosima sa
dobavljaim
a
Mere sigurnosti
A.15.1.1 Politika sigurnosti
informacija za odnose sa
dobavljaima
A.15.1.2 Naglaavanje
sigurnosti u okviru
sporazuma sa dobavljaima
A.15.1.3 Informacioni i
komunikacioni lanac
snabdevanja
Cilj
sigurnosti
A.15.2
Upravljanje
isporukom
usluga
dobavljaa
Mere sigurnosti
A.15.2.1 Praenje i
preispitivanje usluga
dobavljaa
A.15.2.2 Upravljanje
promenama usluga
dobavljaa
Cilj
sigurnosti
A.16.1
Upravljanje
incidentima
sigurnosti
informacija i
poboljanjim
a
Mere sigurnosti
A.16.1.1 Odgovornosti i procedure
A.16.1.2 Izvetavanje o dogaajima u vezi sa
sigurnou
informacija
g
j
A.16.1.3 Izvetavanje o slabostima sigurnosti
informacija
A.16.1.4 Procena i odluka o dogaajima
sigurnosti informacija
A.16.1.5 Odgovor na incidente sigurnosti
informacija
j
A.16.1.6 Prikupljanje znanja iz incidenata
naruavanja
informacija
j sigurnosti
g
j
A.16.1.7 Prikupljanje dokaza
27
Cilj
sigurnosti
A.17.1
Kontinuitet
sigurnosti
informacija
Mere sigurnosti
A.17.1.1 Planiranje
kontinuiteta sigurnosti
informacija
A.17.1.2 Implementacija
kontinuiteta sigurnosti
informacija
A 17 1 3 Verifikacija
A.17.1.3
Verifikacija,
preispitivanje i procena
kontinuiteta sugurnosti
informacija
Redundantnost
ISO 27001, A.17.2
Cilj
sigurnosti
A.17.2
Redundantn
ost
Mere sigurnosti
A.17.2.1 Raspoloivost
opreme za obradu informacija
Cilj
sigurnosti
A.18.1
Potovanje
zakonskih i
ugovornih
zahteva
Mere sigurnosti
A.18.1.1 Identifikacija primenljivih zakonskih i
ugovornih zahteva
A.18.1.2 Prava intelektualne svojine
28
Cilj
sigurnosti
A.18.2
Information
security
reviews
Mere sigurnosti
A.18.2.1 Nezavisno
preispitivanje sigurnosti
informacija
A.18.2.2 Usklaenost sa
sigurnosnim politikama i
standardima
A.18.2.3 Preispitivanje
tehnike usklaenosti
29
ta je onda pitanje
30