You are on page 1of 39

NORMA ISO 27001

ISO 27001

Uvod

Uvod

Predmet

Ova je meunarodna norma pripremljena kako bi pruila model


za uspostavljanje, implementacije rad, nadziranje, provjeru,
odravanje i unapreivanje sustava upravljanja informacijskom
sigurnou (Information Security Management System, ISMS).
Usvajanje ISMS-a treba biti stratekom odlukom organizacije.
Na dizajn i implementaciju organizacijskog ISMS-a utjeu njene
potrebe i ciljevi, sigurnosni zahtjevi, ukljueni procesi, veliina i
struktura organizacije. Za oekivati je da e se ovi sustavi, kao i
sustavi za podrku njihovom radu, tijekom vremena mijenjati.
Oekuje se da e implementacija ISMS-a pratiti potrebe
organizacije, primjerice, jednostavna situacija zahtjeva
jednostavno ISMS rjeenje.

Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Ova norma se moe koristiti za procjenu sukladnosti od strane


zainteresiranih unutarnjih i vanjskih strana.

ISO 27001

Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Procesni pristup upravljanju informacijskom sigurnou prikazan


u ovoj meunarodnoj normi ohrabruje njegove korisnike u
isticanju znaaja:

ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

razumijevanja zahtjeva organizacije za informacijskom


sigurnou i potrebe za uspostavljanjem politike i ciljeva
informacijske sigurnosti;
implementiranja i izvravanja kontrola u cilju
upravljanja rizicima po sigurnost informacija u
organizaciji, u kontekstu zajednikih organizacijskih rizika
poslovanja;
nadgledanja i provjere izvravanja i uinkovitosti ISMS-a;
i
kontinuiranog poboljanja temeljenog na objektivnom
mjerenju.

Ova meunarodna norma usvaja ,,Plan-Do-Check-Act" (PDCA)


model, koji je primijenjen u oblikovanju svih ISMS procesa.
Slika 1. prikazuje kako ISMS za ulaz uzima zahtjeve za
informacijsku sigurnost i oekivanja zainteresiranih strana te
kroz neophodne akcije i procese stvara rezultate
informacijske sigurnosti koji odgovaraju tim zahtjevima i

ISO 27001

Uvod
Predmet

Plan

Zainteresirane
strane

Uspostavljanje
ISMS

Normativne
reference
Nazivi i
definicije
ISMS

Do

Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Zainteresirane
strane

Zahtjevi i
oekivanja od
informacijske
sigurnosti

Implementacija
i pokretanje
ISMS

Unapreivanje
i unapreivanje
ISMS

Nadgledanje i
kontrola ISMS

Act

Upravljana
informacijska
sigurnost

Check
Slika 1.

Dalje

ISO 27001

Uvod

Plan
(uspostaviti ISMS)

Predmet
Normativne
reference
Nazivi i
definicije
ISMS

Uspostaviti ISMS politiku, ciljeve, procese i procedure


vane za upravljanje rizikom i poboljanje
informacijske sigurnosti kako bi dali rezultate u skladu
s ukupnom politikom i ciljevima organizacije.

Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Natrag

ISO 27001

Uvod

Do
(implementirati i izvravati ISMS)

Predmet
Normativne
reference
Nazivi i
definicije

Implementirati i izvravati ISMS politiku, kontrole, procese


i procedure.

ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Natrag
Poboljanje
ISMS

ISO 27001

Uvod

Check
(nadgledati i provjeravati ISMS)

Predmet
Normativne
reference
Nazivi i
definicije

Procijeniti i gdje je primjenjivo, mjeriti izvravanje procesa


u odnosu na ISMS politiku, ciljeve i praktino iskustvo
te izvjetavati upravu o rezultatima radi provjere.

ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Natrag
Poboljanje
ISMS

ISO 27001

Uvod

Act
(odravati i poboljavati ISMS)

Predmet
Normativne
reference
Nazivi i
definicije
ISMS

Poduzeti korektivne i preventivne akcije zasnivane na


rezultatima interne ISMS prosudbe (audita) i provjere
uprave ili ostalim bitnim informacijama, kako bi se
postiglo stalno poboljanje ISMS-a.

Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Natrag
Poboljanje
ISMS

ISO 27001
Openito
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Ova meunarodna norma pokriva sve vrste organizacija


(npr. gospodarskih organizacija, dravnih ustanova,
ne-profitnih organizacija). Ova meunarodna norma
definira zahtjeve za uspostavljanje, implementaciju,
rad, nadziranje, provjeru, odravanje i unapreivanje
dokumentiranog sustava upravljanja informacijskom
sigurnou (ISMS) u kontekstu cjelokupnih rizika
poslovanja organizacije. Ona definira zahtjeve za
implementaciju sigurnosnih kontrola prilagoenih
potrebama svake pojedine organizacije ili njenih
dijelova.
ISMS je dizajniran kako bi osigurao odabir adekvatnih i
proporcionalnih sigurnosnih kontrola koje tite
informacijsku imovinu i pruio povjerenje
zainteresiranim stranama.

ISO 27001
Primjena
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Zahtjevi uspostavljeni u ovoj meunarodnoj normi su


generiki, te su predvieni da budu primjenjivi u svim
organizacijama, bez obzira na njihovu vrstu, veliinu i
prirodu. Izostavljanje bilo kojeg zahtjeva definiranog u
klauzulama 4,5,6,7 i 8 je neprihvatljivo u sluaju gdje
organizacija izjavljuje svoju sukladnost s ovom
meunarodnom normom.
Svako iskljuivanje kontrola koje se smatraju obaveznim za
zadovoljavanje kriterija za prihvaanje rizika treba biti
opravdano te trebaju biti prueni dokazi da su vezani rizici
prihvaeni od strane odgovornih osoba. Izjava o
sukladnosti sa ovom meunarodnom normom se smatra
neprihvatljivom ukoliko je iskljuena bilo koja kontrola,
osim u sluaju da to ne utjee na sposobnost i/ili
odgovornost organizacije za pruanje informacijske
sigurnosti kakva zadovoljava sigurnosne zahtjeve
odreene procjenom rizika te primjenjive zakone i propise.

ISO 27001
Normativne reference
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS

Za primjenu ovog dokumenta su neophodni i slijei dokumenti


na koje se u njemu referencira. Za datumom navedene
reference vrijede samo navedene verzije. Za ostale
reference je vaee posljednje izdanje navedenog
dokumenta (ukljuujui i sve njegove dodatke).

Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

ISO/lEC 17799:2005, Informacijska tehnologija - Sigurnosne


tehnike informacijskom sigurnou kodeks postupaka za
upravljanje informacijskom sigurnou

ISO 27001
Imovina
Sve to predstavlja vrijednost za organizaciju

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Dostupnost
Osobina dostupnosti i upotrebljivosti imovine na zahtjev ovlatenog entiteta
Povjerljivost
Osobina da informacija nije uinjena dostupnom ili otkrivena neovlatenim
osobama, entitetima ili procesima
Informacijska sigurnost
Ouvanje povjerljivosti, integriteta i dostupnosti informacije; ukljuiti se mogu i
druge osobine kao sto su vjerodostojnost, odgovornost, neporecivost i
pouzdanost.
Sigurnosni dogaaj
Sigurnosni dogaaj je prepoznatljiv sluaj stanja sustava, usluge ili mree koji
upuuje na moguu povredu politike informacijske sigurnosti ili neuspjeh
zatite ili do tada nepoznate okolnosti koje mogu biti vane za sigurnost
Sigurnosni incident
Sigurnosni incident naznaen je jednim ili nizom neeljenih ili neoekivanih
sigurnosnih dogaaja koji imaju znaajnu vjerojatnost ugroavanja
poslovnih aktivnosti i informacijske sigurnosti

ISO 27001

Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Sustav upravljanja informacijskom sigurnou ISMS


Dio cjelokupnog sustava upravljanjem, temeljen na pristupu sa strane poslovnih
rizika, kako bi uspostavio, implementirao, nadzirao, provjeravao, odravao i
unapreivao informacijsku sigurnost.
NAPOMENA: Sustav upravljanja ukljuuje organizacijsku strukturu, politike,
planiranje aktivnosti, odgovornosti, vjebe, procedure, procese i resurse.
Integritet
Osobina ouvanja autentinosti i cjelovitosti imovine

ISMS

Rezidualni rizik
Preostali rizik nakon obrade rizika

Odgovornost
uprave

Prihvaanje rizika
Odluka da se rizik prihvati

Interna
prosudba
audit

Analiza rizika
sustavna uporaba informacija za odreivanje izvora i procjenu rizika

Provjera ISMS
od uprave
Poboljanje
ISMS

Procjena rizika
cjelokupan proces analize rizika i njegovog vrednovanja
Vrednovanje rizika
Proces usporedbe procijenjenog rizika sa danim kriterijima, kako bi se ustanovio
znaaj rizika

ISO 27001
Upravljanje rizikom
Usklaene aktivnosti za usmjeravanje i kontrolu organizacije u smislu rizika

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Obrada rizika
proces odabira i primjene mjera za promjenu rizika
NAPOMENA: U ovoj meunarodnoj normi izraz -kontrola" koriten je kao
sinonim za mjera".
Izjava o primjenjivosti
Dokumentirana izjava koja opisuje ciljeve kontrola i kontrole koje su relevantne
i primjenjive na ISMS organizacije.
NAPOMENA: Ciljevi kontrola i kontrole su bazirane na rezultatima i zakljucima
procjene rizika i procesa obrade rizika, pravnim i zakonskim zahtjevima,
ugovornim obavezama i poslovnim zahtjevima na informacijsku sigurnost
organizacije.

ISO 27001
ISMS
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

1. Opi zahtjevi
Organizacija mora uspostaviti, implementirati, izvravati, nadzirati,
provjeravati, odravati i poboljavati dokumentirani ISMS unutar
konteksta cjelokupnih poslovnim aktivnostima organizacije i
rizicima s kojima se ona suoava. Za potrebe ove meunarodne
norme je koriten PDCA model prikazan na slici 1.
2.

Uspostavljanje i upravljanje ISM-om


Uspostaviti ISMS
Implementirati i izvravati ISMS
Nadzirati i provjeravati ISMS
Odravati i poboljavati ISMS

3.

Zahtjevi za dokumentaciju
Openito
Kontrola dokumenata
Kontrola zapisa

ISO 27001

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Uspostavljanje i upravljanje ISM-om Uspostaviti ISMS


Organizacija mora uiniti slijedee:
a) Odrediti opseg i granice ISMS-a u kontekstu Karakteristika
poslovanja,
organizacije, njene lokacije, imovine i tehnologije, i ukljuujui
detalje i
opravdanje svakog iskljuivanja iz ovog opsega (pogledati 1.2).
b) Definirati politiku ISMS-a u kontekstu karakteristika
poslovanja,
organizacije, njene lokacije, imovine i tehnologije koja:
1)

2)
3)
4)

ukljuuje strukturu za postavljanje ciljeva i uspostavlja cjelokupnu


svijest o
smjeru i principima postupanja obzirom na informacijsku
sigurnost;
uzima u obzir poslovne, pravne ili regulatorne i ugovorne
sigurnosne obaveze;
je usklaena sa stratekim kontekstom upravljanja rizikom u
organizaciji u
kojoj e se uspostaviti i odravati ISMS;
uspostavlja kriterij prema kojem ce se vrednovati rizik Natrag
(vidi
4.2.1c)); i

ISO 27001

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Uspostavljanje i upravljanje ISM-om Uspostaviti ISMS


c) Definirati pristup organizacije procjeni rizika.
1)
2)

Odabrati metodu procjene rizika pogodnu za ISMS, i poznate


zahtjeve na
sigurnost poslovnih informacija, pravne i regulatorne zahtjeve,
Razviti kriterij za prihvaanje rizika i odrediti prihvatljive razine
rizika.
(vidi 5.1f))

Odabrana metoda procjene rizika mora osigurati da procjene rizika


daju usporedive i ponovljive rezultate.
NAPOMENA: Postoje razliite metodologije za procjenu rizika. Primjeri
ovih metodologija su obraeni u ISO/IEC TR 13335-3, Information
technology - Guidelines for the management of IT Security
-Techniques for the management of IT Security.

Poboljanje
ISMS
Natrag

ISO 27001

Uvod

Uspostavljanje i upravljanje ISM-om Uspostaviti ISMS

Predmet

d) Identificirati rizike:

Normativne
reference
Nazivi i
definicije

1)
2)
3)
4)

ISMS

Pojam ,,vlasnik" oznaava osobu ili entitet koji ima od uprave odobrenu
odgovornost za kontrolu proizvodnje, razvoja, odravanja, upotrebe i
sigurnost imovine. Pojam ,,vlasnik" ne oznaava da ta osoba u stvarnosti
ima bilo kakva prava vlasnitva nad imovinom.

Odgovornost
uprave

Identificirati imovinu unutar opsega ISMS-a, i vlasnike te imovine.


Identificirati prijetnje ovoj imovini.
Identificirati ranjivosti koje bi mogle biti iskoritene od tih prijetnji.
Identificirati uinke koje gubici povjerljivosti, integriteta i dostupnosti mogu
imati na ovu imovinu.

Interna
prosudba
audit

e) Analizirati i vrednovati rizike.

Provjera ISMS
od uprave

2)

Poboljanje
ISMS

1)

3)
4)

Procijeniti uinke na poslovanje organizacije koji bi mogli nastati zbog


sigurnosnih propusta, uzimajui u obzir posljedice gubitka povjerljivosti,
integriteta iii dostupnosti imovine.
Procijeniti realnu vjerojatnost sigurnosnih propusta nastalih u svjetlu
rasprostranjenih prijetnji i ranjivosti, utjecaja asociranih sa ovom
imovinom,
te trenutno implementiranih kontrola.
Procijeniti razine rizika.
Odrediti jesu li rizici prihvatljivi ili zahtijevaju obradu, sluei se
Natrag
uspostavljenim kriterijem za prihvaanje rizika u 4.2.1c)2).

ISO 27001

Uvod

Uspostavljanje i upravljanje ISM-om Uspostaviti ISMS

Predmet

f) Identificirati i vrednovati opcije za obradu rizika.

Normativne
reference
Nazivi i
definicije

Mogue akcije ukljuuju:


1) Primjenu prikladnih kontrola;
2)
Svjesno i objektivno prihvaanje rizika, osiguravajui da jasno
zadovoljavaju
organizacijske politike i kriterij za prihvaanje rizika (vidi 4.2.1c)2));
3)
Izbjegavanje rizika; i
4)
Prenoenje vezanih poslovnih rizika na tree osobe, npr. osiguravatelje,
dobavljae.

ISMS
Odgovornost
uprave

g) Odabrati ciljeve kontrola i kontrole za obradu rizika.

Interna
prosudba
audit

Ciljevi kontrola i kontrole moraju biti odabrane i implementirane na nain da


zadovoljavaju zahtjeve identificirane procjenom rizika i procesom obrade
rizika. Ovaj odabir mora biti u skladu s kriterijem za prihvaanje rizika {vidi
4.2.1 c)2)), kao i pravnim, regulatornim i ugovornim zahtjevima.

Provjera ISMS
od uprave

Ciljevi kontrola i kontrole iz Aneksa A moraju biti selektirani kao dio ovog procesa
kako je primjereno za zadovoljavanje identificiranih zahtjeva.

Poboljanje
ISMS

Ciljevi kontrola i kontrole navedene u Aneksu A nisu iscrpne te se mogu odabrati


i dodatni ciljevi kontrola i kontrole.
Natrag

ISO 27001

Uvod

Uspostavljanje i upravljanje ISM-om Uspostaviti ISMS

Predmet

h) Dobiti odobrenje uprave za predloene rezidualne rizike.

Normativne
reference
Nazivi i
definicije

i) Dobiti ovlatenje uprave za implementaciju i izvravanje


ISMS-a.

ISMS
Odgovornost
uprave
Interna
prosudba
audit

j) Pripremiti Izjavu o primjenjivosti


Izjava o primjenjivosti mora biti pripremljena tako da ukljuuje
slijedee:
1)
2)

Ciljeve kontrola i odabrane kontrole u 4.2.1g) i razloge njihovog


odabira;
Ciljeve kontrola i trenutno implementirane kontrole (vidi
4.2.1e)2)); i
Iskljuivanje bilo kojih ciljeva kontrole i kontrola u Aneksu A i
opravdanje za njihovo iskljuenje.

Provjera ISMS
od uprave

3)

Poboljanje
ISMS

NAPOMENA: Izjava o primjenjivosti prua saetak odluka o obradi


rizika. Opravdavanje iskljuenja prua unakrsnu provjeru da ni
jedna kontrola nije nehotino isputena.
Natrag

ISO 27001
Uspostavljanje i upravljanje ISM-om Implementirati i izvravati ISMS
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Organizacija mora uiniti slijedee:


a)

b)
c)
d)

NAPOMENA: Mjerenje uinkovitosti kontrola omoguava rukovoditeljima i osoblju


odreivanje uspjeha dostizanja planiranih ciljeva kontrola.
e)

Poboljanje
ISMS

Formulirati plan za obradu rizika koji identificira odgovarajue akcije uprave,


resurse, odgovornosti i prioritete za upravljanje rizicima informacijske
sigurnosti
(vidi 5).
Implementirati plan za obradu rizika kako bi dostigla odabrane ciljeve
kontrola,
to ukljuuje razmatranje financiranja i raspodjele uloga i odgovornosti.
Implementirati kontrole odabrane u 4.2.1g) kako bi zadovoljila ciljeve
kontrola.
Odrediti nain mjerenja uinkovitosti odabranih kontrola ili grupa kontrola i
definirati nain na koji ce ta mjerenja biti koritena u procjeni uinkovitosti
kontrola, tako da rezultiraju usporedivim i ponovljivim rezultatima (vidi
4.2.3c)).

f)
g)

Implementirati programe obuke i podizanja svijesti o informacijskoj


sigurnosti
(vidi 5.2.2).
Upravljati izvravanjem ISMS-a.
Natrag
Upravljati resursima za ISMS (vidi 5.2).

ISO 27001
Uspostavljanje i upravljanje ISM-om Nadzirati i provjeravati ISMS
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Organizacija mora uiniti slijedee:


a) Izvravati procedure nadzora i provjere i ostale kontrole kako bi se:

Aurno uoavale greke u rezultatima procesiranja;

Aurno uoavali pokuaje proboja i uspjeni proboje sigurnosti i


sigurnosni
incidente;

Omoguilo upravi da ustanovi izvravaju li se ljudima povjerene


ili
informacijskim tehnologijama implementirane sigurnosne
aktivnosti prema
oekivanjima;

Pomoglo pri detekciji sigurnosnih dogaaja i upotrebom


indikatora
sprijeilo sigurnosne incidente; i

Ustanovilo jesu li akcije poduzete za rjeavanje povreda


sigurnosti bile
uinkovite.
b)

Izvoditi redovitu provjeru uinkovitosti ISMS-a (ukljuujui


zadovoljavanje
Natrag
ISMS politike i ciljeva, te provjeru sigurnosnih kontrola) uzimajui

ISO 27001
Uspostavljanje i upravljanje ISM-om Nadzirati i provjeravati ISMS
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave

d)

1.
2.
3.
4.
5.
6.

Provjeriti procjene rizika u planiranim intervalima i provjeriti


rezidualne rizike te ustanovljene prihvatljive razine rizika, uzimajui u
obzir
promjene:
Organizacije;
Tehnologije;
Poslovnih ciljeva i procesa;
Identificiranih prijetnji;
Uinkovitosti implementiranih kontrola; i
Vanjske dogaaje, kao sto su promjene pravnog ili regulatornog
okruenja, promijenjene ugovorne obaveze, i promjene socijalnog
ozraja.

Interna
prosudba
audit

e) Provoditi interne prosudbe (audite) u planiranim intervalima (vidi 6)

Provjera ISMS
od uprave

f)

Provoditi provjeru ISMS-a od strane uprave na redovnoj bazi kako bi se


osiguralo da je opseg i dalje primjeren i da su identificirana poboljanja u
ISMS procesima (vidi 7.1).

Poboljanje
ISMS

g)

Nadopunjavati sigurnosne planove kako bi se u obzir uzeli rezultati


aktivnosti za nadzor i provjeru.

h)

Natrag ili
Biljeiti akcije i dogaaje koji bi mogli imali uinak na uinkovitost
izvoenje ISMS-a (vidi 4.3.3).

NAPOMENA: Interne prosudbe, ponekad nazivane i prosudbe prve strane, se


izvode od i u ime same organizacije, za interne potrebe.

ISO 27001
Uspostavljanje i upravljanje ISM-om Odravati i poboljavati ISMS
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Organizacija mora redovito initi sljedee:


a)
b)

ISMS
Odgovornost
uprave
Interna
prosudba
audit

c)

d)

Implementirati uoena poboljanja ISMS-a.


Poduzeti odgovarajue korektivne i preventivne akcije u skladu s
8.2 i 8.3.
Primijeniti znanja steena iz iskustva drugih organizacija i vlastite
organizacije.
Obavijestiti sve zainteresirane strane o aktivnostima i
poboljanjima, s
razinom detalja prikladnom uvjetima, te prema potrebi, usuglasiti
nain
daljnjeg postupka.
Osigurati da poboljanja postignu njihove namjeravane ciljeve.

Provjera ISMS
od uprave
Poboljanje
ISMS
Natrag

ISO 27001
Zahtjevi za dokumentaciju

Openito

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Dokumentacija mora sadravati zapise o odlukama uprave, osiguravati


sljedivost postupaka do odluka uprave i politika, te osigurati da se
zapisani rezultati mogu ponovno proizvesti.
Vano je biti u mogunosti demonstrirati vezu odabranih kontrola sa
rezultatima procjene rizika i procesa obrade rizika, a potom nazad
do ISMS politike i ciljeva.
ISMS dokumentacija mora ukljuivati:
a)
Dokumentirane izjave ISMS politike (vidi 4.2.1b)) i ciljeva;
b)
Opseg ISMS-a (vidi 4.2.1a));
c)
Procedure i kontrole koje podupiru ISMS;
d)
Opis metodologije procjene rizika (vidi 4.2.1c));
e)
Izvjetaj procjene rizika (vidi 4.2.1c) do 4.2.1g));
f)
Plan obrade rizika (vidi 4.2.2b));
g)
Organizaciji potrebne dokumentirane procedure koje osiguravaju
uinkovito planiranje, rad i kontrolu njenih procesa informacijske
sigurnosti, te opisuju kako mjeriti uinkovitost kontrola (vidi
4.2.3c));
h) Zapise zahtijevane ovom meunarodnom normom (vidi 4.3.3); i
i)
Izjavu u primjenjivosti.
Natrag

ISO 27001
Zahtjevi za dokumentaciju Kontrola dokumenata
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS

Dokumenti zahtijevan od ISMS-a moraju biti zatieni i kontrolirani.


Mora bili uspostavljena dokumentirana procedura koja ce odrediti
akcije uprave potrebne kako bi se:
a)
b)
c)

Odgovornost
uprave

d)

Interna
prosudba
audit

e)
f)

Provjera ISMS
od uprave
Poboljanje
ISMS

g)
h)
i)
j)

Odobrila adekvatnost dokumenata prije izdavanja;


Prema potrebi pregledali i dopunili dokumenti i ponovo odobrili;
Osiguralo da su identificirane izmjene i status trenutna revizije a
dokumenata;
Osiguralo da su relevantne verzije primjenjivih dokumenta
dostupne na
mjestu upotrebe;
Osiguralo da dokumenti ostanu itki i lako prepoznatljivi;
Osiguralo da su dokumenti dostupni onima koji ih trebaju, te da su
transportirani, pohranjeni i uklonjeni u skladu s primjenjivim
procedurama za njihovu klasifikaciju;
Osiguralo da su identificirani dokumenti vanjskog porijekla;
Osiguralo da je distribucija dokumenata kontrolirana;
Sprijeilo nenamjernu upotrebu zastarjelih dokumenta; i
Ukoliko su iz bilo kog razloga sauvani, dokumentima dodijelilo
odgovarajuu identifikaciju.
Natrag

ISO 27001
Zahtjevi za dokumentaciju

Kontrola zapisa

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Moraju se uspostaviti i odravati zapisi koji pruaju dokaze o


usklaenosti sa zahtjevima i uinkovitom radu ISMS-a. Oni moraju
biti zatieni i kontrolirani. ISMS mora u obzir uzimati sve
relevantne regulatorne i zakonske zahtjeve i ugovorne obveze.
Zapisi moraju ostati itki, lako prepoznatljivi i dostupni. Kontrole
potrebne za identifikaciju, pohranu, zatitu, pretraivanje, vrijeme
uvanja i odbacivanja zapisa moraju biti dokumentirane i
implementirane.
Zapisi o izvravanju procesa moraju se uvati kako je navedeno u 4.2
kao i zapisi svih pojava znaajnih sigurnosnih incidenta vezanih uz
ISMS.
PRIMJER: Primjeri zapisa su knjiga posjetitelja, izvjetaji s prosudbi
(audita) i

Poboljanje
ISMS
Natrag

ISO 27001
Odgovornost uprave
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Opredjeljenje uprave
Upravljanje sredstvima

ISMS

Dodjeljivanje sredstava

Odgovornost
uprave

Obuavanje, razina svijesti i sposobnosti

Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

ISO 27001
Odgovornost uprave

Opredjeljenje uprave

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave

Uprava mora pruiti dokaz svoje opredijeljenosti uspostavi,


implementaciji, izvravanju, nadziranju, provjeri, odravanju i
poboljanju ISMS-a kroz:
a)
b)
c)
d)
e)
f)
g)

Poboljanje
ISMS

Uspostavljanje ISMS politike;


Osiguravanje da su ciljevi i planovi ISMS-a uspostavljeni;
Uspostavljanje funkcija i odgovornosti za informacijsku sigurnost;
Prenoenje organizaciji vanost ispunjavanja ciljeva informacijske
sigurnosti i zadovoljavanja politike informacijske sigurnosti,
zakonske odgovornosti i potrebe za stalnim poboljanjem;
Pruanje dostatnih sredstava za uspostavu, implementaciju,
izvravanje,
nadzor, provjeru, odravanje i poboljanje ISMS-a (vidi 5.2.1);
Odluivanje o kriteriju za prihvaanje rizika i prihvatljivim
razinama rizika;
Osiguravanje provoenja internih prosudbi (audita) ISMS-a (vidi
6); i
h) Provoenjem provjera ISMS-a od strane uprave (vidi 7).
Natrag

ISO 27001
Odgovornost uprave Dodjeljivanje sredstava
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Organizacija mora odrediti i osigurati sredstva potrebna za:


a)

ISMS

b)

Odgovornost
uprave

c)

Interna
prosudba
audit

d)

Provjera ISMS
od uprave

e)
f)

uspostavu, implementaciju, izvravanje, nadzor, provjeru,


odravanje i
poboljanje ISMS-a;
osiguranje da procedure informacijske sigurnosti podravaju
poslovne
zahtjeve;
identificiranje i udovoljavanje zakonskim i regulatornim
zahtjevima i
ugovornim sigurnosnim obvezama;
odravanje primjerene sigurnosti ispravnom primjenom svih
implementiranih kontrola;
izvoenje provjera kada je neophodno, te prikladno reagiranje na
rezultate tih provjera; i
gdje je zahtijevano, poboljavanje uinkovitosti ISMS.

Poboljanje
ISMS
Natrag

ISO 27001

Uvod

Odgovornost uprave Obuavanje, razina svijesti i


sposobnosti

Predmet
Normativne
reference
Nazivi i
definicije

Organizacija mora osigurati da je sve osoblje kojem su dodijeljene


odgovornosti definirane ISMS-om sposobne za izvravanje
zahtijevanih zadataka tako to e:

ISMS

a)

Odgovornost
uprave

b)

Interna
prosudba
audit

c)
d)

Provjera ISMS
od uprave
Poboljanje
ISMS

Odrediti neophodne kompetencije za osoblje koje izvodi zadatke


koji utjeu na ISMS;
Osigurati obuku ili poduzeti druge akcije (npr. zapoljavanje
kompetentnog
osoblja) kako bi zadovoljila ove potrebe;
Procjenjivati uinkovitost poduzetih akcija; i
Odravati zapise o edukaciji, obuci, vjetinama, iskustvu i
kvalifikacijama
(vidi 4.3.3).

Organizacija ce takoer osigurati da sve relevantno osoblje bude


svjesno vanosti i primjerenosti svojih aktivnosti vezanih uz
informacijsku sigurnost i svog doprinosa postizanju ciljeva ISMS-a.
Natrag

ISO 27001
Interne prosudbe (auditi) ISMA-a
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave

Organizacija mora u planiranim intervalima izvoditi interne prosudbe ISMS-a


kako bi ustanovila da ciljevi kontrola, kontrole, procesi i procedure njenog
ISMS-a:
a)
b)
c)
d)

Udovoljavaju zahtjevima ove meunarodne norme i relevantnim zakonima


i
propisima;
Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;
Uinkovito implementirani i odravani; i
Izvravaju se kako se od njih oekuje.

Interna
prosudba
audit

Program prosudbe mora biti planiran, uzimajui u obzir status i vanost procesa i
podruja koja se prosuuju, kao i rezultate prethodnih prosudbi. Kriterij,
opseg, uestalost i metode prosudbe moraju biti definirane. Izbor
prosuditelja i izvoenje prosudbi moraju osigurati objektivnost i
nepristranost procesa prosudbe. Prosuditelji ne smiju prosuivati vlastiti
rad.

Provjera ISMS
od uprave

Odgovornosti i zahtjevi za planiranje i provoenje prosudbi, izvjetavanje o


rezultatima i odravanje zapisa (vidi 4.3.3) moraju biti definirani
dokumentiranom procedurom.

Poboljanje
ISMS

Uprava odgovorna za podruje koje se prosuuje mora osigurati da se akcije


provode bez
nepotrebnog odgaanja u otklanjanju ustanovljenih nesukladnosti i njihovih
Natragakcija i
uzroka. Naknadne aktivnosti moraju ukljuivati provjeru provedenih
izvjetavanje o rezultatima provjere (vidi 8).

ISO 27001
Provjera ISMS-a od strane uprave
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Openito
Uprava mora u planiranim intervalima (minimalno jednom
godinje) provjeravati organizacijski ISMS kako bi osigurala
njegovu stalnu podobnost, primjerenost i uinkovitost. Provjera
mora ukljuivati procjenu prilika za poboljanje i potrebe za
izmjenama ISMS-a, ukljuujui politiku informacijske sigurnosti i
ciljeve informacijske sigurnosti. Rezultati ovih provjera moraju biti
jasno dokumentirani a zapisi odravani (vidi 4.3.3).

Ulazni podaci za provjeru


Rezultati provjere

ISO 27001
Provjera ISMS-a od strane uprave Ulazni podaci za provjeru
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Podaci koje je potrebno dostaviti upravi za potrebe provjere


sadravaju:

ISMS

a)
b)
c)

Odgovornost
uprave

d)
e)

Interna
prosudba
audit

f)
g)

Provjera ISMS
od uprave

Rezultate prosudbi i provjera ISMS-a;


Povratne informacije zainteresiranih strana;
Tehnike, proizvode ili procedure koje bi se mogle iskoristiti u
organizaciji za poboljanje izvravanja i uinkovitosti ISMS-a;
Status preventivnih i korektivnih akcija;
Ranjivosti i prijetnje koje nisu adekvatno obraene u prijanjoj
procjeni rizika;
Rezultate mjerenja uinkovitosti;
Naknadne akcije iz prethodnih provjera uprave;
h) Sve promjene koje bi mogle utjecati na ISMS; i
i) Preporuke za poboljanje.

Poboljanje
ISMS
Natrag

ISO 27001
Provjera ISMS-a od strane uprave Rezultati provjere
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Rezultati provjere uprave moraju sadravati sve odluke i akcije vezane


uz sljedee:
a)
b)
c)

ISMS
Odgovornost
uprave

1)
2)
3)
4)
5)
6)

Interna
prosudba
audit
Provjera ISMS
od uprave
Poboljanje
ISMS

Poboljanje uinkovitosti ISMS-a;


Auriranje procjene rizika i plana obrade rizika;
Izmjene procedura i kontrola koje utjeu na informacijsku
sigurnost, prema potrebi, kako bi se reagiralo na interne i
eksterne dogaaje koji mogu utjecati na ISMS, ukljuujui izmjene:

d)
e)

Poslovnih zahtjeva
Sigurnosnih zahtjeva
Poslovnih procesa koji utjeu na postojee poslovne zahtjeve;
Zakonskih i regulatornih zahtjeva;
Ugovornih obveza; i
Razina rizika i/ili kriterija za njihovo prihvaanje.

Potrebe za sredstvima.
Poboljanja naina mjerenja uinkovitosti kontrola.
Natrag

ISO 27001
Poboljanje ISMS-a
Uvod
Predmet
Normativne
reference
Nazivi i
definicije

Stalno poboljanje
Organizacija mora stalno poboljavati uinkovitost ISMS-a kroz
uporabu politike informacijske sigurnosti, ciljeva informacijske
sigurnosti, rezultata prosudbi, analiza nadziranih dogaaja,
korektivnih i preventivnih akcija i provjere uprave (vidi 7).

ISMS
Odgovornost
uprave
Interna
prosudba
audit

Korektivna akcija
Preventivna akcija

Provjera ISMS
od uprave
Poboljanje
ISMS
Natrag

ISO 27001
Poboljanje ISMS-a Korektivna akcija
Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit

Organizacija mora poduzeti akciju za uklanjanje uzroka nesukladnosti


sa ISMS zahtjevima kako bi sprijeila ponavljanje. Dokumentirana
procedura za korektivnu akciju mora definirati zahtjeve za:
a)
b)
c)
d)
e)
f)

Identificiranje nesukladnosti;
Ustanovljavanje uzroka nesukladnosti;
Vrednovanje potrebe za akcijama koje bi osigurale da se
nesukladnosti ne
ponove;
Ustanovljavanje i implementiranje potrebne korektivne akcije;
Zapisivanje rezultata poduzete aktivnosti (vidi 4.3.3): i
Provjeravanje poduzete korektivne akcije.

Provjera ISMS
od uprave
Poboljanje
ISMS
Natrag

ISO 27001
Poboljanje ISMS-a

Preventivna akcija

Uvod
Predmet
Normativne
reference
Nazivi i
definicije
ISMS
Odgovornost
uprave
Interna
prosudba
audit

Organizacija mora odrediti akciju za uklanjanje uzroka koji moe


uzrokovati potencijalne nesukladnosti sa ISMS zahtjevima kako bi
sprijeila njihovo pojavljivanje. Poduzete preventivne akcije
moraju biti primjerene utjecaju potencijalnih problema.
Dokumentirana procedura za preventivnu akciju mora odrediti
zahtjeve za:
a)
b)
c)
d)
e)

Identificiranje potencijalnih nesukladnosti i njihovih uzroka;


Vrednovanje potrebe za akcijom za sprjeavanje pojave
nesukladnosti;
Odreivanje i implementaciju potrebne preventivne akcije;
Zapisivanje rezultata poduzete akcije (vidi 4.3.3); i
Provjeravanje poduzete preventivne akcije.

Provjera ISMS
od uprave

Organizacija mora identificirati promijenjene rizike i identificirati


zahtjeve za preventivnom akcijom s panjom usmjerenom na
znatno promijenjene rizike.

Poboljanje
ISMS

Prioritet preventivnih akcija mora se odrediti na osnovu rezultata


procjene rizika.

Natrag