VISOKA KOLA ZA SIGURNOST

s pravom javnosti

Zagreb, Ul. I. Luia 5

Predmet:
SUSTAVI UPRAVLJANJA SIGURNOU

NASLOV RADA:
PRIMJENA NORME ISO 27001

Student:Stipe Buac

Matinibroj:0257011416

Akademska godina: 2015/2016

Zagreb, 20.01.2016.

SADRAJ
Uvod ISO 27001.2
Funkcioniranje ISO 27001.......................................................................................................3
Zato je ISO 27001 dobar za tvrtku?..........................4
Zakljuak.6
Literatura.7

Uvod
OSNOVI PODACI ISO 27001
ISO 27001 je meunarodni standard objavljen od strane Meunarodne
Organizacije

za

Standardizacije

(ISO)

opisuje

kako

upravljati

informacijskom sigurnou u tvrtkama. Najnovija inaica ovog standarda je

objavljena 2013. godine, te je sadanji puni naziv ISO/IEC 27001:2013.
Prva revizija standarda je objavljena 2005. godine a razvijena je na temelju
britanskog standarda BS 7799-2.
ISO 27001 moe biti implementiran u bilo kojoj organizaciji, profitnoj ili
neprofitnoj, privatnoj ili dravnoj, maloj ili velikoj. Napisali su ga najbolji
svjetski

strunjaci

metodologiju

za

na

polju

primjenu

informacijske

upravljanja

sigurnosti

informacijskom

propisuje

sigurnou

organizaciji. Takoer, omoguava tvrtkama dobivanje certifikata, to znai

da

neovisno

certifikacijsko

tijelo

daje

potvrdu

da

je

organizacija

implementirala informacijsku sigurnost sukladno ISO 27001.

ISO 27001 je postao najpopularniji standard informacijske sigurnosti u
svijetu, te su mnoge kompanije certificirane prema njemu ovdje se moe
vidjeti broj certifikata u posljednje dvije godine.

FUNKCIONIRANJE ISO 27001

ISO

27001

je

usredotoen

na

zatitu

povjerljivosti,

cjelovitosti

raspoloivosti podataka u tvrtki. To se postie prepoznavanjem koji se

2

potencijalni problemi mogu dogoditi podacima (tj. procjena rizika), te

definiranje to treba poduzeti da se takvi problemi sprijee (tj. tretman ili
obrada rizika).
Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima:
prepoznavanju i sustavnoj obradi rizika.

Sigurnosne mjere koje e se implementirati su obino u formi politika,

procedura i tehnike primjene (npr. softvera i opreme). Meutim, u veini
sluajeva tvrtke ve imaju sav potreban hardver i softver ali ih koriste na
nesiguran nain stoga se veina primjene ISO 27001 odnosi na
uspostavu

organizacijskih

propisa

(tj.

pisanje

dokumenata)

koji

su

neophodni da bi se sprijeilo naruavanje sigurnosti.

Budui da e takva primjena zahtijevati upravljanje mnogobrojnim

politikama, procedurama, ljudstvom, sredstvima itd., ISO opisuje kako
uklopiti sve te elemente u sustav upravljanja informacijskom sigurnou
(ISMS).
Dakle, upravljanje informacijskom sigurnou se ne odnosi samo na IT
sigurnost (tj. firewall, zatitu od raunalnih virusa itd.) ve i na upravljanje
procesima, pravnu zatitu, upravljanje ljudskim resursima, fiziku zatitu i
slino.
ZATO JE ISO 27001 DOBAR ZA TVRTKU?
3

Postoje 4 kljune poslovne prednosti koje tvrtka moe postii sa primjenom

ovog standarda informacijske sigurnosti:

Zadovoljavanje pravnih zahtjeva postoji sve vie zakona, propisa i

ugovornih zahtjeva u svezi informacijske sigurnosti, a dobra vijest je da se
veina moe rijeiti primjenom ISO 27001 ovaj standard vam prua
savrenu metodologiju za sukladnost sa svima njima.

Ostvarivanje marketinke prednosti ako vaa tvrtka dobije certifikat

a vai konkurenti ne, to vam daje prednost u oima kupaca koji su osjetljivi
na zatitu svojih podataka.

Nii trokovi temeljna filozofija ISO 27001 je spreavanje sigurnosnih

incidenata; a svaki incident, mali ili veliki, kota dakle, spreavajui
incidente vaa tvrtka e utedjeti dosta novca. Najbolje od svega je da je
investiranje u ISO 27001 daleko manje od utede koju ete ostvariti.

Bolja organizacija obino brzorastue tvrtke nemaju vremena da

zastanu i definiraju svoje procese i procedure a posljedica toga je da
zaposlenici vrlo esto ne znaju to, kada i tko treba uiniti. Primjena ISO
27001 pomae rijeiti takvu situaciju jer potie tvrtke da napiu svoje
osnovne procese (ak i one koji nisu u svezi sa sigurnou), to im
omoguava da reduciraju izgubljeno vrijeme zaposlenika.

ZAKLJUAK:
Sigurnost je jedan od nabitnijih aspekata dananjeg vremena te nije neto
to bi trebali zanemariti. Organizacije bi morale spremne doekati prijetnje
dananjeg vremena, pa ako se i neki napad dogodi, isti nee ostaviti neke
velike posljedice na organizacijski IS. ISO 27001 predstavlja jedan takav
standard u kojem je zapisano sve ono to bi trebalo biti dovoljno da
obrana od napada bude uinkovita. Nitko ne kae da organizacija koja
nema ISO 27001 certifikat nema uinkovit sustav sigurnosti, ali dobivanje
ovakvog certifikata sigurno e doprinijeti prepoznavanju organizacije od
strane klijenta, pa e korist od istog biti viestruka. U svijetu je mnogo
certificiranih organizacija, Hrvatska je na 25. mjestu. Nadajmo se da emo
nastaviti napredovati, te da e se svijest o certificiranju nastaviti razvijati.

LITERATURA
http://advisera.com/27001academy/hr
https://www.dnvgl.hr/hr/services/iso-27001-upravljanje-sigurnoscuinformacija-3327