FAKULTET ZA INFORMACIONE TEHNOLOGIJE

Univerzitet “Mediteran”, Podgorica

ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA

Poslovni Informacioni Sistemi

Doc. Dr Velimir Strugar, dipl.el.ing.

PODGORICA 2021
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA
Destrukcija integriteta podataka kompanije TJX (www.tjx.com)
Vrijednost kompanije 16 milijardi dolara, 2500 prodajnih mjesta u USA i Kanada
2007. objavila destrukciju zaštitnog sistema podataka, podaci 46 mil. kupaca bili
ugroženi, odnosno njihovi podaci kompromitovani
Napadači imali ključ za kriptografsku zaštiu transakcija, kompanija dugo nije znala za
napad i nije znala koliko je i kojih podataka kompromitovano / 3 nivoa problema
TJX je kopirala podatke sa platnih kartica i čekova svojih klijenata nepotrebno i to nije u
skladu sa standardima bezbjednosti podataka (Visa i MasterCard). Na taj način su
napadači mogli da naprave kopije kartica i neometano rade transakcije neovlašteno.
Neki transakcioni podaci su bili iz 2003.g., višegodišnje nepoštovanje standarda
Poremećaj je uočen u više od 60 banaka koje su identifikovale kompromitaciju kartica.
Prije nego je krađa podataka uočena već je više od 8 mil.dolara bilo prometovano
posredstvom ukradenih podataka sa kartica.
Problem nije riješen, lopovi nijesu nađeni, TJX se suočio sa ozbiljnim reputacionim
problem, sudskim procesima, gubitkom od preko 20 mil. dolara u 2006. i gubitkom
kreditnog povjerenja kod banaka.
Ovaj neriješeni problem je otvorio 3 pitanja: etičnosti, privatnosti i zaštite podataka 2
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA
 Etika se odnosi na pitanja prihvatljivog i neprihvatljivog kada razmatramo
Razmatraćemo: oblike našeg ponašanja. Nije uvijek jednostavno razdvojiti ispravno od
neispravnog ponašanja, vrlo često je granica između ta dva određenja prilično
Etička pitanja nejasna.
Prijetnju zaštiti informacija  Nije nužno da sve što nije etički je istovremeno i nezakonito
Zaštitu informacionih resursa
 Etički kodeks je dokument koji kompanije oblikuju i lansiraju kao skup principa i
propisa koji definišu prihvatljivo ponašanje, odnosno propisuju zabrane u
mnogim bihevioralnim oblastima (odnos prema imovini, oblačenje, odnos
među zaposlenima i posjetiocima) pa i u oblasti zaštite podataka i virtuelnog
djelovanja.
 Osnovna načela etike su:
odgovornost za svoje postupke – Accountability podrazumijeva da svako
prihvata da snosi posljedice za svoje odluke i postupke
jasno definisana lična odgovornost – Responsibility znači da je jasno
određena lična odgovornost i posljedice s tim u vezi za učinjeno u organizaciji
pravo na obeštećenje – Liability kao pravni termin znači da svako ima pravo
na naknadu lične štete koju su mu nanijeli pojedinac, organizacija ili sistem
3
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 U većini slučajeva kad se pojedinci ili kompanije suočavaju sa etičkom odlukom ne dovodi se u
pitanje da li će donijeti zakonitu ili nezakonitu odluku.
 Zbog propusta u zakonskim rješenjima moguća je situacija da odgovorna lica donosu očigledno
neetičku odluku iako ona nije protivzakonita. Takve odluke direktno utiču na reputaciju kompanije
i iziskuju hitnu korekciju zakonskih rješenja.
 Organizacije sve više zavise od informacija. Sve veća količina podataka je raspoloživa i stalno
smanjenje troška čuvanja podataka i stalno povećanje raspoloživosti podataka svake vrste, a
naročito onih dostupnih na internetu nameće sljedeće dileme sa aspekta etičnosti odnosa
kompanije prema zaposlenima i zaposlenih prema kompaniji:
 Treba li kompanija da kontroliše email zaposlenih i internet saobraćaj koji ostvaruju zaposleni?
 Treba li kompanija da komercijalizuje podatke o svojim klijentima?
 Treba li kompanija da kontroliše da li zaposleni neautorizovano pristupaju internet sadržajima,
softverima ili koriste nelicencirane softvere na svojim računarima dok su u kompaniji

4
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 Sve veća primjena IT otvara sve šira etička pitanja. Ona se kategorišu u četiri grupe:

 Pitanje privatnosti - sakupljanje, čuvanje i distribucija informacija o pojedincima

 Pitanje tačnosti - autentičnost, vjernost i tačnost informacija sakupljenih i koje se
obrađuju
 Pitanje svojine – vrijednosti i vlasništvo nad informacijama
 Pitanje dostupnosti – ko treba da ima pristup nad informacijama i treba li da plati za
taj pristup

5
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 Pitanje privatnosti
1. Koji korpus podataka je dozvoljeno zahtijevati da pojedinac otkrije o sebi?
2. Koji vid nadzora je dopustivo primijeniti nad zaposlenima?
3. Na koju vrstu ličnih podataka pojedinac ima puno pravo bez ikakve obaveze
da ih učini javnim i bez prava drugog da zadire u njegovu privatnost?
4. Koje vrste podataka je potrebno da poslodavac čuva o svojim zaposlenim,
kako njima upravlja i kako ih štiti?

6
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA
 Pitanje privatnosti
 Privatnost je pravo pojedinca da ne bude uznemiravan, privatnost informacija je pravo pojedinca da odluči kad, kome i pod kojim uslovima će
podijeliti lične podatke i da li će dozvoliti njihovo dijeljenje
 Privatnost nije apsolutno pravo. Privatnost pojedinca mora biti usklađena sa potrebama društva
 Pravo javnosti je preče od prava pojedinca na privatnost
 Svakodnevno ljudi generišu mnoštvo podataka o sebi (kamere, pretraživanje na netu, društvene mreže, platne kartice, telefonski razgovori, IPTV...)
 Digitalni dosije (Digital Dossier) je IT oblik organizovanja svih podataka koji bilježe ponašanje i navike pojedinca (upotreba platnih kartica, mobilne i
fiksne telefonije, interneta, plaćanje putarine, video nadzor u gradovima i na saobraćajnicama.
 Profilisanje (Profiling) je proces formiranja digitalnog dosijea pojedinca
 Elektronski nadzor (Electronic Surveillance) je razvojem IT u ogromnoj ekspanziji. Primjenjuje se i na javnim i na privatnim površinama. Kompanije
nadgledaju rad zaposlenih ali i ograničavaju pristup određenim web lokacijama kroz filtriranje URL (Uniform Resource Locator) tj. Web adresa zbog
onemogućavanja posjeti nedozvoljenog sadržaja na internetu. Poslodovaci nadgledaju email zaposlenih takođe.
 Generalno nadzor nije prihvatljiv pojedincu. Stalno je nastojanje da se odredi balans u obimu i vrsti zadiranja u privatnost, naročito sa aspekta
nacionalne bezbijednosti. Privatnost podataka u dijelu nadzora je regulisana zakonom (Zakon o zaštiti podataka o ličnosti u CG)

7
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA
 Lične informacije u bazama podataka
 Lični podaci se čuvaju u mnogim bazama podataka različitih namjena i različitih korisnika
 Upravljanje zbirkama podataka je regulisano zakonom
 Primjeri zbirki podataka su razni kreditni biroi, banke, univerziteti, korporacije, državne institucije, zdravstvo, školstvo,
javna uprava, maloprodajni lanci roba široke upotrebe, finansijske kreditne i leasing institucije, fodnovi zdravstva i PIO itd.
 Od značaja za svakog pojedinca su odgovori na pitanja:
 Kome ostavljamo naše lične podatke
 Kako se tim podacima upravlja
 Ko sve smije da bude u posjedu tih podataka i pod kojim uslovima
 Da li se bez našeg znanja naši lični podaci smiju dijeliti sa drugima
 Da li možemo vršiti zmjenu naših ličnih podataka i pod kojim uslovima itd.
 Podaci o ličnosti moraju se obrađivati na pošten i zakonit način.
 Lični podaci ne mogu se obrađivati u većem obimu nego što je potrebno da bi se postigla svrha obrade niti na način koji nije
u skladu sa njihovom namjenom.
 Biometrijski podaci su podaci o fizičkim ili fiziološkim karakteristikama koje posjeduje svako fizičko lice, a koje su specifične,
jedinstvene i nepromjenljive i na osnovu kojih je moguće, neposredno ili posredno, utvrditi identitet lica.
 Prije obrade ličnih podataka u svrhe direktnog marketinga, licu se mora dati mogućnost da se usprotivi obradi podataka.
8
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 Pitanje tačnosti

1. Ko odgovara za autentičnost, vjerodostojnost i tačnost prikupljenih informacija?

2. Šta je garant sigurnosti da će informacija adekvatno obrađena i korektno
predstavljena?
3. Kako se garantuje da se neće desiti namjerne greške u bazama podataka, transferu
podataka ili njihovoj obradi?
4. Čija je odgovornost za greške nastale u vezi sa informacijama (prikupljanje, obrada,
skladištenje) i kako je regulisano pitanje obeštećenja strane kojoj su prava u vezi sa
tim povrijeđena?

9
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 Pitanje svojine

1. Ko je vlasnik informacija?
2. Kako se utvrđuje iznos adekvatne cijene razmjene informacija?
3. Kakva je politika borbe protiv piraterije (kopiranje softvera koji su zaštićeni autorskim
pravima)?
4. Kakva je politika korišćenja baze podataka u organizaciji – pristup podacima i tretman
podataka?
5. Kakva je politika korišćenja korporativnog računara u privatne srhe?
6. Kakva je motivaciona politika za experte koji svoje znanje koriste za razvoj ekspertskih sistema

10
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 Pitanje dostupnosti
1. Kakva je politika dostupnosti podacima, pristupna prava?
2. Da li i koliko kompanija naplaćuje pristup podacima?
3. Politika podrške zaposlenima sa invaliditetom u pogledu pristupa računarima i podacima
4. Kojim informacijama, ko i pod kojim uslovima pristupa i zaštite se utvrđuju privilegije pristupa
podacima?
 Politika privatnosti ili Kodeks privatnosti (Privacy Policies/ Codes) su smjernice u kompaniji koje
se donose u cilju zaštite privatnosti kako klijenata tako i zaposlenih.
 Kompanije biraju između dva modela prikupljanja podataka:
 Model ograđivanja (opt-out model) – prikupljanje podataka dok klijent ne zatraži da se
obustavi prikupljanje
 Model pristanka (opt-in model) – podaci se prikupljaju tek nakon što klijent za to da dozvolu

11
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA
 Osnovi politike privatnosti
 Prikupljanje podataka
1. Podaci treba da se prikupljaju isključivo u svrhu zakonitog poslovanja
2. Podaci treba da budu adekvatni, relevantni i u pogledu količine i vrste da budu usklađeni sa poslovnom svrhom
3. Mora postojati prethodni pristanak klijenta za prikupljanje podataka (direktni ili indirektni, klikom na
odgovarajuće mjesto na stranici ili potpisom na obrascu za apliciranje kod banke npr.)
 Tačnost podataka
1. Neophodna je prethodna provjera tačnosti osjetljivih podataka prije unosa u bazu
2. Podatke treba redovno ažurirati, kako je primjenjljivo
3. Obezbijediti dostupnost datoteke klijentu radi potvrde njihove tačnosti
4. Ukoliko unijeti podaci i podaci koje dostavlja pojedinac nijesu identični, potrebno je zabilježiti i one koje
dostavlja pojedinac
 Povjerljivost podataka
1. U cilju prevencije neovalštenog pristupa potrebno je uvesti procedure za bezbjednost. One obuhvataju fizičke,
tehničke i administrativne mjere bezbijednosti
2. Osim kad zakon nalaže, bez prethodne saglasnosti pojedinca, treća lica ne smiju pristupiti podacima
3. Svaka objava podataka mora biti registrovana
4. Ne smiju se objavljivati podaci osim u skladu sa poslovnim ciljem radi kojega su prikupljani 12
ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA-ETIČKA PITANJA

 KRATKI REZIME
1. Šta je etika, koje su njene četiri kategorije i kako se primjenjuje na IT?

2. Na koje načine IT utiče na privatnost?

3. Od čega se sastoji etički kodeks?

4. Kakav je odnos između privatnosti i IT, šta mora da obezbijedi politika privatnosti?

13
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001

U nastojanju da utvrdi jedinstven pristup u oblasti zaštite informacionih sistema razvijen je standard ISO/IEC 27001
Informacione tehnologije – Tehnike bezbjednosti.
Standard ISO/IEC 27001 se bavi zahtjevima koje kompanije moraju da ispune da bi mogle biti sertifikovane.
ISO (Međunarodna organizacija za standardizaciju) i IEC (Međunarodna elektrotehnička komisija) čine specijalizovani sistem
svjetske standardizacije. Nacionalna tijela, koja su članovi ISO-a ili IEC-a, učestvuju u razvoju međunarodnih standarda preko
tehničkih komiteta koje je osnovala odgovarajuća organizacija radi djelovanja u pojedinim oblastima tehničkih aktivnosti.
Tehnički komiteti ISO i IEC uzajamno sarađuju na poljima od zajedničkog interesa. U ovom radu učestvuju međunarodne
organizacije, vladine i nevladine, koje su povezane sa ISO-om i IEC-om. U oblasti informacionih tehnologija, ISO i IEC su
osnovale Združeni tehnički komitet ISO/IEC JTC 1.
Nacrti međunarodnih standarda izrađuju se prema pravilima koja su data u ISO/IEC Direktivama.
Osnovni zadatak tehničkih komiteta je pripremanje međunarodnih standarda. Nacrti međunarodnih standarda koje je
usvojio ovaj združeni tehnički komitet dostavljaju se nacionalnim tijelima radi glasanja.
Da bi međunarodni standard bio objavljen, potrebno je da ga odobri najmanje 75 % nacionalnih tijela koja glasaju.

14
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
Ovaj međunarodni standard pripremljen je da bi se obezbijedio model za uspostavljanje, primjenu, održavanje i stalno
poboljšavanje sistema menadžmenta bezbijednošću informacija. Usvajanje sistema menadžmenta bezbijednošću
informacija treba da bude strateška odluka za organizaciju.
Na uspostavljanje i primjenu sistema menadžmenta bezbijednošću informacija u organizaciji utiču potrebe organizacije i
ciljevi, zahtjevi za bezbijednost, organizacioni procesi koji se koriste, kao i veličina i struktura same organizacije. Očekuje se
da se svi faktori koji imaju uticaj mijenjaju tokom vremena.
Sistem menadžmenta bezbijednošću informacija održava povjerljivost, integritet i raspoloživost informacija primjenom
procesa menadžmenta rizikom i uliva povjerenje zainteresovanim stranama da se rizikom adekvatno upravlja.
Važno je da je sistem menadžmenta bezbijednošću informacija dio procesa organizacije i integrisan sa ostalim procesima i
cjelokupnom strukturom menadžmenta i da je bezbijednost informacija uzeta u obzir pri projektovanju procesa,
informacionih sistema i kontrola. Očekuje se da se implementacija sistema menadžmenta bezbijednošću informacija izmjeri
u skladu sa potrebama organizacije.
Ovaj međunarodni standard mogu koristiti interne i eksterne zainteresovane strane za ocjenu sposobnosti organizacije da
ispunjava sopstvene zahtjeve za bezbijednost informacija.
Redoslijed po kome su zahtjevi u ovom međunarodnom standardu predstavljeni ne prikazuje njihovu važnost niti implicira
redoslijed po kome oni treba da budu implementirani. Stavke sa liste su pobrojane samo u svrhu pozivanja.
U ISO/IEC 27000 dat je pregled sistema menadžmenta bezbijednošću informacija i rječnik pozivajući se na seriju standarda
sistema menadžmenta bezbijednošću informacija (uključujući ISO/IEC 27003[2], ISO/IEC 27004[3] i ISO/IEC 27005[4]), sa
odgovarajućim terminima i definicijama. 15
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
SADRŽAJ STANDARDA ISO/IEC 27001

1 Predmet i područje primjene

2 Normativne reference
3 Termini i definicije
4 Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta
4.2 Razumijevanje potreba i očekivanja zainteresovanih strana
4.3 Utvrđivanje predmeta i područja primjene sistema menadžmenta bezbijednošću informacija
4.4 Sistem menadžmenta bezbijednošću informacija
5 Liderstvo
5.1 Liderstvo i posvećenost
5.2 Politika
5.3 Organizacione uloge, odgovornosti i ovlašćenja
6 Planiranje
6.1 Mjere koje se odnose na rizike i mogućnosti
6.2 Ciljevi bezbijedosti informacija i planiranje njihovog ostvarivanja
16
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
7 Podrška
7.1 Resursi
7.2 Kompetentnost
7.3 Svijest
7.4 Komuniciranje
7.5 Dokumentovane informacije
8 Funkcionisanje
8.1 Planiranje i upravljanje funkcionisanjem
8.2 Ocenjivanje rizika po bezbednost informacija
8.3 Postupanje sa rizikom po bezbednost informacija
9 Vrednovanje performansi
9.1 Praćenje, merenje, analiza i vrednovanje
9.2 Interna provera
9.3 Preispitivanje od strane rukovodstva
10 Poboljšavanje
10.1 Neusaglašenost i korektivne mere
10.2 Stalno poboljšavanje
17
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001

1. Predmet i područje primjene

Ovim međunarodnim standardom specificiraju se zahtjevi za uspostavljanje, primjenu, održavanje i stalno poboljšavanje
sistema menadžmenta bezbijednošću informacija unutar konteksta organizacije. Ovaj međunarodni standard takođe
obuhvata zahtjeve za ocjenjivanje rizika i postupanje sa rizicima po bezbijednost informacija koji odgovaraju potrebama
organizacije. Zahtjevi postavljeni u ovom međunarodnom standardu su generički i predviđeno je da budu primjenljivi na
sve organizacije, bez obzira na njihov tip, veličinu ili prirodu. Izostavljanje bilo kojeg zahtjeva specificiranog u tačkama od 4
do 10 NE MOŽE SE PRIHVATITI kada organizacija izjavljuje da je usaglašena sa ovim standardom.
2. Normativne reference
Na sljedeće dokumente, u cjelini ili djelimično, normativno se poziva u ovom dokumentu i oni su neophodni za njegovu
primjenu. Kada se navode datirane reference, primjenjuje se isključivo citirano izdanje. Kada se navode nedatirane
reference, primjenjuje se najnovije izdanje referentnog dokumenta (uključujući i njegove izmjene).
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview
and vocabulary
3. Termini i definicije
Za potrebe ovog dokumenta, primjenjuju se termini i definicije dati u ISO/IEC 27000.

18
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
4. Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta
Organizacija mora da utvrdi eksterna i interna pitanja koja su relevantna za njenu svrhu i koja utiču na njenu
sposobnost da ostvari željeni rezultat (rezultate) svog sistema menadžmenta bezbijednošću informacija.
4.2 Razumijevanje potreba i očekivanja zainteresovanih strana
Organizacija mora da utvrdi:
a) zainteresovane strane koje su relevantne za sistem menadžmenta bezbijednošću informacija i
b) zahtjeve tih zainteresovanih strana koji su relevantni za bezbijednost informacija.
4.3 Utvrđivanje predmeta i područja primjene sistema menadžmenta bezbijednošću informacija
Organizacija mora da odredi granice i primjenljivost sistema menadžmenta bezbijednošću informacija da bi utvrdila
predmet i područje njegove primjene.
Prilikom određivanja područja primjene organizacija mora da uzme u obzir:
a) eksterna i interna pitanja navedena u 4.1;
b) zahtjeve navedene u 4.2 i
c) interfejse i zavisnosti između aktivnosti koje obavlja organizacija i onih koje obavljaju druge organizacije.
Predmet i područje primene moraju da budu dostupni kao dokumentovana informacija.
4.4 Sistem menadžmenta bezbjednošću informacija
Organizacija mora da uspostavi, primenjuje, održava i stalno poboljšava sistem menadžmenta bezbednošću
informacija, u skladu sa zahtevima ovog međunarodnog standarda. 19
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
5. Liderstvo
5.1 Liderstvo i posvećenost
Najviše rukovodstvo mora da pokaže liderstvo i posvećenost u odnosu na sistem menadžmenta bezbjednošću informacija time
što:
a) obezbjeđuje da su politike i ciljevi sistema menadžmenta bezbjednošću informacija uspostavljeni i da su kompatibilni sa
strateškim pravcem organizacije;
b) obezbjeđuje integrisanje zahtjeva sistema menadžmenta bezbjednošću informacija u procese organizacije;
c) obezbjeđuje raspoloživost resursa potrebnih za sistem menadžmenta bezbjednošću informacija;
d) saopštava značaj efektivnog sistema menadžmenta bezbjednošću informacija i usaglašenosti sa zahtjevima sistema
menadžmenta bezbjednošću informacija;
e) obezbjeđuje da sistem menadžmenta bezbjednošću informacija dostiže svoj planirani rezultat (rezultate);
f) usmjerava i podržava ostale da doprinose efikasnosti sistema menadžmenta bezbjednošću informacija;
g) promoviše stalno poboljšavanje i
h) podržava druge relevantne rukovodeće uloge da pokažu svoje liderstvo i posvećenost na način koji odgovara oblastima
njihovih odgovornosti.
5.2 Politika
Najviše rukovodstvo mora da uspostavi politiku bezbjednosti informacija koja:
a) odgovara svrsi organizacije;
b) uključuje ciljeve bezbjednosti informacija (vidjeti 6.2) ili obezbjeđuje okvir za postavljanje ciljeva bezbjednosti informacija;
c) uključuje posvećenost zadovoljenju primjenljivih zahtjeva koji su u vezi sa bezbjednošću informacija i
d) uključuje posvećenost stalnom poboljšavanju sistema menadžmenta bezbjednošću informacija. 20
 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA- ISO 27001
Politika bezbjednosti informacija mora da bude:
e) dostupna kao dokumentovana informacija;
f) saopštena u okviru organizacije i
g) dostupna zainteresovanim stranama, u zavisnosti od potrebe.
5.3 Organizacione uloge, odgovornosti i ovlašćenja
Najviše rukovodstvo mora da osigura da su odgovornosti i ovlašćenja za relevantne uloge dodijeljeni i saopšteni u
organizaciji.
Najviše rukovodstvo mora da dodijeli odgovornost i ovlašćenje za:
a) obezbjeđenje da je sistem menadžmenta bezbijednošću informacija usaglašen sa zahtjevima ovog međunarodnog
standarda i
b) izvještavanje najvišeg rukovodstva o performansama sistema menadžmenta bezbijednošću informacija.
6 Planiranje
6.1 Mere koje se odnose na rizike i mogućnosti
6.1.1 Opšte
Prilikom planiranja sistema menadžmenta bezbjednošću informacija, organizacija mora da razmotri pitanja navedena u 4.1 i
zahtjeve navedene u 4.2 i da odredi rizike i mogućnosti koji treba da se sagledaju da bi se:
a) obezbijedilo da sistem menadžmenta bezbjednošću informacija može da ostvari željeni rezultat (rezultate);
b) spriječili ili smanjili neželjeni efekti;
c) postigla stalna poboljšavanja. 21