Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti — Sustavi upravljanja sigurnošću

informacija — Zahtjevi

1 Opseg

Ovaj dokument specificira zahtjeve za uspostavljanje, implementaciju, održavanje i kontinuirano

poboljšavanje sustava upravljanja sigurnošću informacija u kontekstu organizacije. Ovaj dokument
također uključuje zahtjeve za procjenu i tretman rizika sigurnosti informacija prilagođenih potrebama
organizacije. Zahtjevi navedeni u ovom dokumentu su generički i namijenjeni su primjeni u svim
organizacijama, bez obzira na vrstu, veličinu ili prirodu. Isključivanje bilo kojeg od zahtjeva navedenih u
Klauzulama od 4 do 10 nije prihvatljivo kada organizacija tvrdi sukladnost s ovim dokumentom.

2 Normativne reference

Na sljedeće se dokumente upućuje u tekstu na način da neki ili svi njihovi sadržaji čine zahtjeve ovog
dokumenta. Za datirane reference primjenjuje se samo citirano izdanje. Za nedatirane reference
primjenjuje se najnovije izdanje referiranog dokumenta (uključujući sve izmjene i dopune).

ISO/IEC 27000, Informacijska tehnologija — Sigurnosne tehnike — Sustavi upravljanja sigurnošću

informacija — Pregled i vokabular

3 Termini i definicije

U svrhe ovog dokumenta, primjenjuju se termini i definicije navedeni u ISO/IEC 27000.

ISO i IEC održavaju baze podataka terminologije za upotrebu u standardizaciji na sljedećim adresama:

— ISO Online browsing platform: dostupno na https://www.iso.org/obp

— IEC Electropedia: dostupno na https://www.electropedia.org/

4 Kontekst organizacije

4.1 Razumijevanje organizacije i njezinog konteksta

Organizacija mora odrediti vanjske i unutarnje pitanja koja su relevantna za njenu svrhu i koja utječu na
njenu sposobnost postizanja namjeravanog rezultata/a svog sustava upravljanja sigurnošću informacija.
NAPOMENA

Određivanje ovih pitanja odnosi se na uspostavljanje vanjskog i unutarnjeg konteksta organizacije

razmatranog u Klauzuli 5.4.1 ISO 31000:2018[5].

4.2 Razumijevanje potreba i očekivanja zainteresiranih strana

Organizacija mora odrediti:

a) zainteresirane strane koje su relevantne za sustav upravljanja sigurnošću informacija;

b) relevantne zahtjeve ovih zainteresiranih strana;

c) koji od ovih zahtjeva će biti adresirani kroz sustav upravljanja sigurnošću informacija.

ISO/IEC 27001:2022(E)

NAPOMENA

Zahtjevi zainteresiranih strana mogu uključivati zakonske i regulatorne zahtjeve te ugovorne obveze.

4.3 Određivanje opsega sustava upravljanja sigurnošću informacija

Organizacija mora odrediti granice i primjenjivost sustava upravljanja sigurnošću informacija kako bi
uspostavila njegov opseg.

Prilikom određivanja ovog opsega, organizacija mora razmotriti:

a) vanjska i unutarnja pitanja navedena u 4.1;

b) zahtjeve navedene u 4.2;

c) sučelja i ovisnosti između aktivnosti koje provodi organizacija i onih koje provode druge organizacije.

Opseg mora biti dostupan kao dokumentirana informacija.

4.4 Sustav upravljanja sigurnošću informacija

Organizacija mora uspostaviti, implementirati, održavati i kontinuirano poboljšavati sustav upravljanja

sigurnošću informacija, uključujući potrebne procese i njihove interakcije, u skladu s zahtjevima ovog
dokumenta.

5 Vodstvo
5.1 Vodstvo i predanost

Visoko rukovodstvo mora pokazati vodstvo i predanost u odnosu na sustav upravljanja sigurnošću
informacija:

a) osiguravanjem da su uspostavljeni politika sigurnosti informacija i ciljevi sigurnosti informacija te da su

kompatibilni s strateškim smjerom organizacije;

b) osiguravanjem integracije zahtjeva sustava upravljanja sigurnošću informacija u procese organizacije;

c) osiguravanjem da su resursi potrebni za sustav upravljanja sigurnošću informacija dostupni;

d) komuniciranjem važnosti efektivnog upravljanja sigurnošću informacija i sukladnosti s zahtjevima

sustava upravljanja sigurnošću informacija;

e) osiguravanjem da sustav upravljanja sigurnošću informacija postigne predviđene rezultate;

f) upućivanjem i podržavanjem osoba da doprinesu učinkovitosti sustava upravljanja sigurnošću

informacija;

g) promicanjem kontinuiranog poboljšanja; i

h) podržavanjem drugih relevantnih menadžerskih uloga da pokažu svoje vodstvo kako se odnosi na
njihova područja odgovornosti.

NAPOMENA

Referenca na „poslovanje“ u ovom dokumentu može se široko tumačiti kao aktivnosti koje su osnovne za
svrhu postojanja organizacije.

5.2 Politika

ISO/IEC 27001:2022(E)

Visoko rukovodstvo mora uspostaviti politiku sigurnosti informacija koja:

a) odgovara svrsi organizacije;

b) uključuje ciljeve sigurnosti informacija (vidi 6.2) ili pruža okvir za postavljanje ciljeva sigurnosti
informacija;

c) uključuje obvezu zadovoljavanja primjenjivih zahtjeva povezanih s sigurnošću informacija;

d) uključuje obvezu kontinuiranog poboljšanja sustava upravljanja sigurnošću informacija.

Politika sigurnosti informacija mora:

e) biti dostupna kao dokumentirana informacija;

f) biti komunicirana unutar organizacije;

g) biti dostupna zainteresiranim stranama, prema potrebi.

5.3 Organizacijske uloge, odgovornosti i ovlasti

Visoko rukovodstvo mora osigurati da su odgovornosti i ovlasti za uloge relevantne za sigurnost

informacija dodijeljene i komunicirane unutar organizacije.

Visoko rukovodstvo mora dodijeliti odgovornost i ovlasti za:

a) osiguranje da sustav upravljanja sigurnošću informacija udovoljava zahtjevima ovog dokumenta;

b) izvještavanje o performansama sustava upravljanja sigurnošću informacija visokom rukovodstvu.

NAPOMENA

Visoko rukovodstvo može također dodijeliti odgovornosti i ovlasti za izvještavanje o performansama

sustava upravljanja sigurnošću informacija unutar organizacije.

6 Planiranje

6.1 Akcije za adresiranje rizika i prilika

6.1.1 Općenito

Pri planiranju sustava upravljanja sigurnošću informacija, organizacija mora razmotriti pitanja navedena u
4.1 i zahtjeve navedene u 4.2 i odrediti rizike i prilike koje treba adresirati kako bi:

a) osigurali da sustav upravljanja sigurnošću informacija može postići predviđene rezultate;

b) spriječili ili smanjili neželjene efekte;

c) postigli kontinuirano poboljšanje.

Organizacija mora planirati:

d) akcije za adresiranje ovih rizika i prilika; i

e) kako

integrirati i implementirati akcije u procese sustava upravljanja sigurnošću informacija; i

evaluirati učinkovitost ovih akcija.

6.1.2 Procjena rizika sigurnosti informacija

Organizacija mora definirati i primijeniti proces procjene rizika sigurnosti informacija koji:

a) uspostavlja i održava kriterije rizika sigurnosti informacija koji uključuju:

kriterije prihvaćanja rizika; i kriterije za provođenje procjene rizika sigurnosti informacija;

b) osigurava da ponovljene procjene rizika sigurnosti informacija proizvode dosljedne, valjane i

usporedive rezultate;

c) identificira rizike sigurnosti informacija:

primijeniti proces procjene rizika sigurnosti informacija za identifikaciju rizika povezanih s gubitkom
povjerljivosti, integriteta i dostupnosti informacija u okviru sustava upravljanja sigurnošću informacija; I
identificirati vlasnike rizika;

d) analizira rizike sigurnosti informacija:

procijeniti potencijalne posljedice koje bi nastale ako bi se rizici identificirani u 6.1.2 c) 1) ostvarili;

procijeniti realnu vjerojatnost pojave rizika identificiranih u 6.1.2 c) 1); i

odrediti razine rizika;

e) evaluira rizike sigurnosti informacija:

usporediti rezultate analize rizika s kriterijima rizika uspostavljenim u 6.1.2 a); i

prioritetno razvrstati analizirane rizike za tretman rizika.

Organizacija mora zadržati dokumentirane informacije o procesu procjene rizika sigurnosti informacija.

6.1.3 Tretman rizika sigurnosti informacija

Organizacija mora definirati i primijeniti proces tretmana rizika sigurnosti informacija kako bi:

a) odabrala odgovarajuće opcije tretmana rizika sigurnosti informacija, uzimajući u obzir rezultate
procjene rizika;

b) odredila sve kontrole koje su potrebne za implementaciju odabranih opcija tretmana rizika sigurnosti
informacija;

NAPOMENA 1 Organizacije mogu dizajnirati kontrole prema potrebi ili ih identificirati iz bilo kojeg izvora.

c) usporediti kontrole određene u 6.1.3 b) s onima u Dodatku A i provjeriti da li nisu izostavljene

potrebne kontrole;
NAPOMENA 2 Dodatak A sadrži popis mogućih kontrola sigurnosti informacija. Korisnici ovog dokumenta
usmjeravaju se na Dodatak A kako bi osigurali da nisu previdjene potrebne kontrole sigurnosti
informacija.

NAPOMENA 3 Kontrole sigurnosti informacija navedene u Dodatku A nisu iscrpne i ako je potrebno,
mogu se uključiti dodatne kontrole sigurnosti informacija.

d) izraditi Izjavu o primjenjivosti koja sadrži:

— potrebne kontrole (vidi 6.1.3 b) i c))

— opravdanje za njihovo uključivanje;

— jesu li potrebne kontrole implementirane ili nisu; i

— opravdanje za isključivanje bilo koje od kontrola iz Dodatka A.

e) formulirati plan tretmana rizika sigurnosti informacija; i

f) dobiti odobrenje vlasnika rizika za plan tretmana rizika sigurnosti informacija i prihvaćanje preostalih
rizika sigurnosti informacija.

Organizacija mora zadržati dokumentirane informacije o procesu tretmana rizika sigurnosti informacija.

NAPOMENA 4 Proces procjene i tretmana rizika sigurnosti informacija u ovom dokumentu usklađen je s
principima i općim smjernicama navedenima u ISO 31000[5]

6.2 Ciljevi sigurnosti informacija i planiranje kako ih postići

Organizacija mora uspostaviti ciljeve sigurnosti informacija na relevantnim funkcijama i razinama.

Ciljevi sigurnosti informacija moraju:

a) biti u skladu s politikom sigurnosti informacija;

b) biti mjerljivi (ako je praktično);

c) uzeti u obzir primjenjive zahtjeve sigurnosti informacija i rezultate procjene rizika i tretmana rizika;

d) biti nadzirani;

e) biti komunicirani;

f) ažurirati se prema potrebi;

g) biti dostupni kao dokumentirane informacije.

Organizacija mora zadržati dokumentirane informacije o ciljevima sigurnosti informacija.

Prilikom planiranja kako postići svoje ciljeve sigurnosti informacija, organizacija mora odrediti:

h) što će se učiniti;

i) koji će resursi biti potrebni;

j) tko će biti odgovoran;

k) kada će biti završeno; i

l) kako će se rezultati evaluirati.

6.3 Planiranje promjena

Kada organizacija odredi potrebu za promjenama u sustavu upravljanja sigurnošću informacija, promjene
se moraju provesti na planiran način.

7 Podrška

7.1 Resursi

Organizacija mora odrediti i osigurati resurse potrebne za uspostavu, provedbu, održavanje i neprestano
poboljšanje sustava upravljanja sigurnošću informacija.

7.2 Kompetencije

Organizacija mora:

a) odrediti potrebne kompetencije osoba koje rade pod njezinom kontrolom, a utječu na njezinu
performansu sigurnosti informacija;

b) osigurati da su te osobe kompetentne na temelju odgovarajućeg obrazovanja, osposobljavanja ili

iskustva;

c) prema potrebi, poduzeti akcije za stjecanje potrebnih kompetencija i evaluirati učinkovitost poduzetih
akcija; i

d) zadržati odgovarajuće dokumentirane informacije kao dokaz o kompetenciji.

NAPOMENA

Primjenjive akcije mogu uključivati, na primjer: pružanje obuke, mentoriranje ili ponovno dodjeljivanje
trenutnih zaposlenika; ili zapošljavanje ili ugovaranje kompetentnih osoba.
7.3 Svijest

Osobe koje rade pod kontrolom organizacije moraju biti svjesne:

a) politike sigurnosti informacija;

b) njihovog doprinosa učinkovitosti sustava upravljanja sigurnošću informacija, uključujući prednosti

poboljšane performanse sigurnosti informacija; i

c) implikacija neusklađivanja s zahtjevima sustava upravljanja sigurnošću informacija.

7.4 Komunikacija

Organizacija mora odrediti potrebu za internom i eksternom komunikacijom relevantnom za sustav

upravljanja sigurnošću informacija, uključujući:

a) o čemu komunicirati;

b) kada komunicirati;

c) s kime komunicirati;

d) kako komunicirati.

7.5 Dokumentirane informacije

7.5.1 Općenito

Sustav upravljanja sigurnošću informacija organizacije mora uključivati:

a) dokumentirane informacije potrebne ovim dokumentom; i

b) dokumentirane informacije koje organizacija određuje kao neophodne za učinkovitost sustava

upravljanja sigurnošću informacija.

NAPOMENA

Opseg dokumentiranih informacija za sustav upravljanja sigurnošću informacija može se razlikovati od

jedne organizacije do druge zbog:

1.veličine organizacije i vrste njezinih aktivnosti, procesa, proizvoda i usluga;

2.kompleksnosti procesa i njihovih interakcija; i

3.kompetencije osoba.
7.5.2 Stvaranje i ažuriranje

Prilikom stvaranja i ažuriranja dokumentiranih informacija organizacija mora osigurati odgovarajuće:

a) identifikaciju i opis (npr. naslov, datum, autor ili referentni broj);

b) format (npr. jezik, verzija softvera, grafike) i medij (npr. papir, elektronski); i

c) pregled i odobrenje za prikladnost i adekvatnost.

7.5.3 Kontrola dokumentiranih informacija

Dokumentirane informacije potrebne sustavu upravljanja sigurnošću informacija i ovom dokumentu

moraju biti kontrolirane kako bi se osiguralo:

a) da su dostupne i prikladne za upotrebu, gdje i kada su potrebne; i

b) da su adekvatno zaštićene (npr. od gubitka povjerljivosti, nepravilne upotrebe ili gubitka integriteta).

Za kontrolu dokumentiranih informacija, organizacija mora adresirati sljedeće aktivnosti, prema potrebi:

c) distribucija, pristup, dohvat i upotreba;

d) skladištenje i očuvanje, uključujući očuvanje čitljivosti;

e) kontrola promjena (npr. kontrola verzija); i

f) zadržavanje i dispozicija.

Dokumentirane informacije vanjskog podrijetla, koje organizacija određuje kao nužne za planiranje i rad
sustava upravljanja sigurnošću informacija, moraju biti prepoznate kao odgovarajuće i kontrolirane.

NAPOMENA

Pristup može implicirati odluku o dozvoli za pregled dokumentiranih informacija samo ili dozvolu i ovlast
za pregled i promjenu dokumentiranih informacija itd.

8 Operacija

8.1 Operativno planiranje i kontrola

Organizacija mora planirati, implementirati i kontrolirati procese potrebne za ispunjavanje zahtjeva i za

implementaciju akcija određenih u Klauzuli 6, kroz:

— uspostavljanje kriterija za procese;

— implementaciju kontrole procesa u skladu s kriterijima.

Dokumentirane informacije moraju biti dostupne u mjeri koja je potrebna da bi se imalo povjerenja da su
procesi provedeni kako je planirano.
Organizacija mora kontrolirati planirane promjene i pregledati posljedice nenamjernih promjena,
poduzimajući akcije za ublažavanje bilo kakvih nepovoljnih učinaka, prema potrebi.

Organizacija mora osigurati da su vanjski pruženi procesi, proizvodi ili usluge koji su relevantni za sustav
upravljanja sigurnošću informacija kontrolirani.

8.2 Procjena rizika sigurnosti informacija

Organizacija mora provoditi procjene rizika sigurnosti informacija u planiranim intervalima ili kada se
predlože ili dogode značajne promjene, uzimajući u obzir kriterije utvrđene u 6.1.2 a).

Organizacija mora zadržati dokumentirane informacije o rezultatima procjene rizika sigurnosti

informacija.

8.3 Tretman rizika sigurnosti informacija

Organizacija mora implementirati plan tretmana rizika sigurnosti informacija.

Organizacija mora zadržati dokumentirane informacije o rezultatima tretmana rizika sigurnosti

informacija.

9 Evaluacija performansi

9.1 Nadzor, mjerenje, analiza i evaluacija

Organizacija mora odrediti:

a) što treba nadzirati i mjeriti, uključujući procese i kontrole sigurnosti informacija;

b) metode za nadzor, mjerenje, analizu i evaluaciju, prema potrebi, kako bi se osigurali valjani rezultati.
Odabrane metode trebale bi proizvesti usporedive i reproduktivne rezultate kako bi se smatrale
valjanima;

c) kada se nadzor i mjerenje trebaju provoditi;

d) tko će nadzirati i mjeriti;

e) kada se rezultati iz nadzora i mjerenja trebaju analizirati i evaluirati;

f) tko će analizirati i evaluirati ove rezultate.

Dokumentirane informacije moraju biti dostupne kao dokaz o rezultatima.

Organizacija mora evaluirati performanse sigurnosti informacija i učinkovitost sustava upravljanja
sigurnošću informacija.

9.2 Interna revizija

9.2.1 Općenito

Organizacija mora provoditi interne revizije u planiranim intervalima kako bi pružila informacije o tome je
li sustav upravljanja sigurnošću informacija:

a) u skladu s

vlastitim zahtjevima organizacije za njezin sustav upravljanja sigurnošću informacija;

zahtjevima ovog dokumenta;

b) efikasno implementiran i održavan.

9.2.2 Program interne revizije

Organizacija mora planirati, uspostaviti, implementirati i održavati jedan ili više programa revizije,
uključujući učestalost, metode, odgovornosti, zahtjeve za planiranje i izvještavanje.

Pri uspostavljanju programa interne revizije, organizacija mora razmotriti važnost relevantnih procesa i
rezultate prethodnih revizija.

Organizacija mora:

a) definirati kriterije revizije i opseg za svaku reviziju;

b) odabrati revizore i provesti revizije koje osiguravaju objektivnost i nepristranost procesa revizije;

c) osigurati da se rezultati revizija izvještavaju relevantnom menadžmentu;

Dokumentirane informacije moraju biti dostupne kao dokaz o implementaciji programa revizije i
rezultatima revizije.

9.3 Pregled upravljanja

9.3.1 Općenito

Visoki menadžment treba redovito pregledavati sustav upravljanja sigurnošću informacija organizacije
kako bi osigurao njegovu kontinuiranu prikladnost, adekvatnost i efikasnost.

9.3.2 Ulazni podaci za pregled upravljanja

Pregled upravljanja trebao bi uključivati razmatranje:

a) statusa akcija iz prethodnih pregleda upravljanja;

b) promjena u vanjskim i unutarnjim pitanjima koja su relevantna za sustav upravljanja sigurnošću

informacija;

c) promjena u potrebama i očekivanjima zainteresiranih strana koje su relevantne za sustav upravljanja

sigurnošću informacija;

d) povratne informacije o performansama sigurnosti informacija, uključujući trendove u:

1.neusklađenostima i korektivnim akcijama;

2.rezultatima praćenja i mjerenja;

3.rezultatima revizije;

4.ostvarivanju ciljeva sigurnosti informacija;

e) povratne informacije od zainteresiranih strana;

f) rezultati procjene rizika i status plana tretmana rizika;

g) prilike za kontinuirano poboljšanje.

9.3.3 Rezultati pregleda upravljanja

Rezultati pregleda upravljanja trebali bi uključivati odluke vezane uz prilike za kontinuirano poboljšanje i
eventualne potrebe za promjenama u sustavu upravljanja sigurnošću informacija.

Dokumentirane informacije moraju biti dostupne kao dokaz o rezultatima pregleda upravljanja.

10 Poboljšanje

10.1 Kontinuirano poboljšanje

Organizacija mora kontinuirano poboljšavati prikladnost, adekvatnost i efikasnost sustava upravljanja

sigurnošću informacija.

10.2 Neusklađenost i korektivne akcije

Kada dođe do neusklađenosti, organizacija mora:

a) reagirati na neusklađenost i, prema potrebi:

1.poduzeti akciju za kontroliranje i ispravljanje;

2.baviti se posljedicama;

b) procijeniti potrebu za akcijom kako bi se eliminirali uzroci neusklađenosti, kako se ne bi ponovili ili
pojavili negdje drugdje, kroz:

pregled neusklađenosti;

određivanje uzroka neusklađenosti; i

određivanje postoje li slične neusklađenosti, ili bi potencijalno mogle nastati;

c) implementirati sve potrebne akcije;

d) pregledati efikasnost svake poduzete korektivne akcije; i

e) napraviti promjene u sustavu upravljanja sigurnošću informacija, ako je potrebno.

Korektivne akcije moraju biti prikladne u odnosu na efekte naiđenih neusklađenosti.

Dokumentirane informacije moraju biti dostupne kao dokaz o:

f) prirodi neusklađenosti i svim poduzetim naknadnim akcijama,

g) rezultatima svih korektivnih akcija.

Referenca kontrole informacione sigurnosti

Informacione sigurnosne kontrole navedene u Tabeli A.1 direktno su izvedene i usklađene s onima
navedenima u ISO/IEC 27002:2022(1), Članovima 5 do 8, i trebaju se koristiti u kontekstu sa 6.1.3.

Tabela A.1 — Kontrole informacione sigurnosti

Tabela A.1 (nastavak: naoraviti tabelu)

5.12 Klasifikacija informacija

Kontrola: Informacije treba klasifikovati prema potrebama informacione bezbednosti organizacije na
osnovu poverljivosti, integriteta, dostupnosti i zahteva relevantnih zainteresovanih strana.

5.13 Označavanje informacija

Kontrola: Treba razviti i primeniti odgovarajući skup postupaka za označavanje informacija u skladu sa
shemom klasifikacije koju je usvojila organizacija.

5.14 Transfer informacija

Kontrola: Pravila, postupci ili sporazumi o prenosu informacija trebaju biti na mestu za sve vrste
sredstava za prenos unutar organizacije i između organizacije i drugih strana.

5.15 Kontrola pristupa

Kontrola: Pravila za fizički i logički pristup informacijama i drugim povezanim sredstvima treba uspostaviti
i primenjivati na osnovu poslovnih i zahteva informacione bezbednosti.

5.16 Upravljanje identitetom

Kontrola: Celokupan životni ciklus identiteta treba upravljati.

5.17 Informacije za autentikaciju

Kontrola: Dodela i upravljanje informacijama za autentikaciju treba kontrolisati procesom upravljanja,

uključujući dodjelu osoblju na odgovarajućim funkcijama autentikacije.

5.18 Prava pristupa

Kontrola: Prava pristupa informacijama i drugim povezanim sredstvima treba odobravati, pregledavati,
menjati i uklanjati u skladu s organizacionim postupcima i politikama.

5.19 Bezbednost informacija u odnosima s dobavljačima

Kontrola: Treba definisati i primeniti postupke i procedure za upravljanje rizicima informacione

bezbednosti povezanih s korišćenjem proizvoda ili usluga dobavljača.

5.20 Adresiranje informacione bezbednosti u sporazumima s dobavljačima

Kontrola: Relevantni zahtevi za informacionu bezbednost treba uspostaviti i dogovoriti s svakim
dobavljačem na osnovu tipa odnosa s dobavljačem.

5.21 Upravljanje informacionom bezbednošću u lancu snabdevanja informaciono-komunikacione

tehnologije (IKT)

Kontrola: Treba definisati i primeniti postupke i procedure za upravljanje rizicima informacione

bezbednosti povezanim s proizvodima i uslugama iz lanca snabdevanja IKT.

5.22 Praćenje, pregled i promena upravljanja uslugama dobavljača

Kontrola: Organizacija treba redovno pratiti, pregledavati, procenjivati i upravljati promenama u

praksama informacione bezbednosti dobavljača i isporuci usluga.

5.23 Bezbednost informacija za korišćenje cloud usluga

Kontrola: Procesi za nabavku, korišćenje, izlazak i tranziciju iz cloud usluga treba uspostaviti u skladu sa
zahtevima informacione bezbednosti organizacije.

5.24 Planiranje i priprema upravljanja incidentima informacione bezbednosti

Kontrola: Organizacija treba planirati i pripremiti se za upravljanje incidentima informacione bezbednosti

definisanjem, uspostavljanjem i komuniciranjem procesa, uloga i odgovornosti za upravljanje incidentima
informacione bezbednosti.

6 | Kontrole osoba
6.1 | Provjera

Kontrola | Provjera pozadine svih kandidata koji postaju osoblje trebala bi se provoditi prije pridruživanja
organizaciji i kontinuirano, uzimajući u obzir važeće zakone, propise i etiku, te proporcionalno poslovnim
zahtjevima, klasifikaciji informacija koje će se pristupiti i percepcijskim rizicima.

6.2 | Uvjeti i odredbe zaposlenja

Kontrola | Ugovorni dogovori o zaposlenju trebali bi navesti odgovornosti osoblja i organizacije za

informacijsku sigurnost.

6.3 | Svijest, obrazovanje i obuka o informacijskoj sigurnosti

Kontrola | Osoblje organizacije i zainteresirane strane trebale bi primati odgovarajuću edukaciju i obuku
o informacijskoj sigurnosti, te redovne ažuriranja politike informacijske sigurnosti organizacije i
specifičnih politika i postupaka, relevantnih za njihove poslovne funkcije.

6.4 | Disciplinski postupak

Kontrola | Disciplinski postupak treba formalizirati i komunicirati kako bi se poduzele mjere protiv osoblja
i drugih relevantnih zainteresiranih strana koji su počinili povredu politike informacijske sigurnosti.

6.5 | Odgovornosti nakon prestanka ili promjene zaposlenja

Kontrola | Odgovornosti za informacijsku sigurnost koje ostaju važeće nakon prestanka ili promjene
zaposlenja trebale bi biti definirane, provoditi se i komunicirati relevantnom osoblju i drugim
zainteresiranim stranama.

6.6 | Povjerljivost ili sporazumi o neobjavljivanju

Kontrola | Sporazumi o povjerljivosti ili neobjavljivanju koji odražavaju potrebe organizacije za zaštitu
informacija trebali bi biti identificirani, dokumentirani, redovito pregledavani i potpisani od strane
osoblja i drugih relevantnih zainteresiranih strana.

6.7 | Rad na daljinu

Kontrola | Sigurnosne mjere trebale bi se primjenjivati kada osoblje radi na daljinu kako bi se zaštitile
informacije pristupljene, obrađene ili pohranjene izvan prostorija organizacije.

6.8 | Izvješćivanje o događajima vezanim uz informacijsku sigurnost

Kontrola | Organizacija bi trebala pružiti mehanizam za izvješćivanje osoblja o uočenim ili sumnjivim
događajima vezanim uz informacijsku sigurnost putem odgovarajućih kanala u pravodobnom roku.

7 | Fizičke kontrole

7.1 | Fizičke sigurnosne perimetre

Kontrola | Sigurnosne perimetre treba definirati i koristiti kako bi se zaštitila područja koja sadrže
informacije i druge povezane resurse.

7.2 | Fizički ulaz

Kontrola | Sigurna područja trebaju biti zaštićena odgovarajućim kontrolama pristupa.

7.3 | Osiguranje ureda, prostorija i objekata

Kontrola | Fizička sigurnost ureda, prostorija i objekata treba biti osmišljena i implementirana.

7.4 | Nadzor fizičke sigurnosti

Kontrola | Prostorije trebaju biti kontinuirano nadzirane zbog neovlaštenog fizičkog pristupa.

Tablica A.1 (nastavak)

7.5 Zaštita od fizičkih i okolišnih prijetnji

Kontrola: Zaštita od fizičkih i okolišnih prijetnji, kao što su prirodne katastrofe i druge namjerne ili
nenamjerne fizičke prijetnje infrastrukturi, treba biti osmišljena i provedena.

7.6 Rad u sigurnim prostorima

Kontrola: Sigurnosne mjere za rad u sigurnim područjima trebaju biti osmišljene i provedene.

7.7 Čisti stol i čist ekran

Kontrola: Jasna pravila za papire i prijenosne medije za pohranu te jasna pravila za uređaje za obradu
informacija trebaju biti definirana i primjenjivana.

7.8 Smještaj i zaštita opreme

Kontrola: Oprema treba biti sigurno smještena i zaštićena.

7.9 Sigurnost imovine izvan prostorija

Kontrola: Imovina izvan lokacije treba biti zaštićena.

7.10 Pohrana medija

Kontrola: Mediji za pohranu trebaju biti upravljani tijekom svog životnog ciklusa od nabavke, prijevoza i
odlaganja u skladu s klasifikacijskom shemom i zahtjevima organizacije za rukovanje.

7.11 Potporni resursi

Kontrola: Uređaji za obradu informacija trebaju biti zaštićeni od prekida struje.

7.12 Sigurnost kabliranja

Kontrola: Kablovi koji prenose energiju, podatke ili podržavaju informatičke usluge trebaju biti zaštićeni
od presretanja, ometanja ili oštećenja.

7.13 Održavanje opreme

Kontrola: Oprema se treba održavati kako bi se osigurala dostupnost, integritet i povjerljivost informacija.

7.14 Sigurno odlaganje ili ponovna upotreba opreme

Kontrola: Predmeti opreme koji sadrže medije za pohranu trebaju biti provjereni kako bi se osiguralo da
su osjetljivi podaci i licencirani softver uklonjeni ili sigurno prepisani prije odlaganja ili ponovne
upotrebe.

8 Tehnološke kontrole

8.1 Korisnički uređaji

Kontrola: Informacije pohranjene, obrađene ili dostupne putem korisničkih uređaja trebaju biti zaštićene.

8.2 Privilegirana prava pristupa

Kontrola: Dodjela i upotreba privilegiranih prava pristupa trebaju biti ograničene i upravljane.

8.3 Ograničenje pristupa informacijama

Kontrola: Pristup informacijama i drugim povezanim sredstvima treba biti ograničen sukladno
uspostavljenoj tematskoj politici o kontroli pristupa.

8.4 Pristup izvornom kodu

Kontrola: Čitanje i pisanje u izvorni kod, razvojne alate i softverske knjižnice trebaju biti odgovarajuće
upravljani

8.5 Sigurna autentikacija

Kontrola: Trebaju se primjenjivati tehnologije i postupci sigurne autentikacije temeljeni na ograničenjima

pristupa informacijama i specifičnoj politici o kontroli pristupa.

8.6 Upravljanje kapacitetom

Kontrola: Upotreba resursa treba se nadzirati i prilagođavati u skladu s trenutnim i očekivanim

zahtjevima kapaciteta.

8.7 Zaštita od zlonamjernog softvera

Kontrola: Treba se primijeniti zaštita od zlonamjernog softvera uz podršku svijesti korisnika.

8.8 Upravljanje tehničkim ranjivostima

Kontrola: Informacije o tehničkim ranjivostima informacijskih sustava trebaju se prikupljati, izloženost

organizacije takvim ranjivostima treba procijeniti i poduzeti odgovarajuće mjere.

8.9 Upravljanje konfiguracijom

Kontrola: Konfiguracije, uključujući sigurnosne konfiguracije hardvera, softvera, usluga i mreža, trebaju se
uspostaviti, dokumentirati, provoditi, nadzirati i pregledavati.

8.10 Brisanje informacija

Kontrola: Informacije pohranjene u informacijskim sustavima, uređajima ili bilo kojem drugom mediju za
pohranu trebaju se brisati kada više nisu potrebne.

8.11 Maskiranje podataka

Kontrola: Maskiranje podataka treba koristiti u skladu s politikom organizacije o kontroli pristupa i
drugim relevantnim specifičnim politikama, uzimajući u obzir primjenjivo zakonodavstvo.

8.12 Prevencija curenja podataka

Kontrola: Mjere za prevenciju curenja podataka trebaju se primjenjivati na sustave, mreže i sve druge
uređaje koji obrađuju, pohranjuju ili prenose osjetljive informacije.

8.13 Sigurnosna kopija informacija

Kontrola: Sigurnosne kopije informacija, softvera i sustava trebaju se održavati i redovito testirati u
skladu s dogovorenom specifičnom politikom o sigurnosnim kopijama.

8.14 Redundancija obradnih kapaciteta informacija

Kontrola: Kapaciteti za obradu informacija trebaju se provoditi s redundancijom dovoljnom za

zadovoljavanje zahtjeva za dostupnost.

8.15 Bilježenje

Kontrola: Dnevnici koji bilježe aktivnosti, iznimke, kvarove i druge relevantne događaje trebaju se
proizvesti, pohraniti, zaštititi i analizirati.

8.16 Nadzor aktivnosti

Kontrola: Mreže, sustavi i aplikacije trebaju se nadzirati zbog neuobičajenog ponašanja, a poduzimaju se
odgovarajuće mjere za procjenu potencijalnih sigurnosnih incidenata informacija.

8.17 Sinkronizacija sata

Kontrola: Satovi informacijskih sustava koje organizacija koristi trebaju se sinkronizirati s odobrenim
izvorima vremena.

Tabela A.1 (nastavak)

8.18 Korištenje privilegiranih utilitetskih programa

Kontrola: Upotreba utilitetskih programa koji mogu nadjačati sustav i kontrole aplikacija treba biti strogo
ograničena i pod kontrolom.

8.19 Instalacija softvera na operativnim sustavima

Kontrola: Postupci i mjere trebaju biti implementirane za sigurno upravljanje instalacijom softvera na
operativnim sustavima.

8.20 Sigurnost mreža

Kontrola: Mreže i mrežni uređaji trebaju biti zaštićeni, upravljani i kontrolirani kako bi se zaštitile
informacije u sustavima i aplikacijama.

8.21 Sigurnost mrežnih usluga

Kontrola: Sigurnosni mehanizmi, razine usluga i zahtjevi mrežnih usluga trebaju biti identificirani,
implementirani i nadzirani.

8.22 Razdvajanje mreža

Kontrola: Grupe informacijskih usluga, korisnika i informacijskih sustava trebaju biti odvojene unutar
organizacijskih mreža.

8.23 Filtriranje weba

Kontrola: Pristup vanjskim web stranicama treba upravljati kako bi se smanjila izloženost zlonamjernom
sadržaju.

8.24 Korištenje kriptografije

Kontrola: Pravila za učinkovitu upotrebu kriptografije, uključujući upravljanje kriptografskim ključevima,

trebaju biti definirana i implementirana.
8.25 Siguran razvojni životni ciklus

Kontrola: Pravila za siguran razvoj softvera i sustava trebaju biti definirana i primijenjena.

8.26 Zahtjevi za sigurnost aplikacija

Kontrola: Zahtjevi za informacijsku sigurnost trebaju biti identificirani, specificirani i odobreni prilikom
razvoja ili nabave aplikacija.

8.27 Sigurna arhitektura sustava i inženjerska načela

Kontrola: Načela za izradu sigurnih sustava trebaju biti uspostavljena, dokumentirana, održavana i
primijenjena na bilo koji razvoj informacijskog sustava.

8.28 Sigurno kodiranje

Kontrola: Načela sigurnog kodiranja trebaju biti primijenjena na razvoj softvera.

8.29 Sigurnosno testiranje u razvoju i prihvaćanju

Kontrola: Procesi sigurnosnog testiranja trebaju biti definirani i implementirani u razvojnom životnom
ciklusu.

8.30 Razvoj koji je outsourcan

Kontrola: Organizacija treba usmjeravati, nadzirati i pregledavati aktivnosti povezane s razvojem sustava
koji je outsourcan.

8.31 Odvajanje razvojnih, testnih i produkcijskih okruženja

Kontrola: Razvojna, testna i produkcijska okruženja trebaju biti odvojena i osigurana.

8.32 Upravljanje promjenama

Kontrola: Promjene na informacijskim procesnim objektima i informacijskim sustavima trebaju biti

predmet postupaka upravljanja promjenama.

8.33 Testiranje informacija

Kontrola: Informacije za testiranje trebaju biti adekvatno odabrane, zaštićene i upravljane

ISO/IEC 27001:2022(E)

Tabela A.1 (nastavak)

8.34 Zaštita informacijskih sustava tijekom testiranja revizije

Kontrola: Revizijski testovi i druge aktivnosti osiguranja koje uključuju procjenu operativnih sustava
trebaju biti planirane i dogovorene između testera i odgovarajućeg menadžmenta.