Professional Documents
Culture Documents
ISO Update 2022
ISO Update 2022
informacija — Zahtjevi
1 Opseg
2 Normativne reference
Na sljedeće se dokumente upućuje u tekstu na način da neki ili svi njihovi sadržaji čine zahtjeve ovog
dokumenta. Za datirane reference primjenjuje se samo citirano izdanje. Za nedatirane reference
primjenjuje se najnovije izdanje referiranog dokumenta (uključujući sve izmjene i dopune).
3 Termini i definicije
ISO i IEC održavaju baze podataka terminologije za upotrebu u standardizaciji na sljedećim adresama:
4 Kontekst organizacije
Organizacija mora odrediti vanjske i unutarnje pitanja koja su relevantna za njenu svrhu i koja utječu na
njenu sposobnost postizanja namjeravanog rezultata/a svog sustava upravljanja sigurnošću informacija.
NAPOMENA
c) koji od ovih zahtjeva će biti adresirani kroz sustav upravljanja sigurnošću informacija.
ISO/IEC 27001:2022(E)
NAPOMENA
Zahtjevi zainteresiranih strana mogu uključivati zakonske i regulatorne zahtjeve te ugovorne obveze.
Organizacija mora odrediti granice i primjenjivost sustava upravljanja sigurnošću informacija kako bi
uspostavila njegov opseg.
c) sučelja i ovisnosti između aktivnosti koje provodi organizacija i onih koje provode druge organizacije.
5 Vodstvo
5.1 Vodstvo i predanost
Visoko rukovodstvo mora pokazati vodstvo i predanost u odnosu na sustav upravljanja sigurnošću
informacija:
h) podržavanjem drugih relevantnih menadžerskih uloga da pokažu svoje vodstvo kako se odnosi na
njihova područja odgovornosti.
NAPOMENA
Referenca na „poslovanje“ u ovom dokumentu može se široko tumačiti kao aktivnosti koje su osnovne za
svrhu postojanja organizacije.
5.2 Politika
ISO/IEC 27001:2022(E)
b) uključuje ciljeve sigurnosti informacija (vidi 6.2) ili pruža okvir za postavljanje ciljeva sigurnosti
informacija;
NAPOMENA
6 Planiranje
6.1.1 Općenito
Pri planiranju sustava upravljanja sigurnošću informacija, organizacija mora razmotriti pitanja navedena u
4.1 i zahtjeve navedene u 4.2 i odrediti rizike i prilike koje treba adresirati kako bi:
e) kako
Organizacija mora definirati i primijeniti proces procjene rizika sigurnosti informacija koji:
primijeniti proces procjene rizika sigurnosti informacija za identifikaciju rizika povezanih s gubitkom
povjerljivosti, integriteta i dostupnosti informacija u okviru sustava upravljanja sigurnošću informacija; I
identificirati vlasnike rizika;
procijeniti potencijalne posljedice koje bi nastale ako bi se rizici identificirani u 6.1.2 c) 1) ostvarili;
Organizacija mora zadržati dokumentirane informacije o procesu procjene rizika sigurnosti informacija.
Organizacija mora definirati i primijeniti proces tretmana rizika sigurnosti informacija kako bi:
a) odabrala odgovarajuće opcije tretmana rizika sigurnosti informacija, uzimajući u obzir rezultate
procjene rizika;
b) odredila sve kontrole koje su potrebne za implementaciju odabranih opcija tretmana rizika sigurnosti
informacija;
NAPOMENA 1 Organizacije mogu dizajnirati kontrole prema potrebi ili ih identificirati iz bilo kojeg izvora.
NAPOMENA 3 Kontrole sigurnosti informacija navedene u Dodatku A nisu iscrpne i ako je potrebno,
mogu se uključiti dodatne kontrole sigurnosti informacija.
f) dobiti odobrenje vlasnika rizika za plan tretmana rizika sigurnosti informacija i prihvaćanje preostalih
rizika sigurnosti informacija.
Organizacija mora zadržati dokumentirane informacije o procesu tretmana rizika sigurnosti informacija.
NAPOMENA 4 Proces procjene i tretmana rizika sigurnosti informacija u ovom dokumentu usklađen je s
principima i općim smjernicama navedenima u ISO 31000[5]
c) uzeti u obzir primjenjive zahtjeve sigurnosti informacija i rezultate procjene rizika i tretmana rizika;
d) biti nadzirani;
e) biti komunicirani;
Prilikom planiranja kako postići svoje ciljeve sigurnosti informacija, organizacija mora odrediti:
h) što će se učiniti;
Kada organizacija odredi potrebu za promjenama u sustavu upravljanja sigurnošću informacija, promjene
se moraju provesti na planiran način.
7 Podrška
7.1 Resursi
Organizacija mora odrediti i osigurati resurse potrebne za uspostavu, provedbu, održavanje i neprestano
poboljšanje sustava upravljanja sigurnošću informacija.
7.2 Kompetencije
Organizacija mora:
a) odrediti potrebne kompetencije osoba koje rade pod njezinom kontrolom, a utječu na njezinu
performansu sigurnosti informacija;
c) prema potrebi, poduzeti akcije za stjecanje potrebnih kompetencija i evaluirati učinkovitost poduzetih
akcija; i
NAPOMENA
Primjenjive akcije mogu uključivati, na primjer: pružanje obuke, mentoriranje ili ponovno dodjeljivanje
trenutnih zaposlenika; ili zapošljavanje ili ugovaranje kompetentnih osoba.
7.3 Svijest
7.4 Komunikacija
a) o čemu komunicirati;
b) kada komunicirati;
c) s kime komunicirati;
d) kako komunicirati.
7.5.1 Općenito
NAPOMENA
3.kompetencije osoba.
7.5.2 Stvaranje i ažuriranje
b) format (npr. jezik, verzija softvera, grafike) i medij (npr. papir, elektronski); i
b) da su adekvatno zaštićene (npr. od gubitka povjerljivosti, nepravilne upotrebe ili gubitka integriteta).
Za kontrolu dokumentiranih informacija, organizacija mora adresirati sljedeće aktivnosti, prema potrebi:
f) zadržavanje i dispozicija.
Dokumentirane informacije vanjskog podrijetla, koje organizacija određuje kao nužne za planiranje i rad
sustava upravljanja sigurnošću informacija, moraju biti prepoznate kao odgovarajuće i kontrolirane.
NAPOMENA
Pristup može implicirati odluku o dozvoli za pregled dokumentiranih informacija samo ili dozvolu i ovlast
za pregled i promjenu dokumentiranih informacija itd.
8 Operacija
Dokumentirane informacije moraju biti dostupne u mjeri koja je potrebna da bi se imalo povjerenja da su
procesi provedeni kako je planirano.
Organizacija mora kontrolirati planirane promjene i pregledati posljedice nenamjernih promjena,
poduzimajući akcije za ublažavanje bilo kakvih nepovoljnih učinaka, prema potrebi.
Organizacija mora osigurati da su vanjski pruženi procesi, proizvodi ili usluge koji su relevantni za sustav
upravljanja sigurnošću informacija kontrolirani.
Organizacija mora provoditi procjene rizika sigurnosti informacija u planiranim intervalima ili kada se
predlože ili dogode značajne promjene, uzimajući u obzir kriterije utvrđene u 6.1.2 a).
9 Evaluacija performansi
b) metode za nadzor, mjerenje, analizu i evaluaciju, prema potrebi, kako bi se osigurali valjani rezultati.
Odabrane metode trebale bi proizvesti usporedive i reproduktivne rezultate kako bi se smatrale
valjanima;
9.2.1 Općenito
Organizacija mora provoditi interne revizije u planiranim intervalima kako bi pružila informacije o tome je
li sustav upravljanja sigurnošću informacija:
a) u skladu s
Organizacija mora planirati, uspostaviti, implementirati i održavati jedan ili više programa revizije,
uključujući učestalost, metode, odgovornosti, zahtjeve za planiranje i izvještavanje.
Pri uspostavljanju programa interne revizije, organizacija mora razmotriti važnost relevantnih procesa i
rezultate prethodnih revizija.
Organizacija mora:
b) odabrati revizore i provesti revizije koje osiguravaju objektivnost i nepristranost procesa revizije;
Dokumentirane informacije moraju biti dostupne kao dokaz o implementaciji programa revizije i
rezultatima revizije.
9.3.1 Općenito
Visoki menadžment treba redovito pregledavati sustav upravljanja sigurnošću informacija organizacije
kako bi osigurao njegovu kontinuiranu prikladnost, adekvatnost i efikasnost.
3.rezultatima revizije;
Rezultati pregleda upravljanja trebali bi uključivati odluke vezane uz prilike za kontinuirano poboljšanje i
eventualne potrebe za promjenama u sustavu upravljanja sigurnošću informacija.
Dokumentirane informacije moraju biti dostupne kao dokaz o rezultatima pregleda upravljanja.
10 Poboljšanje
2.baviti se posljedicama;
b) procijeniti potrebu za akcijom kako bi se eliminirali uzroci neusklađenosti, kako se ne bi ponovili ili
pojavili negdje drugdje, kroz:
pregled neusklađenosti;
Informacione sigurnosne kontrole navedene u Tabeli A.1 direktno su izvedene i usklađene s onima
navedenima u ISO/IEC 27002:2022(1), Članovima 5 do 8, i trebaju se koristiti u kontekstu sa 6.1.3.
Kontrola: Treba razviti i primeniti odgovarajući skup postupaka za označavanje informacija u skladu sa
shemom klasifikacije koju je usvojila organizacija.
Kontrola: Pravila, postupci ili sporazumi o prenosu informacija trebaju biti na mestu za sve vrste
sredstava za prenos unutar organizacije i između organizacije i drugih strana.
Kontrola: Pravila za fizički i logički pristup informacijama i drugim povezanim sredstvima treba uspostaviti
i primenjivati na osnovu poslovnih i zahteva informacione bezbednosti.
Kontrola: Prava pristupa informacijama i drugim povezanim sredstvima treba odobravati, pregledavati,
menjati i uklanjati u skladu s organizacionim postupcima i politikama.
Kontrola: Procesi za nabavku, korišćenje, izlazak i tranziciju iz cloud usluga treba uspostaviti u skladu sa
zahtevima informacione bezbednosti organizacije.
6 | Kontrole osoba
6.1 | Provjera
Kontrola | Provjera pozadine svih kandidata koji postaju osoblje trebala bi se provoditi prije pridruživanja
organizaciji i kontinuirano, uzimajući u obzir važeće zakone, propise i etiku, te proporcionalno poslovnim
zahtjevima, klasifikaciji informacija koje će se pristupiti i percepcijskim rizicima.
Kontrola | Osoblje organizacije i zainteresirane strane trebale bi primati odgovarajuću edukaciju i obuku
o informacijskoj sigurnosti, te redovne ažuriranja politike informacijske sigurnosti organizacije i
specifičnih politika i postupaka, relevantnih za njihove poslovne funkcije.
Kontrola | Disciplinski postupak treba formalizirati i komunicirati kako bi se poduzele mjere protiv osoblja
i drugih relevantnih zainteresiranih strana koji su počinili povredu politike informacijske sigurnosti.
Kontrola | Odgovornosti za informacijsku sigurnost koje ostaju važeće nakon prestanka ili promjene
zaposlenja trebale bi biti definirane, provoditi se i komunicirati relevantnom osoblju i drugim
zainteresiranim stranama.
Kontrola | Sporazumi o povjerljivosti ili neobjavljivanju koji odražavaju potrebe organizacije za zaštitu
informacija trebali bi biti identificirani, dokumentirani, redovito pregledavani i potpisani od strane
osoblja i drugih relevantnih zainteresiranih strana.
Kontrola | Sigurnosne mjere trebale bi se primjenjivati kada osoblje radi na daljinu kako bi se zaštitile
informacije pristupljene, obrađene ili pohranjene izvan prostorija organizacije.
7 | Fizičke kontrole
Kontrola | Sigurnosne perimetre treba definirati i koristiti kako bi se zaštitila područja koja sadrže
informacije i druge povezane resurse.
Kontrola | Fizička sigurnost ureda, prostorija i objekata treba biti osmišljena i implementirana.
Kontrola | Prostorije trebaju biti kontinuirano nadzirane zbog neovlaštenog fizičkog pristupa.
Kontrola: Zaštita od fizičkih i okolišnih prijetnji, kao što su prirodne katastrofe i druge namjerne ili
nenamjerne fizičke prijetnje infrastrukturi, treba biti osmišljena i provedena.
Kontrola: Sigurnosne mjere za rad u sigurnim područjima trebaju biti osmišljene i provedene.
Kontrola: Mediji za pohranu trebaju biti upravljani tijekom svog životnog ciklusa od nabavke, prijevoza i
odlaganja u skladu s klasifikacijskom shemom i zahtjevima organizacije za rukovanje.
Kontrola: Kablovi koji prenose energiju, podatke ili podržavaju informatičke usluge trebaju biti zaštićeni
od presretanja, ometanja ili oštećenja.
Kontrola: Oprema se treba održavati kako bi se osigurala dostupnost, integritet i povjerljivost informacija.
Kontrola: Predmeti opreme koji sadrže medije za pohranu trebaju biti provjereni kako bi se osiguralo da
su osjetljivi podaci i licencirani softver uklonjeni ili sigurno prepisani prije odlaganja ili ponovne
upotrebe.
8 Tehnološke kontrole
Kontrola: Dodjela i upotreba privilegiranih prava pristupa trebaju biti ograničene i upravljane.
Kontrola: Pristup informacijama i drugim povezanim sredstvima treba biti ograničen sukladno
uspostavljenoj tematskoj politici o kontroli pristupa.
Kontrola: Čitanje i pisanje u izvorni kod, razvojne alate i softverske knjižnice trebaju biti odgovarajuće
upravljani
Kontrola: Informacije pohranjene u informacijskim sustavima, uređajima ili bilo kojem drugom mediju za
pohranu trebaju se brisati kada više nisu potrebne.
Kontrola: Maskiranje podataka treba koristiti u skladu s politikom organizacije o kontroli pristupa i
drugim relevantnim specifičnim politikama, uzimajući u obzir primjenjivo zakonodavstvo.
Kontrola: Mjere za prevenciju curenja podataka trebaju se primjenjivati na sustave, mreže i sve druge
uređaje koji obrađuju, pohranjuju ili prenose osjetljive informacije.
Kontrola: Sigurnosne kopije informacija, softvera i sustava trebaju se održavati i redovito testirati u
skladu s dogovorenom specifičnom politikom o sigurnosnim kopijama.
8.15 Bilježenje
Kontrola: Dnevnici koji bilježe aktivnosti, iznimke, kvarove i druge relevantne događaje trebaju se
proizvesti, pohraniti, zaštititi i analizirati.
Kontrola: Mreže, sustavi i aplikacije trebaju se nadzirati zbog neuobičajenog ponašanja, a poduzimaju se
odgovarajuće mjere za procjenu potencijalnih sigurnosnih incidenata informacija.
Kontrola: Upotreba utilitetskih programa koji mogu nadjačati sustav i kontrole aplikacija treba biti strogo
ograničena i pod kontrolom.
Kontrola: Postupci i mjere trebaju biti implementirane za sigurno upravljanje instalacijom softvera na
operativnim sustavima.
Kontrola: Mreže i mrežni uređaji trebaju biti zaštićeni, upravljani i kontrolirani kako bi se zaštitile
informacije u sustavima i aplikacijama.
Kontrola: Sigurnosni mehanizmi, razine usluga i zahtjevi mrežnih usluga trebaju biti identificirani,
implementirani i nadzirani.
Kontrola: Grupe informacijskih usluga, korisnika i informacijskih sustava trebaju biti odvojene unutar
organizacijskih mreža.
Kontrola: Pristup vanjskim web stranicama treba upravljati kako bi se smanjila izloženost zlonamjernom
sadržaju.
Kontrola: Pravila za siguran razvoj softvera i sustava trebaju biti definirana i primijenjena.
Kontrola: Zahtjevi za informacijsku sigurnost trebaju biti identificirani, specificirani i odobreni prilikom
razvoja ili nabave aplikacija.
Kontrola: Načela za izradu sigurnih sustava trebaju biti uspostavljena, dokumentirana, održavana i
primijenjena na bilo koji razvoj informacijskog sustava.
Kontrola: Procesi sigurnosnog testiranja trebaju biti definirani i implementirani u razvojnom životnom
ciklusu.
Kontrola: Organizacija treba usmjeravati, nadzirati i pregledavati aktivnosti povezane s razvojem sustava
koji je outsourcan.
ISO/IEC 27001:2022(E)
Kontrola: Revizijski testovi i druge aktivnosti osiguranja koje uključuju procjenu operativnih sustava
trebaju biti planirane i dogovorene između testera i odgovarajućeg menadžmenta.