Objavljeno u kategoriji EU VIJESTI

Sigurnost u projektima

EU projekti

Nagli rast i široka primjena digitalnih tehnologija te pojava elektroničkog poslovanja paralelno s pojavom međunarodnog terorizma iznjedrila je potrebu za boljim načinima zaštite računala i informacija koje ona pohranjuju, obrađuju i razmjenjuju. Stoga u današnje doba sigurnost računalnih sustava postaje akademska disciplina unutar raznih profesionalnih organizacija, radeći na zajedničkom cilju osiguranja zaštite i sigurnosti informacijskih sustava, a što je vidljivo i u sektoru EU FONDOVA.

ISO/IEC 27001 je ISO norma koja je krajem 2005 godine naslijedila staru britansku normu BS 7799-2. Radi se o standardu koji se bavi sustavom upravljanja informacijskom sigurnošću, a namijenjen je za korištenje zajedno s ISO/IEC 27002, prije poznat kao ISO/IEC 17799, što je praktični kodeks koji definira ciljeve sigurnosnih kontrola i preporuča određeni praktični raspon istih. On pruža praktičan model za uspostavljanje, primjenu, korištenje, praćenje, održavanje i konstantno poboljšavanje sustava za upravljanje informacijskom sigurnošću, pri čemu su dizajn i primjena pod utjecajem ciljeva poduzeća ili organizacije, procesa koji se odvijaju, te veličine i strukture same organizacije. One organizacije koje u svom svakodnevnom poslovanju koriste ISO/IEC 27002 pri procjeni svog sustava upravljanja informacijskom sigurnošću vrlo vjerojatno će biti u sukladnosti sa normama ISO/IEC 27001.

Uspostavljanje sustava upravljanja informacijskom sigurnošću se obično sastoji od tri osnovne međusobno povezane faze:

  • Provjera postojanja i potpunosti ključne dokumentacije potrebne za uvođenje sustava upravljanja informacijskom sigurnošću, a radi se o sigurnosnoj politici organizacije, izjave o primjenjivosti kontrola (Statement of Applicability – SoA) te planu tretmana rizika (Risk Treatment Plan).
  • Dubinsko snimanje i revizija koji testiraju postojanje i efikasnost kontrola informacijske sigurnosti koje se navode u izjavi o primjenjivosti kontrola te planu tretmana rizika, uključujući potpornu dokumentaciju. Sam proces procjene i upravljanja rizikom informacijske sigurnosti je kontinuiran, a ne jednokratan proces, baš kao što se teoretski smatra da sustav upravljanja informacijskom sigurnošću nikada nije u potpunosti uveden nego se radi o konstantnom procesu evaluacije te traženja mogućih nesukladnosti i njihovog ispravljanja.
  • Treća faza je ponovljena procjena, odnosno naknadna revizija, kojom se provjerava jesu li poduzeće ili organizacija koji su prvobitno certificirani u skladu sa standardom i dalje u sukladnosti s istim. Ona se odvija periodički kako bi se potvrdilo da sustav upravljanja informacijskom sigurnošću funkcionira kako je zamišljeno i dokumentirano.

Sam standard strukturiran je tako da ga je moguće uvesti u svaku organizaciju, bila ona profitna ili neprofitna te neovisno o njenoj veličini. U samoj srži standarda podržan je osnovni zahtjev informacijske sigurnosti izražen u već opisanoj C-I-A trijadi , prema kojemu je dohvat informacijama dozvoljen samo onima koji su autorizirani za njihovo korištenje, da su one točne i potpune te da je pristup informacijama neprekinut, odnosno dozvoljen u kontinuitetu kada je to potrebno.

Briga o povjerljivosti projektnih informacija je načelo našeg poslovanja, i zato, javite nam se!