ISMS - Information Security Management System

Područje koje obuhvaća informacijska sigurnost integrira mnoge inicijative unutar korporativne strategije kako bi svaki element informacijske sigurnosti pružio optimalnu razinu zaštite. Takva integracija dolazi upravo kroz ISMS koji osigurava da su svi napori koordinirani kako bi se postigla optimalna sigurnost uz minimalna ulaganja. Zbog toga ISMS mora uključivati metodu procjene, zaštitne mjere, dokumentaciju i proces revizije.

Primjena međunarodne norme za ISMS, ISO/IEC 27001:2005, daje veliku prednost svakoj organizaciji na više razina:

• Organizacijska razina: Predanost organizacije upravljanju informacijkom sigurnošću predstavlja garanciju učinkovitosti napora uloženog u sigurnost organizacije na svim razinama
• Pravna razina: Sukladnost demonstrira da organizacija poštuje svu relevantnu pravnu regulativu koju obuhvaća njezino poslovanje
• Operativna razina: Upravljanje rizikom vodi k boljem poznavanju informacijskih sustava, njihovih slabosti i načina njihove zaštite.
• Komercijalna razina: Vjerodostojnost i pouzdanost organizacije pred klijentima, dioničarima i partnerima povećava se s dokazom ozbiljnosti pristupa zaštiti informacija. Certifikacija može pružiti odskok organizacije iznad konkurencije.
• Financijska razina: Smanjenje troškova vezano uz sigurnosne prijestupe i moguće smanjenje premija osiguranja
• Ljudska razina: Unapređivanje osvještenosti zaposlenika vezano uz sigurnosnu problematiku i njihove odgovornosti unutar organizacije

Uspostava ISMS-a uključuje:

• Uspostavu upravljačkog okvira
• Analizu rizika
• Implementaciju odabranih kontrolnih mjera
• Primjenu odgovarajuće kontrole dokumentacije
• Čuvanje zapisa kao dokaza sukladnosti

ISO 27001 sadrži 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena:

• Sigurnosna politika
  • Zahtjevi uprave za unapređivanjem infromacijske sigurnosti
• Organizacijska sigurnost
  • Omogućavanje upravljanja informacijskom sigurnošću unutar organizacije
• Klasifikacija i kontrola resursa
  • Provođenje inventara informacijskih resursa i njihove zaštite
• Osoblje kao element informacijske sigurnosti
  • Smanjivanje rizika mogućnosti ljudske pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu
• Fizička sigurnost i zaštita od utjecaja okoline
  • Sprečavanje uništavanja, propadanja i prekida funkcioniranja sredstava i podataka
• Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti
  • Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija
• Kontrola pristupa
  • Kontrola pristupa informacijama
• Razvoj sustava i njihovo održavanje
  • Osiguravanje ugrađenosti sigurnosti u informacijske sustave
• Upravljanje kontinuiranosti poslovanja
  • Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti
• Sukladnost s pravnom legislativom
  • Sprečavanje mogućnosti kršenja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva

Slijedeći dijagram prikazuje strukturu ranije navedenih domena s obzirom na razinu poslovanja na koju se odnose. Svaka domena bavi se specifičnom tematikom fokusiranom na administrativne, tehničke i fizičke mjere:

Sukladnost s normom ISO 27001 trebala bi biti interes svake organizacije koja pohranjuje povjerljive informacije na unutarnje ili vanjske sustave, čije poslovanje ovisi o takvim sustavima i koja želi pokazati da upravlja informacijskim resursima slijedeći najbolje svjetske preporuke.

Bez obzira na broj zaposlenih, što je ovisnost organizacije o informacijskim sustavima veća, to je veći i rizik na poslovanje te organizacije koji dolazi od prijetnji i ranjivosti na infomracijske sustave, pa s time raste i potreba organizacije za prikladnim upravljanjem informacijskom sigurnosšću. Vladine organizacije, te organizacije vezane uz financijsko poslovanje i organizacije vezane uz područje zdravstva prirodno su izložene najvećem riziku na informacijske sustave: