ISO/IEC 27001
Što je ISO/IEC 27001
ISO/IEC 27001 je međunarodni standard za upravljanje informacijskom sigurnošću koji definira zahtjeve za uspostavu, implementaciju, održavanje i kontinuirano poboljšavanje sustava upravljanja informacijskom sigurnošću (ISMS). Standard pruža strukturirani okvir za zaštitu povjerljivosti, integriteta i dostupnosti informacija.
Za razliku od regulatornih okvira poput NIS2 ili DORA-e, ISO 27001 predstavlja globalno priznati sigurnosni standard koji organizacijama omogućuje sustavan pristup upravljanju sigurnosnim rizicima.
Čemu služi
ISO 27001 pomaže organizacijama identificirati sigurnosne rizike, implementirati odgovarajuće kontrole i uspostaviti procese koji osiguravaju kontinuiranu zaštitu informacija i poslovnih sustava. Certifikacija prema ovom standardu potvrđuje da organizacija primjenjuje međunarodno priznate sigurnosne prakse.
Standard je često temelj sigurnosnih programa organizacija koje upravljaju osjetljivim podacima ili pružaju digitalne usluge.
Tko primjenjuje ISO 27001
ISO 27001 mogu implementirati organizacije svih veličina i sektora, posebno:
- IT i cloud pružatelji usluga
- financijske institucije
- javni sektor
- zdravstvene organizacije
- organizacije koje obrađuju osjetljive podatke
Ključne obveze organizacija
Implementacija ISO 27001 standarda uključuje uspostavu formalnog sustava upravljanja informacijskom sigurnošću i kontinuirano upravljanje rizicima.
Obveze uključuju:
- uspostavu ISMS-a (Information Security Management System)
- procjenu i upravljanje sigurnosnim rizicima
- implementaciju sigurnosnih kontrola
- dokumentiranje politika i procedura
- kontinuirano poboljšavanje sigurnosnih procesa
Izdvojeni zahtjevi ISO 27001
- Upravljanje sigurnosnim rizicima
- Sigurnosne politike i procedure
- Kontrola pristupa i zaštita podataka
- Upravljanje incidentima
- Kontinuirano poboljšavanje sigurnosti
