HRN ISO/IEC 27001:2014

Detalji

Kreirano Srijeda, 10 Prosinac 2014 19:12

Hitovi: 10647

Naslov norme
HRN ISO/IEC 27001:2014
Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi
(ISO/IEC 27001:2013)

Područje primjene
Ova norma sadrži zahtjeve za uspostavu, primjenu, održavanje i stalno poboljšavanje dokumentiranog sustava upravljanja informacijskom sigurnošću, a u kontekstu sveukupnog poslovanja organizacije. Isto tako sadrži zahtjeve za ocjenjivanje i postupanje s rizicima povezanim s informacijskom sigurnošću.

Sadržaj norme
1 Područje primjene
2 Upućivanje na druge norme
3 Nazivi i definicije
4 Kontekst organizacije
5 Vodstvo
6 Planiranje
7 Podrška
8 Izvedba
9 Vrednovanje
10 Poboljšavanje

Kratki pregled norme

4 Kontekst organizacije
Organizacija mora odrediti unutrašnje i vanjske elemente koji su bitni za njenu svrhu i koji se tiču njene sposobnosti za postizanje željenih ciljeva sustava upravljanja informacijskom sigurnošću. Zahtijeva se:
-    razumijevanje organizacije i njenog konteksta
-    razumijevanje potreba i očekivanja zainteresiranih strana
-    određivanje područja sustava upravljanja informacijskom sigurnošću
-    sustav upravljanja informacijskom sigurnošću.
Organizacija mora uspostaviti, primjenjivati, održavati i kontinuirano unaprjeđivati sustav
upravljanja informacijskom sigurnošću.

5 Vodstvo
Od najviše uprave organizacije zahtijeva opredjeljenje i preuzimanje vodeće uloge u sustavu upravljanja informacijskom sigurnošću. Zahtjevi se odnose na:
-    vodstvo i opredjeljenje
-    politiku
-    zadatke, odgovornosti i ovlasti.
Najviša uprava je odgovorna da se dodijele odgovornosti i ovlaštenja za odgovarajuće zadatke i uloge u sustavu upravljanja informacijskom sigurnošću.

6 Planiranje
Kada se planira sustavu upravljanja informacijskom sigurnošću, organizacija mora uzeti u obzir postavljene zahtjeve te utvrditi rizike i prilike koji se odnose na osiguranje da će sustav upravljanja informacijskom sigurnošću postići svoje ciljeve, prevenciju, smanjenje ili otklanjanje neželjenih učinaka i postizanje stalnog poboljšavanja. Zahtjevi se tiču:
-    ocjenjivanja rizika informacijske sigurnosti   
-    postupanja s rizicima informacijske sigurnosti
-    ciljeva informacijske sigurnosti i njihovog postizanja.

7 Podrška
Sustav upravljanja informacijskom sigurnošću održava se i poboljšava uz određene resurse koje je potrebno odrediti i osigurati. Zahtjevi za podršku organizaciji obuhvaćaju:
-    resurse
-    kompetencije
-    svjesnost
-    komunikaciju
-    dokumentirane informacije.
Dokumentirane informacije mogu se pojaviti u bilo kojem obliku i trebaju pružiti odgovarajuće dokaze i demonstriraju sukladnost.

8 Izvedba/djelovanje
Organizacija mora planirati, održavati i nadzirati procese kako bi ispunila zahtjeve sustava upravljanja informacijskom sigurnošću. Isto tako mora uspostaviti planove za postizanje ciljeva.
Zahtjevi su dani za:
-    planiranje i kontrolu operacija
-    ocjenjivanje rizika informacijske sigurnosti   
-    postupanje s rizicima informacijske sigurnosti.

9 Vrednovanje
Vrednovanje obuhvaćanja različite postupke pregleda i provjera. Obuhvaćeni su zahtjevi koji se tiču:
-    nadziranja, mjerenja, analize i vrednovanja podataka
-    unutrašnjeg audita
-    preispitivanja upravljanja od strane uprave.
Rezultati ovih provjera imaju za cilj održavanje sustava i procesa unutar ciljanih vrijednosti kako bi se sustav upravljanja informacijskom sigurnošću trajno održavao i poboljšavao.

10 Poboljšanje
Organizacija mora utvrditi i odabrati mogućnosti za poboljšanje i provesti svaku radnju kojom se osigurava održavanje sustava upravljanja informacijskom sigurnošću.
Zahtjevi koji se odnose na poboljšanje obuhvaćaju:
-    nesukladnosti i popravne radnje
-    trajno poboljšavanje.

Napomena
Ovaj članak je informativnog karaktera i sadrži osvrt na sadržaj norme. Organizacije/osobe koje žele primijenjivati ovu normu u svom radu mogu je pribaviti kod nacionalnog normirnog tijela.