Add to collection(s) Add to saved
  1. No category
Uploaded by Nebojsa Petrovic

ISOIEC27001-2005(S)

advertisement 
MEĐUNARODNI ISO/IEC STANDARD 27001
Prvo izdanje
Informaciona tehnologija — Sigurnosne tehnike
- Sistemi upravljanja informacione sigurnosti-Zahtevi
Technologies de l'information — Techniques de sécurité
— Systèmes de gestion de sécurité de l'information — Exigences
Sadržaj
strana
Predgovor ...................................................................................................................................... iv
0 Uvod ............................................................................................................................................. v
0.1Opšteodredbe ............................................................................................................................ v
0.2 Procesni pristup ....................................................................................................................... v
0.3 Kompatibilnost sa drugim sistemima upravljanja ............................................................... vi
Informaciona tehnologija,Sigurnosne tehnike,Sistem upravljanja informacijama, Zahtevi ... 6
1 Obim ............................................................................................................................................. 6
1.1 Opšte odredbe .......................................................................................................................... 6
1.2 Primena ..................................................................................................................................... 6
2 Propisane reference .................................................................................................................... 6
3 Termini i definicije ....................................................................................................................... 6
4 Sistem upravljanja sigurnošću informacija .............................................................................. 8
4.1 Opšti zahtevi ............................................................................................................................. 8
4.2 Utvrđivanje i upravljanje ISMS-om ......................................................................................... 8
4.2.1 Utvrđivanje ISMS-a ................................................................................................................ 8
4.2.2 Primena i rukovanje ISMS-om ............................................................................................ 10
4.2.3 Nadgledanje i revizija ISMS-a ............................................................................................. 10
4.2.4 Održavanje i poboljšanje ISMS-a ....................................................................................... 11
4.3 Zahtevi vezani za dokumentaciju ......................................................................................... 11
4.3.1 Opšte odredbe ..................................................................................................................... 11
4.3.2 Kontrola dokumenata ......................................................................................................... 12
4.3.3 Kontrola evidencije ............................................................................................................. 12
5 Odgovornost rukovodstva ....................................................................................................... 12
5.1 Obaveze rukovodstva ............................................................................................................ 12
5.2 Upravljanje resursima ............................................................................................................ 13
5.2.1 Obezbeđivanje resursa ....................................................................................................... 13
5.2.2 Obuka, svest i stručnost .................................................................................................... 13
6 Interne ISMS revizije ................................................................................................................. 13
7 Pregled ISMS-a od strane rukovodstva .................................................................................. 14
7.1 Opšte ....................................................................................................................................... 14
7.2 Ulaz za preglede ..................................................................................................................... 14
7.3 Izlaz za preglede ..................................................................................................................... 14
8 Poboljšavanje ISMS-a ............................................................................................................... 15
8.1 Neprekidno poboljšavanje .................................................................................................... 15
8.2 Korektivna radnja ................................................................................................................... 15
8.3 Preventivna radnja ................................................................................................................. 15
Prilog A (propisan) Ciljevi kontrole i kontrola............................................................................ 16
Prilog B (informativni ) OECD principi i ovaj međunarodni standard .................................... 30
Prilog C (informativni) Podudarnost ISO 9001i ovog međunarodnog standarda ................. 32
Predgovor
ISO (međunarodna organizacija za standardizaciju) i IEC (međunarodna elektrotehnička komisija)
čine specijalizovan sistem za standardizaciju širom sveta. Nacionalni organi koji su članovi ISO ili
IEC učestvuju u razvijanju međunarodnih standarda preko tehničkih komiteta koje osnivaju
organizacije da bi se bavili određenim oblastima tehničkih aktivnosti. ISO i IEC tehnički komiteti
sarađuju u oblastima od zajedničkog interesa. Druge međunarodne organizacije, vladine i
nevladine, u kontaktu sa ISO i IEC, takođe učestvuju u radu. U oblasti informacione tehnologije,
ISO i IEC su osnovali zajednički tehnički komitet, ISO/IEC JTC 1.
Međunarodni standardi se izrađuju u skladu sa pravilima datim ISO/IEC Direktivama, Deo 2.
Glavni zadatak zajedničkog tehničkog komiteta je da pripremi međunarodne standarde. Nacrti
međunarodnih standarda koje usvoji zajednički tehnički komitet se daju nacionalnim organima na
glasanje. Za Publikaciju kao što je međunarodni standard potrebno je odobrenje bar 75%
nacionalnih organa koji glasaju.
Pažnja se posvećuje mogućnosti da su neki elementi ovog dokumenta predmet patentnih prava.
ISO/IEC 27001 je pripremio Zajednički tehnički komitet ISO/IEC JTC 1, Informaciona tehnologija ,
Pododbor SC 27, IT Bezbednosne tehnike.
0 Uvod
0.1 Opšte odredbe
Ovaj međunarodni standard je pripremljen da bi obezbedio model za utvrđivanje, sprovođenje,
funkcionisanje, nadzor, reviziju, održavanje i poboljšanje informacionog sigurnosnog sistema
upravljanja (ISMS). Usvajanje ISMS-a treba da bude strateška odluka za jednu organizaciju. Na
sastavljanje i primenu jednog ISMS utiču njihove potrebe i ciljevi, sigurnosni zahtevi, procesi koji
se koriste i veličina i struktura organizacije. Očekuje se da se ovi sistemi i sistemi podrške
vremenom promene. Očekuje se će primena ISMS-a biti uskladjena u skladu sa potrebama
organizacije, na pr. jednostavna situacija zahteva jednostavno ISMS rešenje.
Ovaj međunarodni standard mođe da se koristi da bi se ocenila usaglašenost od strane internih i
eksternih strana .
0.2 Procesni pristup
Ovaj međunarodni standard usvaja procesni pristup za uspostavljanje, primenu, funkcionisanje,
nadzor, reviziju, održavanje ISMS-a jedne organizacije.
Organizacija treba da identifikuje i upravlja mnogim aktivnostima da bi efikasno funkcionisala. Bilo
koja aktivnost koja koristi resurse i koja je vođena da bi omogućila transformaciju ulaza u izlaze
može da se smatra procesom. Često ulaz (input) jednog procesa direktno stvara izlaz (output)
sledećeg procesa.
Primena sistema procesa u okviru organizacije, zajedno sa identifikacijom i interakcijom tih
procesa, i njihovo upravljanje, često se zove “procesni pristup”.
Procesni pristup za upravljanje informacionom sigurnošću predstavljen u ovom međunarodnom
standardu ohrabruje svoje korisnike da naglase važnost:
a) razumevanja zahteva informacione sigurnosti jedne organizacije i potrebu da se utvrdi politika i
ciljevi informacione sigurnosti;
b) kontrole primene i funkcionisanja da bi se upravljalo rizicima informacione sigurnosti jedne
organizacije u kontekstu ukupnih poslovnih rizika organizacije ;
c) nadzor i revizije učinka i efikasnosti ISMS-a; i
d) stalno poboljšavanje bazirano na objektivnom merenju.
Ovaj međunarodni standard usvaja model “Planiraj-Radi-Proveri-Deluj” ("Plan-Do-Check-Act" PDCA) model, koji se primenjuje na strukturu svih ISMS procesa. Crtež 1 ilustruje kako jedan
ISMS uzima kao ulaz zahteve informacione sigurnostii i očekivanja zainteresovanih strana i kroz
neophodne radnje i procese daje rezultat informacione sigurnostii koji zadovoljava ove zahteve i
očekivanja. Crtež 1 takođe ilustruje veze u procesima predstavljene u odredbama 4, 5, 6, 7 i 8.
Usvajanje PDCA modela će takođe odraziti principe onako kako su izloženi u OECD smernicama
1)
(2002) koji regulišu sigurnost informacionih sistema i mreža. Ovaj međunarodni standard
obezbeđuje robustan model za primenu principa u ovim smernicama koje regulišu ocenu rizika,
nacrt i primenu sigurnostii, upravljanje sigurnošću i ponovnu ocenu.
_________________________________________________
1) OECD Smernice za sigurnost informacionih sistema i mreža- Prema kulturi sigurnosti Pariz: OECD, juli
2002. www.oecd.org
PRIMER 1
Zahtev bi mogao da bude da povrede informacione sigurnostii neće naneti ozbiljnu finansijsku
štetu organizaciji i/ili dovesti organizaciju u neprijatan položaj.
PRIMER 2
Očekivanje može da bude da ako dođe do ozbiljnog incidenta- možda upada hakera na e-poslovni
website organizacije - treba da postoje ljudi koji su dovoljno obučeni za odgovarajuće procedure
koje će umanjiti upad.
Planiraj
Zainteresovane
strane
Zainteresovane
strane
Ustanoviti
ISMS
Uradi
Zahtevi i
očekivanja
informacione
sigurnosti
Primeniti i
rukov-oditi
Održavati i
pobo-ljšati ISMS
Nadzirati i pregledati ISMS
Provera
Deluj
Vođena
informaciona sigurnost
Crtež 1 - PDCA model primenjen na ISMS procese
Plan
(ustanoviti ISMS)
Ustanoviti ISMS politiku, ciljeve, procese i procedure relevantne za
upravljanje rizikom i poboljšanje informacione sigurnosti da bi se dobili
rezultati u skladu sa ukupnom politikom i ciljevima organizacije.
Uradi (primeni i
rukovodi ISMS)
Primeniti i rukovoditi ISMS politikom, kontrolom, procesima i procedurama.
Proveri (nadziri i
pregledaj ISMS)
Oceniti i, gde je primenljivo, izmeriti učinak procesa u odnosu na ISMS
politku, ciljeve i praktično iskustvo i izveštavati rukovodstvo o rezultatima
radi revizije.
Deluj (održavaj i
poboljšaj SMS)
Preduzeti korektivne i preventivne mere, zasnovane na rezultatima interne
ISMS revizije i revizije rukovodstva ili drugim relevantnim informacijama, da
bi se postiglo stalno poboljšanje ISMS.
0.3 Kompatibilnost sa drugim sistemima upravljanja
Ovaj međunarodni standard je uskladjen sa ISO 9001:2000 i ISO 14001:2004 da bi podržao
doslednu i integrisanu primenu i rad sa srodnim standardima upravljanja. Jedan adekvatno
sastavljen sistem upravljanja može tako da zadovolji zahteve svih ovih standarda. Tabela C.1
prikazuje odnos između klauzula ovog međunarodnog standarda, ISO 9001:2000 i ISO
14001:2004.
Ovaj međunarodni standard je sastavljen da omogući jednoj organizaciji da uskladi ili da integriše
svoj ISMS u srodne zahteve sistema upravljanja.
Informaciona tehnologija — Sigurnosne tehnike —
Sistemi upravljanja informacionom sigurnošću — Zahtevi
VAŽNO — Ova publikacija nema za cilj da uključi sve potrebne odredbe jednog ugovora.
Korisnici su odgovorni za njenu korektnu primenu. Usaglašavanje sa Međunarodnim
standardom samo po sebi ne obezbeđuje imunitet od zakonskih obaveza.
1
Obim
1.1
Opšte odredbe
Ovaj međunarodni standard pokriva sve tipove organizacija(na pr. trgovinska preduzeća, vladine
agencije, neprofitne organizacije). Ovaj međunarodni standard navodi zahteve za utvrđivanje,
primenu, rad, nadzor, reviziju, održavanja i poboljšanje dokumentovanog ISMS u kontekstu
ukupnih poslovnih rizika organizacije. On navodi zahteve za primenu sigurnosnih kontrola
sigurnosti skrojenih za potrebe pojedinačne organizacije ili njenih delova.
ISMS je sastavljen da osigura izbor adekvatne i proporcionalne sigurnosne kontrole koja štiti
informacije i uliva poverenje zainteresovanim stranama.
NAPOMENA 1: Reference na ‘posao’ u ovom međunarodnom standardu treba da se protumače u širem
smislu i treba da se odnose na one aktivnosti koje čine suštinu svrhe postojanja organizacije.
NAPOMENA 2: ISO/IEC 17799 pruža smernice za primenu koje mogu da se koriste kada se sastavljaju
kontrole.
1.2
Primena
Zahtevi izloženi u ovom međunarodnom standardu su generički i namenjenji su za primenu u svim
organizacijama, bez obzira na tip, veličinu i prirodu. Isključenje bilo kog od ovih zahteva
naznačenih u klauzulama 4, 5, 6, 7, i 8 nije prihvatljivo kada organizacija deklariše usaglašenost
ovom međunarodnom standardu.
Bilo kakvo isključenje kontrola za koje se smatra da su potrebne da bi se zadovoljili kriterijumi
prihvatanja rizika treba da bude opravdano i treba pružiti dokaze da su povezane rizike prihvatile
odgovorne osobe.Gde su kontrole isključene, deklaracije o usaglašenosti sa ovim međunarodnim
standardom nisu prihvatljive sem ako takvo isključenje ne utiče na sposobnost organizacije, i/ili
odgovornost, da obezbedi informacionu sigurnost koja zadovoljava sigurnosne zahteve određene
ocenom rizika i važećim pravnim i regulatornim zahtevima.
NAPOMENA: Ako organizacija već ima operativni sistem upravljanja poslovnim procesom(na pr. u
odnosu na ISO 9001 ili ISO 14001), poželjno je u većini slučajeva da se zadovolje zahtevi ovog
međunarodnog standarda u okviru postojećeg sistema upravljanja.
2
Propisane reference
Sledeća referentna dokumenta su neophodna za primenu ovog dokumenta. Za dokumenta sa
datumom, primenjuje se samo navedeno izdanje. Za reference bez datuma, najnovije izdanje
referentnog dokumenta(uključujući amandmane) se primenjuje.
ISO/IEC 17799:2005, Informaciona tehnologija —Sigurnosne tehnike — Praksa za upravljanje
3 Termini i definicije
Sledeći termini i definicije primenjuju se u ovom dokumentu.
3.1 imovina
sve što ima vrednost za organizaciju
3.2 raspoloživost
osobina da je nešto dostupno i može da se koristi ako to zahteva ovlašćeno lice
[ISO/IEC 13335-1:2004]
3.3 poverljivost
osobina da informacija nije dostupna ili otkrivena neovlađćenom pojedincu, licima, ili procesima
[ISO/IEC 13335-1:2004]
3.4 informativna sigurnost (zaštita informacija)
očuvanje poverljivosti, integriteta i raspoloživosti informacija; pored toga, druge osobine kao što su
autentičnost, odgovornost, neodbijanje i pouzdanost, takođe mogu da budu uključeni
[ISO/IEC 17799:2005]
3.5 događaj vezan za informacionu sigurnost
identifikovano događanje u sistemu, servisu ili mreži koje označava moguće kršenje politike
informacione sigurnosti ili kvar na obezbeđenju, ili od ranije nepoznata situacija koja mođe biti
relevantna za sigurnost,
[ISO/IEC TR 18044:2004]
3.6 incident vezan za informacionu sigurnost
pojedinačni ili niz neželjenih ili neočekivanih događanja vezanih za informacionu sigurnost koji će
vrlo verovatno da kompromituju poslovnu aktivnost ili da predstavljaju pretnju za informacionu
sigurnost
[ISO/IEC TR 18044:2004]
3.7 ISMS sistemi upravljanja informacionom sigurnošću
onaj deo ukupnog sistema upravljanja, zasnovan na pristupu poslovnog rizika, da ustanovi,
primeni, upravlja, nadgleda, pregleda, održava i poboljšava informacionu sigurnost
NAPOMENA : Sistem upravljanja uključuje organizacionu strukturu, politiku, planiranje, odgovornosti,
praksu, procedure, procese i resurse.
3.8 integritet
osobina obezbeđivanja tačnosti i kompletnosti imovine
[ISO/IEC 13335-1:2004]
3.9 rezidualni rizik
rizik koji ostaje posle obrade rizika
[ISO/IEC Guide 73:2002]
3.10 prihvatanje rizika
odluka da se prihvati rizik
[ISO/IEC Guide 73:2002]
3.11 analiza rizika
sistematsko korišćenje informacija da bi se identifikovali izvori i da bi se procenio rizik
[ISO/IEC Guide 73:2002]
3.12 utvrđivanje rizika
ukupan proces analize rizika i procene rizika
[ISO/IEC Guide 73:2002]
3.13 procena rizika
proces upoređivanja procenjenog rizika sa datim kriterijumima rizika da bi se odredio značaj rizika
[ISO/IEC Guide 73:2002]
3.14 upravljanje rizikom
koordinirane aktivnosti da se usmeri i kontroliše organizacija s obzirom na rizik
[ISO/IEC Guide 73:2002]
3.15 obrada rizika
proces selekcije i primene mera za modfikovanje rizika
[ISO/IEC Guide 73:2002]
NAPOMENA: U ovom međunarodnom standardu termin ‘kontrola’ se koristi kao sinonim za termin ‘mera’.
3.16 izjava o primenljivosti
dokumentovana izjava koja opisuje ciljeve kontrole i kontrole relevantne i primenljive za ISMS
organizacije.
NAPOMENA : Ciljevi kontrole i kontrole se zasnivaju na rezultatima i zaključcima određivanja rizika i procese
obrade rizika, pravnim i regulatornim zahtevima, ugovornim obavezama i poslovnim zahtevima organizacije
za informacionom sigurnošću.
4 Sistem upravljanja informacionom sigurnošću
4.1 Opšti zahtevi
Organizacija utvrđuje, primenjuje, rukovodi, nadgleda, pregleda, održava i poboljšava
dokumentovani ISMS u okviru opštih poslovnih ciljeva organizacije i rizika sa kojima je suočena.
Za ciljeve ovog međunarodnog standarda proces koji se koristi je zasnovan na PDCA modelu koji
je prikazan na crtežu 1.
4.2 Utvrđivanje i upravljanje ISMS-om
4.2.1 Utvrđivanje ISMS-a
Organizacije će postupiti na sledeći način:
a) Definisaće obim i granice ISMS-a u smislu odlika posla, organizacije, lokacije, imovine i
tehnologije, uključujući detalje i opravdanje za bilo kakvo isključenje iz obima(videti 1.2).
b) Definisaće politiku ISMS-a u smislu odlika posla, organizacije, lokacije, imovine i tehnologije
koja:
1) uključuje okvir za postavljanje ciljeva i utvrđuje opšti pravac i principe za delovanje u
odnosu na informacionu sigurnost;
2) uzima u obzir posao i pravne i regulatorne zahteve i ugovorne sigurnosne obaveze;
3) u skladu je sa kontekstom upravljanja strateškog rizika organizacije gde će se odvijati
utvrđivanje i održavanje ISMS-a;
4) utvrđuje kriterijume na osnovu kojih će rizik biti procenjen (videti 4.2.1 c);
5) je odobrena od strane rukovodstva.
NAPOMENA : Za ciljeve ovog međunarodnog standarda, smatra se da je ISMS politika nadgradnje
politike informacione sigurnosti. Ova politika može biti opisana u jednom dokumentu.
c) Definisati pristup ocene rizika organizacije.
1) identifikovati metodologiju ocene rizika koja odgovara ISMS-u, i identifikovanu poslovnu
informacionu sigurnost, pravne i regulatorne zahteve.
2) Razviti kriterijume za prihvatanje rizika i identifikovati prihvatljive nivoe rizika (videti 5.1f).
Metodologija ocene rizika koja je odabrana će obezbediti da ocena rizika daje uporedive i
ponovljive rezultate.
NAPOMENA : Postoje različite metodologije za ocenu rizika. Primeri metodologija za ocenu rizika se
razmatraju u ISO/IEC TR 13335-3, Informaciona tehnologija — Smernice za upravljanje IT
sigurnošću —Tehnike upravljanja IT sigurnošću.
d) Identifikovati rizike.
1) Definisati imovinu u okviru obima ISMS-a, i vlasnike2 ove imovine.
2) Identifikovati pretnje toj imovini.
3) identifikovati slabe tačke koje mogu biti korišćene pri pretnjama.
4) identifikovati uticaj koji gubici poverljivosti, integriteta i dostupnosti mogu imati na
imovinu.
e) Analizirati i proceniti rizike.
1) Oceniti poslovni uticaj na organizaciju koji može biti rezultat propusta u sigurnosti,
uzimajući u obzir posledice gubitka poverljivosti, integriteta ili raspoloživosti imovine.
2) Oceniti realnost verovatnoće da do propusta u sigurnosti dođe u svetlu prisutnih pretnji i
slabih tačaka, i uticaja vezanog za ovu imovinu, i kontrole koje se trenutno primenjuju.
3) Proceniti nivoe rizika
4)Utvrditi da li su rizici prihvatljivi ili zahtevaju obradu korišćenjem kriterijuma za prihvatanje
rizika utvrđenijhu 4.2.1c)2).
f) identifikovati i proceniti opcije za obradu rizika.
Moguće mere uključuju:
1) primenu odgovarajuće kontrole;
2) prihvatanje rizika svesno i objektivno, pod uslovom da oni jasno zadovoljavaju politiku
organizacije i kriterijume za prihvatanje rizika( videti 4.2.1c)2));
3) izbegavanje rizika;i
4) transfer vezanih poslovnih rizika na druge strane, na pr. osiguratelje, snabdevače.
g) Odabrati ciljeve kontrole i kontrole za obradu rizika.
Ciljevi kontrole i kontrole biće odabrani i primenjeni da zadovolje zahteve koji su identifikovani
procesom procene i obrade rizika. Ova selekcija će uzeti u obzir kriterijume za prihvatanje rizika
(videti 4.2.1 c)2)) kao i pravne, regulatorne i ugovorne zahteve.
Ciljevi kontrole i kontrole iz priloga A će biti odabrani kao deo procesa kao pogodni da zadovolje
identifikovane zahteve.
Lista ciljeva kontrole i kontrole data u Prilogu A nije konačna i dodatni ciljevi kontrole takođe mogu
biti odabrani.
_______________________________________________
2) Termin ‘vlasnik ’ identifikuje pojedinca ili subjekat koji je odobrio odgovornost upravljanja za kontrolisanje
proizvodnje, razvoja, održavanja, korišćenja i sigurnosti ove imovine. Termin “vlasnik” ne znači da lice
ima bilo kakvo pravo vlasništva nad ovom imovinom.
NAPOMENA : Dodatak A sadrži iscrpnu listu ciljeva kontrole za koje se smatra da su obično relevantni u
organizacijama. Korisnici ovog međunarodnog standarda se upućuju na Prilog A kao polaznu tačku za
selekciju kontrola da bi be osiguralo da nije došlo do previda neke važne kontrolne opcije .
h) Dobiti odobrenje rukovodstva za predložene rezidualne rizike.
i) Dobiti ovlašćenje rukovodstva da se primeni i rukovodi ISMS-om.
j) Pripremiti izjavu o primenljivosti.
Izjava o primenljivosti koja će biti pripremljena uključuje sledeće:
1) ciljeve kontrole i kontrole odabrane u 4.2.1g) i razloge za njihovu selekciju;
2) ciljeve kontrole i kontrole koje se trenutno primenjuju (videti 4.2.1 e)2)); i
3) isključenje ciljeva kontrole i kontrola u Prilogu A i opravdanje za njihovo isključenje.
NAPOMENA: Izjava o primenljivosti daje kratak pregled odluka vezanih za obradu rizika. Opravdavanje
isključenja daje unakrsna provera da nijedna kontrola ne bi bila nenamerno izostavljena.
4.2.2 Primeniti i rukovoditi ISMS-om
Organizacija će da postupi na sledeći načina:
a) formulisaće plan obrade rizika koji identifikuje odgovarajuće upravljanje, resurse, odgovornosti i
prioritete za upravljanje rizicima informacione sigurnosti (videti 5).
b) primeniće plan obrade rizika da bi se postigla identifikacija ciljeva kontrole, koji uključuju
finansiranje i dodeljivanje uloga i odgovornosti.
c) primeniće kontrole odabrane u 4.2.1g) ispuniće zahteve kontrole
d) definisaće kako će se meriti efikasnost odabranih kontrola ili grupa kontrola i naznačiti kako ova
merenja treba upotrebiti da se oceni efikasnost kontrole da bi se dobili uporedivi i ponovljivi
rezultati (videti 4.2.3 c)).
NAPOMENA: Merenje efikasnosti kontrola omogućava menadžerima i zaposlenima da odrede u kojoj meri
kontrole postižu planirane ciljeve kontrole.
e) Sprovesti obuku i programe svesnosti (videti 5.2.2).
f) Upravljati radom ISMS-a.
g) Upravljati resursima za ISMS (videti 5.2).
h) Primeniti procedure i druge kontrole koje mogu da omoguće brzo otkrivanje događaja vezanih
za sigurnost i reagovanje na incidente vezane za sigurnost( videti 4.2.3a)).
4.2.3 Nadgledanje i revizija ISMS-a
Organizacija će da uradi sledeće:
a) Obaviće procedure nadgledanja i revizije i druge kontrole da bi:
1) brzo otkrila greške u rezultatima obrade;
2) hitno identifikovala pokušaje i uspešne povrede sigurnosti i incidente;
3) omogućila rukovodstvu da odluči da li se sigurnosne aktivnosti dodeljene ljudima ili
primenjene putem informacione tehnologije izvršavaju kako se očekuje;
4) pomogla da se otkriju događanja vezana za sigurnost i tako će sprečiti incidente
koristeći pokazatelje; i
5) odrediće da li su koraci preduzeti da bi se rešilo kršenje sigurnosti bili efikasni.
b) Obavljaće redovne preglede efikasnosti ISMS-a (uključujući zadovoljavanje politike i ciljeva
ISMS-a, i pregled kontrola sigurnosti), uzimajući u obzir rezultate revizija sigurnosti i rezultate
merenja efikasnosti, predloge i povratne informacije od svih zainteresovanih strana.
c) Meriti efikasnost kontrola da bi proverili da li su ispunjeni sigurnosni zahtevi.
d) Pregledati ocene rizika u planiranim intervalima i pregledati rezidualne rizike i identifikovane
nivoe rizika, uzimajući u obzir promene u :
1) organizaciji;
2) tehnologiji;
3) poslovnim ciljevima i procesima;
4) identifikovanim pretnjama;
5) efikasnosti primenjenih kontrola; i
6) eksternim događanjima, kao što su promene pravnog ili regulatornog okruženja,
promenjene ugovorne obaveze i promene u društvenoj klimi.
e) Sprovešće internu reviziju ISMS-a u planiranim intervalima (videti 6),
NAPOMENA: Interne revizije, ponekad nazvane revizije prve strane, sprovodi sama organizacija za svoje
interne ciljeve.
f) Sprovesti redovan upravljački pregled ISMS-a da bi se osiguralo da obim ostane adekvatan i da
su identifikovana poboljšanja u ISMS procesu. (videti 7.1.)
g) Ažurirati sigurnosne planove da bi se uzeli u obzir rezultati aktivnosti nadzora i pregleda.
h) Beležiti aktivnosti i događanja koji bi mogli da utiču na efikasnost i rad ISMS-a. (videti 4.3.3)
4.2.4 Održavati i poboljšati ISMS
Organizacija će redovno obavljati sledeće.
a) Primenjivaće identifikovana poboljšanja u ISMS.
b) Preduzeće odgovarajuće korektivne i preventivne radnje u skladu sa 8.2. i 8.3. Primeniće
iskustva vezana za sigurnost drugih organizacija i iskustva same organizacije.
c) Preneće aktivnosti i poboljšanja svim zainteresovanim stranama onoliko koliko je prikladno za
okolnosti i, ako je važno, dogovoriti se kako da se dalje radi.
d) Osiguraće da se poboljšanjem postignu planirani ciljevi.
4.3 Zahtevi vezani za dokumentaciju
4.3.1 Opšti
Dokumentacija će obuhvatiti evidenciju o odlukama rukovodstva, obezbediti da se aktivnosti mogu
naći u odlukama i politici rukovodstva, i obezbediti da su zabeleženi rezultati ponovljivi.
Važno je biti u mogućnosti da se pokaže odnos iz odabranih kontrola i rezultata procesa obrade
problema, i nazad do politike i ciljeva ISMS-a.
ISMS dokumentacija uključuje:
a) dokumentovane izjave o politici ISMS-a ( videti 4.2.1b)) i ciljevima ;
b) obim ISMS-a (videti 4.2.1a));
c) procedure i kontrole koje podržavaju ISMS;
d) opis metodologije ocene rizika (see 4.2.1c));
e) izveštaj o oceni rizika (videti 4.2.1c) do 4.2.1g));
f) plan obrade rizika (videti 4.2.2b));
g) dokumentovane procedure koje su potrebne organizaciji da bi se obezbedilo efikasno planiranje,
sprovođenje i kontrola njenih procesa informacione sigurnosti i opisati kako da se meri efikasnost
kontrola (videti 4.2.3c));
h) evidenciju koja se zahteva po ovom međunarodnom standardu (videti 4.3.3); i
i) Izjavu o primenljivosti.
NAPOMENA 1: Kada se termin “dokumentovana procedura” pojavljuje u ovom međunarodnom standardu, to
znači da je ova procedura utvrđena, dokumentovana, primenjena i održavana.
NAPOMENA 2: Obim ISMS dokumentacije može da se razlikuje od jedne do druge organizacije zbog:
- veličine organizacije i vrste njenih aktivnosti: i
- obima i složenosti zahteva vezanih za sigurnost i sisteme kojim se upravlja.
NAPOMENA 3: Dokumenti i evidencija mogu postojati u bilo kom obliku ili tipu.
4.3.2 Kontrola dokumenata
Dokumenta zahtevana po ISMS-u će biti zaštićena i kontrolisana. Biće utvrđena dokumentovana
procedura da bi se odredile aktivnosti upravljanja da bi se :
a) odobrila dokumenta radi adekvatnosti pre izdavanja;
b) pregledala i ažurirala dokumenta kako je potrebno i ponovo odobrila;
c) obezbedilo da su promene i trenutno stanje revizije dokumenata identifikovane;
d) obezbedilo da su relevantne verzije dokumenata koja se primenjuju dostupne kada ih treba
upotrebiti;
e) obezbediti da dokumenta ostanu čitka i odmah prepoznatljiva;
f) obezbediti da su dokumenta dostupna onima kojima su potrebna, i da se prenose, čuvaju i
konačno uklanjaju u skladu sa procedurama koje se primenjuju kada se klasifikuju;
g) obezbediti da se identifikuju spoljašnja dokumenta;
h) obezbediti da se raspodela dokumenata kontroliše;
i) sprečiti nenameravanu uporebu zastarelih dokumenata; i
j) primeniti odgovarajuću identifikaciju ako se zadržavaju iz bilo kojih razloga.
4.3.3 Kontrola evidencije
Evidencija će biti utvrđena i održavana da bi se pružio dokaz o usaglašenosti sa zahtevima i
efikasnom funkcionisanju ISMS-a. Ona će biti zaštićena i kontrolisana. ISMS će uzeti u obzir bilo
kakve pravne ili regulatorne zahteve i ugovorne obaveze. Evidencija će biti čitka, prepoznatljiva i
dostupna. Kontrole potrebne za identifikaciju, čuvanje, zaštitu, pristup, vreme zadržavanja i
uklanjanje evidencije će biti dokumentovane i sprovođene.
Biće vođena evidencija o izvođenju procesa kako je navedeno u 4.2 i o svim incidentima vezanim
za sigurnost koji se odnose na ISMS.
PRIMER
Primeri evidencije su knjiga posetilaca, izveštaji o reviziji i popunjena ovlašćenja o pristupu.
5 Odgovornost rukovodstva
5.1 Obaveza rukovodstva
Rukovodstvo će obezbediti dokaz svoje obaveze prema utvrđivanju, primeni, sprovođenju,
nadgledanju, pregledu, održavanju i poboljšanju ISMS-a na sledeći način:
a) utvrđivanjem politike ISMS politike;
b) obezbeđivanjem utvrđenih ciljeva i planova ISMS-a;
b) utvrđivanjem uloga i odgovornosti za informacionu sigurnost;
c) obaveštavanjem organizacije o važnosti ispunjenja ciljeva informacione sigurnosti i
usklađivanju sa politikom informacione sigurnosti, njenim odgovornostima uprema zakonu i
potrebom da se stalno unapređuje;
d) obezbeđivanjem dovoljnih resursa da bi se utvrdio, primenio, sproveo, nadgledao,
pregledao, održavao i poboljšao ISMS (videti 5.2.1);
e) određivanjem kriterijuma za prihvatanje rizika i prihvatljivih nivoa rizika;
f) obezbeđivanjem sprovođenja internih kontrola ISMS-a ( videti 6); i
g) sprovođenjem pregleda upravljanja ISMS-om (videti 7).
5.2 Upravljanje resursima
5.2.1 Obezbeđivanje resursa
Organizacija će da odredi i obezbedi resurse koji su potrebni da se :
a) utvrdi, primeni, sprovodi, nadgleda, pregleda, održava i poboljšava ISMS;
b) obezbedi da procedure informacione sigurnosti podržavaju zahteve posla;
c) identifikuju i rešavaju pravni i regulatorni zahtevi i ugovorne obaveze vezane za sigurnost;
d) održi adekvatna sigurnost korektnom primenom svih primenjenih kontrola;
e) obave pregledi kada je potrebno, i da se adekvatno reaguje na rezultate ovih pregleda;
f) gde je potrebno, poboljša efikasnost ISMS-a.
5.2.2 Obuka, svest i stručnost
Organizacija će se postarati da je celokupan personal kome su dodeljene odgovornosti definisane
u ISMS-u stručan da obavlja zahtevane zadatke tako što će :
a) odrediti potrebnu stručnost potrebnu da obavlja posao izvršavajući ISMS;
b) obezbediti obuku ili preduzeti druge aktivnosti (na pr. zapošljavajući stručan personal) da bi
zadovoljii ove potrebe;
c) proceniti efikasnost preduzetih aktivnosti; i
d) voditi evidenciju o obrazovanju, obuci, veštinama, iskustvu i kvalifikacijama (videti 4.3.3).
Organizacija će takođe obezbediti da sav relevantan personal bude svestan važnosti informacija o
sigurnosnim aktivnostima i kako one doprinose postizanju ISMS ciljeva.
6 Interne ISMS revizije
Organizacija će sprovoditi interne ISMS revizije u planiranim intervalima da bi utvrdila da li su
ciljevi kontrole, kontrole, procesi i procedure ISMS:
a) usklađeni sa zahtevima ovog međunarodnog standarda i relevantnih zakona ili propisa;
b) usklađeni sa identifikovanim zahtevima informacione sigurnosti;
c) efikasno primenjeni i održavani; i
d) izvršavani kao što se očekuje.
Program revizije će biti planiran, uzimajući u obzir status i važnost procesa i oblasti gde treba
izvršiti reviziju, kao i rezultate prethodnih revizija. Kriterijumi za reviziju, obim, učestalost i metode
će biti definisani. Odabrani revizori i obavljanje revizije će obezbediti objektivnost i nepristrasnost
procesa revizije. Revizori neće obavljati reviziju svog vlastitog posla.
Odgovornosti i zahtevi za planiranje i obavljanje revizije, i za beleženje rezultata i vođenje
evidencije (videti 4.3.3) biće definisani dokumentovanom procedurom.
Rukovodstvo odgovorno za oblast u kojoj se vrši revizija će se postarati da se aktivnosti obavljaju
bez odlaganja da bi se eliminisale neusklađenosti i njihovi uzroci. Prateće aktivnosti uključiće
verifikaciju preduzetih aktivnosti i izveštavanje o rezultatima verifikacije.(videti 8).
NAPOMENA: ISO 19011:2002, Smernice za reviziju okruženja i/ili kvaliteta sistema upravljanja, mogu da
budu od pomoći prilikom obavljanja internih ISMS revizija.
7 Pregled ISMS-a od strane rukovodstva
7.1 Opšte odredbe
Rukovodstvo će pregledati ISMS organizacije u planiranim intervalima (najmanje jednom godišnje)
da bi se obezbedila neprekidna stabilnost, adekvatnost i efikasnost. Pregled će uključiti ocenu
prilika za poboljšanje i potrebu za promenama ISMS-a, uključujući politiku informacione sigurnosti i
ciljeve informacione sigurnosti. Rezultati pregleda će biti jasno dokumentovani i evidentirani (videti
4.3.3).
7.2 Ulaz za preglede
Ulaz pregleda rukovodstva će uključiti:
a) rezultate ISMS revizija i pregleda;
b) povratne informacije od zainteresovanih strana;
c) tehnike, proizvode ili procedure, koji bi mogli da se koriste u organizaciji radi poboljšanja učinka
i efikasnosti ISMS-a;
d) status preventivnih i korektivnih radnjii;
e) slabe tačke ili pretnje koje nisu rešavane na adekvatan načina pri prethodnoj oceni rizika;
f) rezultate mera efikasnosti;
g) prateće(follow-up) aktivnosti iz prethodnih pregleda rukovodstva;
h) bilo kakve promene koje bi mogle da utiču na ISMS; i
i) preporuke za poboljšanje.
7.3 Izlaz za preglede
Izlaz iz pregleda rukovodstva će uključiti odluke ili radnje koje su u vezi sa :
a) poboljšanjem efikasnosti ISMS-a.
b) ažuriranjem ocene rizika i plana obrade rizika.
c) modifikacijom procedura i kontrola koje dovode do informacione sigurnosti, kako je potrebno,
da bi se reagovalo na unutrašnja i spoljašnja događanja koja mogu uticati na ISMS, uključujući
promene:
1) Poslovnih zahteva;
2) Bezbednosnih zahteva;
3) Poslovnih procesa koji dovode do stvaranja postojećih poslovnih zahteva;
4) Regulatornih ili pravnih zahteva;
5) Ugovornih obaveza; i
6) Nivoa rizika i/ili kriterijuma za prihvatanje rizika.
d) Potrebama resursa
e) Poboljšanja u pogledu merenja efikasnosti kontrola.
8 Poboljšavanje ISMS -a
8.1 Neprekidno poboljšavanje
Organizacija će neprekidno poboljšavati efikasnost ISMS-a korišćenjem politike informacione
sigurnosti, ciljeva informacione sigurnosti, rezultata revizija, analiza događaja koji se prate,
korektivnih i preventivnih radnji i pregleda od strane rukovodstva (videti 7).
8.2 Korektivna radnja
Organizacija će preduzeti radnju da ukloni uzrok neusaglašenosti sa zahtevima ISMS-a da bi se
sprečilo njihovo ponavljanje. Dokumentovana procedura za korektivnu radnju će definisati zahteve
za :
a) identifikovanjem neusaglašenosti;
b) određivanjem uzroka neusaglašenostii;
c) procenom potrebe za radnjama da se neusaglašenosti ne bi ponavljale;
d) određivanjem i primenom potrebnih korektivnih radnji;
e) beleženjem rezultata preduzetih radnji( videti 4.3.3) ;
f) pregledom preduzetih korektivnih radnji.
8.3 Preventivna radnja
Organizacija će odrediti aktivnost da ukloni uzrok mogućih neusaglašenosti sa zahtevima ISMS-a
da bi sprečila da do njih dođe. Preventivne radnje će biti adekvatne uticaju mogućih problema.
Dokumentovana procedura za preventivnu radnju će definisati zahteve za:
a) identifikovanjem neusaglašenosti i njihovih uzroka;
b) procenom potrebe za aktivnošću radi sprečavanja pojave neusaglašenosti;
c) određivanjem i primenom potrebnih preventivnih radnji;
d) beleženjem rezultata preduzetih radnji (videti 4.3.3);
e) pregledom preduzetih preventivnih radnji;
Organizacija će identifikovati promenjene rizike i identifikovati zahteve preventivnih radnji
obraćajući pažnju na značajno izmenjene rizike.
Prioritet preventivnih radnji će biti određen na osnovu razultata ocene rizika.
NAPOMENA: Radnja za sprečavanje neusaglašenosti je često mnogo isplativija nego korektivna radnja.
Prilog A
(propisan)
Ciljevi kontrolisanja i kontrolisanje
Ciljevi kontrole i kontrole navedeni u Tabel A.1 su direktno izvedeni iz i usklađeni sa onima koji su
navedeni u ISO/IEC 17799:2005 klauzule 5 do 15. Spiskovi u Tabeli A.1 nisu konačni i organizacija
će možda smatrati da su potrebni dodatni ciljevi kontrole i kontrole. Ciljevi kontrole iz ovih tabela će
biti odabrani kao deo ISMS procesa naznačenog u 4.2.1.
ISO/IEC 17799:2005 klauzule 5 do 15 daju savete u vezi primene i uputstva o najboljoj praksi kao
podršku kontrola naznačenih u A.5 do A.15.
Tabela A.1 – Ciljevi kontrolisanja i kontrolisanje
A.5 Politika sigurnosti
A.5.1 Politika informacione sigurnosti
Cilj : Usmeriti rukovodstvo i pružiti podršku u vezi informacione sigurnosti u skladu sa poslovnim
zahtevima i relevantnim zakonima i propisima.
Kontrola
Dokument o politici
Dokument o informacionoj sigurnosti će biti odobren od
A.5.1.1
informacione sigurnosti strane rukovodstva, i objavljen i saopšten svim
zaposlenima i relevantnim spoljnim učesnicima.
Kontrola
Politika informacione sigurnosti će biti pregledana u
Pregled politike
A.5.1.2
planiranim intervalima ili ako dođe do značajnih promena
informacione sigurnosti
da bi se obezbedila stalna prikladnost, adekvatnost i
efikasnost.
A.6 Organizacija informacione sigurnosti
A.6.1 Interna organizacija
Cilj : Da se upravlja informacionom sigurnošću u okviru organizacije.
Kontrola
Obaveza rukovodstva u Rukovodstvo će aktivno podržavati sigurnost u okviru
odnosu na
A.6.1.1
organizacije putem jasne usmerenosti, osvedočene
informacionu sigurnost posvećenosti, eksplicitnog zadatka, i prihvatanja
odgovornosti vezanih za informacionu sigurnost.
Kontrola
Aktivnosti vezane za informacionu sigurnost će biti
Koordinacija
A.6.1.2
koordinirane od strane predstavnika iz različitih delova
informacione sigurnosti
organizacije sa relevantnim ulogama i radnim
dužnostima.
A.6.1.3
Dodeljivanje
Kontrola
odgovornosti u vezi sa
Sve odgovornosti vezane za informacionu sigurnost biće
informacionom
jasno definisane.
sigurnošću
Kontrola
Proces davanja
Proces davanja ovlašćenja od strane rukovodstva za
ovlašćenja za opremu
A.6.1.4
novu opremu za obradu podataka biće definisan i
za obradu podataka
sproveden.
Kontrola
Zahtevi u pogledu sporazuma o poverljivosti ili o
Sporazumi o
A.6.1.5
neodavanju informacija koji odražavaju zahteve
poverljivosti
organizacije za zaštitom informacija će biti identifikovani i
redovno pregledani.
A.6.1.6
Kontakt sa vlastima
A.6.1.7
Kontakt sa posebnim
interesnim grupama
A.6.1.8
Nezavisan pregled
informacione sigurnosti
Kontrola
Biće održavani odgovarajući kontakti sa relevantnim
vlastima.
Kontrola
Biće održavani odgovarajući kontakti sa posebnim
interesnim grupama ili drugim specijalizovanim
sigurnosnim forumima i profesionalnim udruženjima.
Kontrola
Pristup organizacije upravljanju informacionom
sigurnošću i njenoj primeni (t.j. ciljevi kontrole, kontrola,
politika, procesi, i procedure vezane za informacionu
sigurnost) biće pregledani nezavisno u planiranim
intervalima, ili kada dođe do značajnih promena u
sprovođenju sigurnosti.
A.6.2 Spoljni učesnici
Cilj : Da se održi informaciona sigurnost organizacije i oprema za obradu podataka kojima se
pristupa, koji se prerađuju, prenose, ili kojima upravljaju spoljni učesnici.
Kontrola
Rizici koji su vezani za informacije organizacije i opremu
Identifikacija rizika
za obradu podataka i poslovnih procesa koji uključuju
vezanih za spoljne
A.6.2.1
spoljašnje učesnike biće identifikovani i odgovarajuće
učesnike
kontrole će biti sprovedene pre nego što se odobri
pristup.
Kontrola
Rešavanje sigurnost u
Rešavaće se svi identifikovani sigurnosni zahtevi pre
A.6.2.2
postupku sa
nego što se mušterijama odobri pristup informacijama ili
mušterijama
imovini organizacije.
Kontrola
Sporazumi sa trećim licima koji uključuju pristup, obradu,
Rešavanje sigurnosti u
prenošenje ili upravljanje informacijama organizacije ili
A.6.2.3
sporazumima sa trećim
opremom za obradu podataka, ili dodavanje proizvoda ili
licima
usluga opreme za obradu podataka biće pokriveni
relevantnim sigurnosnim zahtevima.
A.7 Upravljanje imovinom
A.7.1 Odgovornost za imovinu
Cilj : Da se postigne i održava odgovarajuća zaštita imovine organizacije.
Kontrola
A.7.1.1
Spisak imovine
Celokupna imovina biće jasno identifikovana i biće
sastavljen i čuvan spisak celokupne važne imovine.
Kontrola
Vlasništvo nad
Sve informacije i imovina u vezi sa opremom za obradu
A.7.1.2
imovinom
podataka biće “u vlasništvu” 3) naznačenog dela
organizacije.
Kontrola
Prihvatljivo korišćenje
Pravila o prihvatljivojm korišćenju informacija i imovine u
A.7.1.3
imovine
vezi sa opremom za obradu podataka biće identifikovana,
dokumentovana i primenjena.
A.7.2 Klasifikacija informacija
Cilj : Da se obezbedi da informacija ima odgovarajući nivo zaštite.
Kontrola
Smernice za
A.7.2.1
Informacije će biti klasifikovane u pogledu vrednosti,
klasifikaciju
pravnih zahteva, osetljivosti i važnosti za organizaciju.
Kontrola
Označavanje
Adekvatan skup procedura za označavanje informacija i
A.7.2.2
informacija i postupanje
postupanje sa njima biće napravljen i primenjen u skladu
sa informacijama
sa klasifikacionom šemom koju je usvojila organizacija.
A.8 Sigurnost ljudskih resursa
A.8.1 Pre stupanja u radni odnos 4)
Cilj : Da se obezbedi da zaposleni, ugovorne strane i treća lica razumeju svoje odgovornosti, i
da su pogodni za ulogu posao koji se razmatra, i da bi se smanjio rizik od krađe, prevare ili
zloupotrebe opreme za obradu podataka.
Kontrola
Uloge i odgovornosti zaposlenih, ugovornih lica i korisnika
A.8.1.1
Uloge i odgovornosti
trećih lica vezanih za sigurnost biće definisane i
dokumentovane u skladu sa informacionom sigurnosnom
politikom organizacije.
Kontrola
Provera svih kandidata za radni odnos, ugovarača, i
trećih lica obaviće se u skladu sa važećim zakonima,
A.8.1.2
Provera
propisima i etikom, i u skladu je sa poslovnim zahtevima,
klasifikacijom informacija kojima se pristupa, i uočenim
rizicima.
Kontrola
U sklopu sa svojim ugovornim obavezama, zaposleni,
Uslovi stupanja u radni ugovarači i treća lica će se složiti i potpisati uslove svog
A.8.1.3
odnos
ugovora za stupanje u radni odnos, koji će navesti
njihove odgovornosti i odgovornosti organizacije u vezi sa
informacionom sigurnošću.
A.8.2 Za vreme radnog odnosa
Cilj : Da se obezbedi da su svi zaposleni, ugovarači i treća lica svesni pretnji i briga vezanih za
informacionu sigurnost, svojih odgovornosti i da su opremljeni da podrže sigurnosnu politiku
organizacije tokom svog rada, i da umanje rizik od ljudske greške.
Kontrola
Odgovornosti
Rukovodstvo će zahtevati od zaposlenih, ugovarača i
A.8.2.1
trećih lica da primenjuju sigurnost u skladu sa utvrđenom
rukovodstva
politikom i procedurama organizacijama.
Kontrola
Svest o informacionoj Svi zaposleni u organizaciji i gde je relevantno, ugovarači
A.8.2.2
sigurnosti, obrazovanje i treća lica imaće adekvatnu obuku i redovno će biti
obaveštavani o ažuriranju politike i procedurama u
i obuka
organizaciji, koliko je relevantno za njihovo radno mesto.
Kontrola
A.8.2.3
Disciplinski postupak
Postojaće zvanični disciplinski postupak za zaposlene
koji su prekršili sigurnost.
A.8.3 Prestanak ili promena radnog odnosa
Cilj : Da se obezbedi da zaposleni, ugovarači i treća lica napuste organizaciju ili promene
zaposlenje na primeren način.
Kontrola
Odgovornosti
A.8.3.1
Odgovornosti u vezi prestanka radnog odnosa
ili
prestanka
promene radnog mesta biće jasno definisane i dodeljene.
___________________________________________________________-3) Objašnjenje: Izraz “ vlasnik” odnosi se na pojedinca ili lice koje ima odobrenu odgovornost upravljanja za
kontrolisanje proizvodnje, razvoja, održavanja, korišćenja i sigurnosti imovine. Izraz “ vlasnik” ne znači da
lice stvarno ima pravo svojine nad imovinom.
4) Objašnjenje: Reč” radni odnos” ovde pokriva sledeće različite situacije: radni odnos (na određeno ili
neodređeno vreme” , postavljenje na određena radna mesta, promena radnog mesta, dodela ugovora, i
prekid bilo kojih od ovih aranžmana.
A.8.3.2
Vraćanje imovine
A.8.3.3
Oduzimanje prava
pristupa
Kontrola
Svi zaposleni, ugovarači i treća lica vratiće svu imovinu
organizacije koju poseduju po prestanku radnog odnosa,
ugovora ili sporazuma.
Kontrola
Prava pristupa zaposlenih, ugovarača ili trećih lica opremi
za obradu podataka biće im oduzeta po prestanku radnog
odnosa, ugovora ili sporazuma, ili će se prilagoditi posle
promene.
A.9 Fizička sigurnost i sigurnost vezana za okruženje
A.9.1 Sigurna područja
Cilj : Da se spreči neovlašćen fizički pristup, šteta i mešanje u prostorije i informacije
organizacije.
Kontrola
Sigurnosne granice (pregrade kao što su zidovi, ulazne
Granica fizičke
A.9.1.1
kapije kontrolisane pomoću kartica ili recepcija sa
sigurnosti
osobljem) biće korišćene da se zaštite područja koja
sadrže informacije i opremu za obradu podataka.
Kontrola
Sigurna područja biće zaštićena odgovarajućim
A.9.1.2
Kontrole fizičkog ulaza
kontrolama ulaza da bi se osiguralo da samo ovlašćeni
personal ima pristup.
Obezbeđivanje
Kontrola
A.9.1.3
kancelarija, soba i
Fizička sigurnost za kancelarije, sobe i opremu biće
opreme
sastavljena i primenjena
Kontrola
Fizička zaštita od
oštećenja od vatre, poplave,
Zaštita od spoljašnjih
A.9.1.4
zemljotresa, ekplozije, građanskih nemira, ili bilo kojih
pretnji i pretnji iz
oblika prirodne ili veštačke katastrofe biće napravljena i
okruženja
upotrebljena.
Kontrola
Raditi u sigurnim
A.9.1.5
Fizička zaštita i smernice za rad u sigurnim područjima
područjima
biće napravljeni i upotrebljeni.
Kontrola
Mesta pristupa kao što su oblasti za isporuku i utovar i
Oblasti javnog pristupa, druge tačke gde neovlašćena lica mogu da uđu u
A.9.1.6
prostorije biće kontrolisana, i ako je moguće, izolovana
isporuke i utovara
od opreme za obradu podataka da bi se izbegao
neovlašćeni pristup.
A.9.2 Sigurnosna oprema
Cilj: Da se spreči gubitak, šteta, krađa ili kompromitovanje imovine i prekid aktivnosti
organizacije.
Kontrola
Postavljanje opreme i
Oprema će biti postavljena ili zaštićena tako da umanji
A.9.2.1
zaštita
rizike od pretnji i opasnosti iz okruženja, i prilika za
neovlašćen pristup.
Kontrola
A.9.2.2
Oprema za podršku
Oprema će biti zaštićena od nestanka struje i drugih
prekida prouzrokovanih kvarovima opreme za podršku.
Kontrola
Električni i telekomunikacijski kablovi koji prenose
A.9.2.3
Kablovska sigurnost
podatke ili podržavaju informacione usluge biće zaštićene
od ometanja i štete.
A.9.2.4
Održavanje opreme
A.9.2.5
Sigurnost opreme van
prostorija organizacije
A.9.2.6
Sigurno uklanjanje ili
ponovno korišćenje
opreme
A.9.2.7
Uklanjanje svojine
Kontrola
Oprema će biti korektno održavana da bi se obezbedila
neprekidna dostupnost i integritet.
Kontrola
Sigurnost će se primenjivati za opremu koja se nalazi van
prostorija organizacije vodeći računa o različitim rizicima
obavljanja posla izvan prostorija organizacije.
Kontrola
Svi delovi opreme koji sadrže medije za skladištenje
podataka(storage media) će se proveriti da bi se
obezbedilo da je osetljivi ili licenciran softver uklonjen ili
da je novi softver sigurno upisan preko njega pre
uklanjanja.
Kontrola
Oprema, informacije ili softver se neće iznositi iz
prostorija bez prethodnog ovlašćenja.
A.10 Upravljanje komunikacijama i radom
A.10.1 Operativne procedure i odgovornosti
Cilj: Objective: da se obezbedi korektan i siguran rad opreme za obradu podataka.
Kontrola
A.10.1.1
Dokumentovan rad
Procedure rada će biti dokumentovane, održavane i
dostupne svim korisnicima kojima su potrebne.
A.10.1.2
Promena u upravljanju
Kontrola
Promene u opremi i sistemima biće kontrolisane.
Kontrola
Dužnosti i oblasti odgovornosti će biti odvojene da bi se
A.10.1.3
Odvajanje dužnosti
umanjile prilike za neovlašćenuili nenamernu modifikaciju
ili zloupotrebu imovine organizacije.
Kontrola
Odvajanje opreme za
Oprema za razvoj, testiranje i rad će biti razdvojena da bi
A.10.1.4
razvoj, testiranje i rad
se umanjio rizik od neovlašćenog pristupa ili promene
operativnog sistema .
A.10.2 Upravljanje pružanjem usluga trećih lica
Cilj : Primeniti i održavati adekvatan nivo informacione sigurnosti i u skladu sa sporazumima sa
trećim licima o isporuci.
Kontrola
Biće osigurano da sigurnosne kontrole, definicije usluga i
nivoi isporuke uključeni u sporazum o pružanju usluga
A.10.2.1
Pružanje usluga
trećim licima budu primenjene, sprovođene i održavane
od strane trećih lica.
Kontrola
Nadzor i revizija
Usluge, izveštaji i evidencija koje obezbećuju treća lica
A.10.2.2
usluga trećih lica
biće redovno nadzirani i revidirani, i revizije će se
redovno obavljati.
Kontrola
Promene u obezbeđivanju usluga, uključujući održavanje
Promene u upravljanju i poboljšanje postojeće politike informacione sigurnosti,
A.10.2.3
uslugama trećih lica
procedura i kontrole biće vođene, uzimajući u obzir
kritičnost poslovnih sistema i procese uključene u
ponovno ocenjivanje rizika.
A.10.3 Planiranje i prijem sistema
Cil j: Da se umanji rizik od kvara sistema.
A.10.3.1
Upravljanje
kapacitetima
A.10.3.2
Prijem sistema
Kontrola
Korišćenje resursa će biti nadgledano, podešavano i
praviće se projekcije budućih zahteva kapacitiea da bi se
obezbedilo funkcionisanje zahtevanog sistema.
Kontrola
Kriterijumi za prijem novih informacionih sistema,
ažuriranje i nove verzije biće utvrđeni i sprovešće se
prikladni testovi sistema za vreme izrade i pre prijema.
A.10.4 Zaštita od zlonamernog i mobilnog koda
Cilj : Da se zaštiti integritet softvera i informacija.
Kontrola
Kontrole protiv
Kontrole detekcije, prevencije i povraćaja radi zaštite od
A.10.4.1
zlonamernog koda
zlonamernog koda i procedure odgovarajućeg korisnika
će biti primenjene.
Kontrola
Kada je dozvoljena upotreba mobilnog koda ,
Kontrole protiv
A.10.4.2
konfiguracija će obezbediti da se sprovodi korišćenje
mobilnog koda
mobilnog koda prema jasno definisanoj politici sigurnosti,
i neovlašćeni mobilni kod neće moći da se primenjuje.
A.10.5 Podrška(Back-up)
Cilj : Da bi se očuvao integritet i dostupnost informacija i opreme za obradu podataka.
Kontrola
Back-up kopije informacija i softvera će biti napravljene i
A.10.5.1
Informacioni back-up
testiraće se redovno u skladu sa dogovorenom politikom
backup-a.
A.10.6 Upravljenje sigurnosnom mrežom
Cilj : Da se obezbedi zaštita informacija u mrežama i zaštita prateće infrastrukture.
Kontrola
Mrežama će biti upravljano na adekvatan način i biće
A.10.6.1
Kontrole mreže
kontrolisane, da bi se zaštitile od pretnji, i da bi se održala
sigurnost sistema i aplikacija koje koriste mrežu,
uključujući tranzitne informacije.
Kontrola
Sigurnosne karakteristike, nivoi usluga, i zahtevi
upravljanja uslugama mreže će biti identifikovani i
A.10.6.2
Sigurnost usluga mreže
uključeni u sporazume o ulugama mreže, bilo da se
usluge pružaju u organizaciji ili za organizaciju van nje
od strane trećih lica.
A.10.7 Rukovanje medijima
Cilj : Da se spreči neovlašćeno otkrivanje, modifikacija, uklanjanje ili uništavanje imovine, i
prekid poslovnih aktivnosti.
A.10.7.1
Upravljanje medijima
za smeštanje podataka
A.10.7.2
Uklanjanje medija
A.10.7.3
Procedure za
postupanje sa
informacijama
A.10.7.4
Sigurnost
dokumentacije sistema
Kontrola
Postojaće procedure za upravljanje medijima.
Kontrola
Mediji će biti uklonjeni sigurno i bezbedno kada više nisu
potrebni, korišćenjem zvanične procedure.
Kontrola
Procedure za postupanje i čuvanje informacija će biti
utvrđene da bi se ove informacije zaštitile od
neovlašćenog otkrivanja ili zloupotrebe.
Kontrola
Dokumentacija sistema će biti zaštićena od neovlašćenog
pristupa.
A.10.8 Razmena informacija
Cilj : Da se sačuva sigurnost informacija i softvera koji se razmenjuje unutar organizacije i sa
spoljnim licem.
Kontrola
Politika i procedure
Postojaće zvanična politika razmene, procedure i kontrole
A.10.8.1
vezane za razmenu
da se zaštiti razmena informacija korišćenjem svih tipova
informacija
opreme za komunikaciju.
Kontrola
A.10.8.2
Sporazumi o razmeni
Biće utvrđeni sporazumi o razmeni informacija i softvera
između organizacije i spoljnih lica.
Kontrola
Mediji koji sadrže informacije biće zaštićeni od
A.10.8.3
Fizički mediji u tranzitu
neovlašćenog pristupa, zloupotrebe ili korupcije za vreme
transporta van fizičkih granica organizacije.
Kontrola
A.10.8.4
Elektronske poruke
Informacije sadržane u elektronskim porukama biće
zaštićene na odgovarajući način.
Kontrola
Poslovni informacioni
Biće utvrđena i primenjena politika i procedure za zaštitu
A.10.8.5
sistemi
informacije koje su u vezi sa interkonekcijom poslovnih
informacionih sistema.
A.10.9 Usluge elektronske trgovine
Cilj : Da se obezbedi sigurnost usluga elektronske trgovine i njihovo sigurno korišćenje.
Kontrola
Informacije vezane za elektronsku trgovinu koje idu
putem javnih mreža biće zaštićene od protivpravnih
A.10.9.1
Elektronska trgovina
aktivnosti, spora na osnovu ugovora, i neovlašćenog
otkrivanja i modifikacije.
Kontrola
Informacije sadržane u on-line transakcijama biće
A.10.9.2
On-line transakcije
zaštićene da bi se sprečilo nekompletno prenošenje,
pogrešno usmeravanje, neovlašćeno menjanje poruka,
neovlašćeno udvajanje ili ponovno puštanje poruka.
A.10.9.3
Informacije dostupne
javnosti
Kontrola
Integritet informacija koje su dostavljene javnosti biće
zaštićene da bi se sprečila neovlašćena modifikacija.
A.10.10 Nadzor
Cilj : Otkrivanje neovlašćene aktivnosti vezane za obradu podataka
Kontrola
Odit logovi(evidencija) koji beleže aktivnosti korisnika,
izuzetke, i događanja su vezi sa sigurnošću informacija
A.10.10.1 Odit loging
biće sastavljeni i vođeni tokom dogovorenog vremenskog
perioda da bi pomogli u budućim istragama i nadzoru
kontrole pristupa.
Kontrola
Korišćenje sistema
Procedure vezane za nadzor opreme za obradu podataka
A.10.10.2
biće utvrđene i rezultati nadzornih aktivnosti biće redovno
nadzora
revidirani.
Kontrola
Zaštita logovanih
A.10.10.3
Oprema za logovanje i logovani podaci biće zaštićeni od
informacija
neovlašćenog rukovanja i neovlašćenog pristupa.
A.10.10.4 Logovi administratora i Kontrola
operatera
Aktivnosti administratora i operatera biće logovane.
A.10.10.5
Kontrola
Logovanje grešaka
Greške će biti logovane, analizirane i biće preduzete
odgovarajuće aktivnosti.
A.10.10.6
Usaglašavanje
časovnika
Kontrola
Časovnici svih relevantnih sistema za obradu podataka
unutar organizacije ili domena sigurnosti biće usaglašeni
sa dogovorenim vremenskim izvorom.
A.11 Kontrola pristupa
A.11.1 Poslovni zahtevi kontrole pristupa
Cilj : Da kontroliše pristup informacijama
Kontrola
Politika kontrole
Politika kontrole pristupa će biti utvrđena,
A.11.1.1
pristupa
dokumentovana i revidirana na osnovu poslovnih i
sigurnosnih zahteva vezanih za pristup.
A.11.2 Upravljanje pristupom korisnika
Cilj : Da se obezbedi ovlašćeni pristup korisniku i da se spreči neovlašćen pristup informacionim
sistemima.
Kontrola
Postojaće zvanična procedura za registraciju korisnika i
A.11.2.1
Registracija korisnika
odjavu da bi se odobrio ili oduzeo pristup informacionim
sistemima i službama.
A.11.2.2
Upravljanje
privilegijama
A.11.2.3
Upravljanje lozinkom
korisnika
A.11.2.4
Revizija prava pristupa
korisnika
Kontrola
Davanje privilegija biće ograničeno i kontrolisano .
Kontrola
Dodela lozinki biće kontrolisana zvaničnim procesom
upravljanja.
Kontrola
Rukovodstvo će revidirati prava pristupa korisnika u
redovnim intervalima korišćenjem zvaničnog procesa.
A.11.3 Odgovornosti korisnika
Cilj : Da bi se sprečio neovlašćeni pristup korisnika, i kompromitovanje ili krađa informacija ili
opreme za obradu podataka.
Kontrola
A.11.3.1
Korišćenje lozinke
Od korisnika će biti zahtevano da se pridržavaju dobre
prakse u izboru i korišćenju lozinki.
Kontrola
A.11.3.2
Nečuvana oprema
Korisnici će se postarati za to da nečuvana oprema ima
odgovarajuću zaštitu.
Kontrola
Politika čistog stola i
Biće usvojena politika čistog stola za papire i pokretnih
A.11.3.3
praznog ekrana
medija za čuvanje podatake i politika praznog ekrana za
opremu za obradu podataka.
A.11.4 Kontrola pristupa mreži
Cilj : Da se spreči neovlašćeni pristup mrežnim servisima.
Kontrola
Politika o korišćenju
A.11.4.1
Korisnicima će biti omogućen pristup samo servisima za
mrežnih servisa
koje su dobili specijalno ovlašćenje za korišćenje.
Kontrola
Potvrda korisnika za
A.11.4.2
Odgovarajuće metode potvrde će se koristiti da se
spoljne konekcije
kontročiše pristup od strane udaljenih korisnika.
Oprema za
Kontrola
identifikaciju u
Automatska identifikacija opreme će biti sredstvo za
A.11.4.3
mrežama
potvrdu konekcija sa specifičnih lokacija i opreme.
A.11.4.4
Daljinska zaštita
konfiguracije portova
A.11.4.5
Segregacija(zaštita) na
mreži
A.11.4.6
Kontrola konekcije
mreže
A.11.4.7
Kontrola mrežnih
puteva
Kontrola
Fizički i logički pristup dijagnostičkim i konfigurativnim
portovima biće kontrolisan.
Kontrola
Grupe informacionih servisa, korisnici i informacioni
sistemi biće zaštićeni na mreži.
Kontrola
Za zajedničke mreže, naročito za one koje se prostiru van
granica organizacije, mogućnost korisnika da se
konektuju na mrežu će biti ograničena, u skladu sa
politikom kontrole pristupa i zahtevima poslovnih
aplikacija (videti 11.1).
Kontrola
Kontrole mrežnih puteva će se primenjivati za mreže da
bi se osiguralo da konekcije kompjutera i tok informacija
ne krše politiku kontrole pristupa poslovnim aplikacijama.
A.11.5 Kontrola pristupa operativnim sistemima
Cilj : Da se spreči neovlašćen pristup operativnim sistemima.
A.11.5.1
Sigurne procedure
logovanja
A.11.5.2
Identifikacija i potvrda
korisnika
A.11.5.3
Sistem upravljanja
lozinkom
A.11.5.4
Korišćenje pomoćnih
programa sistema
A.11.5.5
A.11.5.6
Vremenska kontrola
sesije
Ograničavanje
vremena konektovanja
Kontrola
Pristup operativnim sistemima biće kontrolisan sigurnom
procedurom logovanja.
Kontrola
Svi korisnici će imati jedinstvenu identifikaciju( korisnički
ID) samo za svoju ličnu upotrebu, i odgovarajuća tehnika
potvrde će biti izabrana da bi se dokazao identitet
korisnika.
Kontrola
Sistemi za upravljanje lozinkama će biti interaktivni i
obezbediće kvalitetne lozinke.
Kontrola
Korišćenje pomoćnih programa koji bi mogli da
prevaziđu kontrolu i primenu sistema biće ograničeno i
strogo kontrolisano.
Kontrola
Neaktivne sesije će se zatvoriti posle određenog perioda
neaktivnosti.
Kontrola
Ograničenja vremena konektovanja biće korišćena da bi
se obezbedila dodatna sigurnost za aplikacije visokog
rizika.
A.11.6 Kontrola primene i pristupa informacijama
Cilj : Da se spreči neovlašćen pristup informacijama koje se drže u aplikacionim sistemima.
Kontrola
Pristup informacijama i funkcijama aplikacionih sistemima
A.11.6.1
od strane korisnika i pomoćnog personala biće ograničen
u skladu sa definisanom politikom kontrole pristupa.
Kontrola
Izolacija osetljivih
A.11.6.2
Osetljivi sistemi će imati određeno( izolovano)
sistema
kompjutersko okruženje.
A.11.7 Bežični rad računara i rad na daljinu
Cilj : Da se osigura informaciona sigurnost kada se koriste bežični kompjuteri i oprema za rad na
daljinu.
Ograničenje pristupu
informacijama
Kontrola
Bežični rad računara i
Postojaće zvanična politika, i biće usvojene odgovarajuće
A.11.7.1
komunikacije
sigurnosne mere radi zaštite od korišćenja bežičnih
računara i opreme za komunikaciju.
Kontrola
A.11.7.2
Rad na daljinu
Politika, planovi rada i procedure biće sastavljeni i
primenjeni za rad na daljinu.
A.12 Nabavka, razvoj i održavanje informacionih sistema
A.12.1 Sigurnosni zahtevi informacionih sistema
Cilj : Da bi se obezbedilo da sigurnost bude deo informacionih sistema.
Kontrola
Analiza i specifikacija
Izjava o poslovnim zahtevima za novim informacionim
A.12.1.1
sigurnosnih zahteva
sistemima, ili unapređenje postojećih informacionih
sistema će naznačiti zahteve za kontrolu sigurnosti.
A.12.2 Korektna obrada u aplikacijama
Cilj : Da se spreče greške, neovlašćena modifikacija ili zloupotreba informacija u aplikacijama.
Kontrola
Potvrda ulaznih
A.12.2.1
Ulazni podaci za aplikacije biće potvrđeni da bi se
podataka
osiguralo da su podaci tačni i odgovarajući.
Kontrola
A.12.2.2
Kontrola interne obrade Provere će biti unete u aplikacije da bi se otkrila korupcija
podataka zbog grešaka u obradi ili namernih postupaka.
Kontrola
Biće identifikovani zahtevi za obezbeđenje autentičnosti i
A.12.2.3
Integritet poruke
zaštitu integriteta poruke, a odgovarajuća kontrola će biti
identifikovana i primenjena.
Kontrola
Potvrda izlaznih
Izlazni podaci iz aplikacije biće potvrđeni da bi se
A.12.2.4
podataka
osiguralo da je obrada čuvanih podataka tačna i da
odgovara okolnostima.
A.12.3 Kriptografske kontrole
Cilj : Da se zaštiti poverljivost, autentičnost ili inetgritet informacija kriptografskim sredstvima.
Kontrola
Politika korišćenja
A.12.3.1
Politika korišćenja kriptografskih kontrola radi zaštite
kriptografskih kontrola
informacija biće sastavljena i primenjena.
Kontrola
A.12.3.2
Najviše rukovodstvo
Najviše rukovodstvo će se koristiti da bi se podržalo
korišćenje kriptografskih tehnika organizacije.
A.12.4 Sigurnost sistemskih fajlova
Cilj : Da se obezbedi sigurnost sistemskih fajlova.
Kontrola
Kontrola operativnog
A.12.4.1
Postojaće procedure za kontrolu softvera na operativnim
softvera
sistemima.
A.12.4.2
Kontrola
Zaštita podataka za
Testirani podaci će biti pažljivo odabrani, zaštićeni i
testiranje sistema
kontrolisani.
A.12.4.3
Konizvornom kodu
Kontrola
programa
Pristup izvornom kodu programa biće ograničen.
A.12.5 Sigurnost u razvojnim i pratećim procesima
Cilj : Da se održi sigurnost aplikacionog sistema softvera i informacija.
A.12.5.1
Promena kontrolnih
procedura
Kontrola
Primena promena će biti kontrolisana korišćenjem
zvaničnih procedura promene kontrola.
A.12.5.2
Tehnička revizija
aplikacija posle
promena operativnih
sistema.
A.12.5.3
Ograničenja promena
softverskih paketa
A.12.5.4
A.12.5.5
Curenje informacija
Razvoj softvera van
organizacije
Kontrola
Kada se promene operativni sitemi, kritične poslovne
aplikacije će biti revidirane i testirane da bi se osiguralo
da nema štetnnog uticaja na rad organizacije ili sigurnost
Kontrola
Obeshrabriće se modifikacije softverskih paketa,
ograničiće se na neophodne promene i sve promene biće
strogo kontrolisane.
Kontrola
Biće sprečena mogućnost curenja informacija.
Kontrola
Outsourced Razvoj softvera van organizacije biće
nadgledan i nadziran od strane organizacije.
A.12.6 Upravljanje tehnički slabim tačkama
Cilj :Da bi se umanjio rizik od eksploatacije objavljenih tehnički slabih tačaka.
Kontrola
Dobiće se pravovremena informacija o tehničkim
Kontrola tehnički slabih nedostacima informacionih sistema, izloženost
A.12.6.1
organizacije tim slabim tačkama će biti procenjena, i
tačaka
preduzeće se odgovarajuće mere da bi se rešio rizik koji
je sa tim povezan.
A.13 Upravljanje incidentima vezanim za informacionu sigurnost
A.13.1 Izveštavanje o događanjima vezanim za informacionu sigurnost i slabostima
Cilj : Da se bezbedi obaveštavanje o događanjima i slabostima vezanim za informacione
sisteme na način koji će da pruži dovoljno vremena da se preduzme korektivna mera.
Izveštavanje o
Kontrola
događanjima vezanim
O događanjima vezanim za informacionu sigurnost će se
A.13.1.1
za informacionu
izvestiti putem odgovarajućih kanala upravljanja što je
sigurnost
moguće pre.
Kontrola
Od svih zaposlenih, ugovarača i trećih lica, korisnika
Izveštavanje o
informacionih sistema i servisa će se zahtevati da beleže
A.13.1.2
sigurnosnim slabostima
i izveštavaju ako primete ili posumnjaju na slabost
vezanu za sisteme i servise.
A.13.2 Upravljanje incidentima vezanih za informacionu sigurnost i poboljšanja
Cilj :Obezbediti da se primenjuje dosledan i efikasan pristup za upravljanje incidentima vezanih
za informacionu sigurnost.
Kontrola
Odgovornosti i
Utvrdiće se odgovornosti i procedure upravljanja da bi se
A.13.2.1
procedure
obezbedio brz, efikasan i primeren odgovor na incidente
vezane za informacionu sigurnost.
Kontrola
Iskustva dobijena iz
Postojaće mehanizmi za kvantifikovanje i nadziranje tipa,
A.13.2.2
incidenata vezanih za
obima i troškova incidenata vezanih za informacionu
informacionu sigurnost
sigurnost.
Kontrola
Kada prateća aktivnost protiv lica iil organizacije posle
incidenta vezanog za informacionu sigurnost uključuje
A.13.2.3
Prikupljanje dokaza
tužbu(građansku ili krivičnu), dokazi će se prikupiti,
sačuvati i prezentovati u skladu sa pravilima o dokazima
koji su izloženi u važećim zakonskim propisima.
A.14 Upravljanje kontinuitetom posla
A.14.1 Aspekti informacione sigurnosti upravljanja kontinuitetom posla
Cilj : Da se preduprede prekidi u poslovnim aktivnostima i da se zaštite kritični poslovni procesi
od uticaja većih kvarova informacionih sistema ili katastrofa i da se obezbedi njihovo
pravovremeno ponovno odvijanje.
Kontrola
Uključiti informacionu
Biće sastavljen i održavan vođen proces kojim se upravlja
sigurnost u proces
u cilju kontinuiteta posla u celoj organizaciji koji rešava
A.14.1.1
upravljanja
zahteve informacione sigurnosti koji su potrebni za
kontinuitetom posla
kontinuitet rada organizacije.
Kontrola
Događanja koja mogu da dovedu do prekida poslovnih
Kontinuitet posla i
A.14.1.2
procesa će biti identifikovana, zajedno sa verovatnoćom i
ocena rizika
uticajem koji takvi prekidi mogu da imaju i njihovim
posledicama po informacionu sigurnost.
Kontrola
Izrada i primena
Planovi će biti sastavljeni i primenjeni da se održi ili
planova kontinuiteta
A.14.1.3
ponovo otpočne sa radom i da se obezbedi dostupnost
koji uključuju
informacija na zahtevanom nivou i u zahtevano vreme po
informacionu sigurnost
prekidu, kvaru ili posle kritičnih poslovnih procesa.
Kontrola
Održavaće se planski okvir kontinuiteta posla da bi se
Planski okvir
A.14.1.4
obezbedilo da svi planovi budu dosledni, da na dosledan
kontinuiteta posla
način rešavaju zahteve informacione sigurnosti, i da
identifkuju prioritete kod testiranja i održavanja.
Testiranje, održavanje i Kontrola
ponovna ocena
Planovi kontinuiteta posla će biti redovno testirani i
A.14.1.5
planova kontinuiteta
ažurirani da bi se obezbedila njihova ažuriranost i
posla
efikasnost.
A.15 Poštovanje
A.15.1 Poštovanje pravnih zahteva
Cilj : Da bi se izbeglo kršenje zakona, statutarnih, regulatornih ili ugovornih obaveza i
sigurnosnih zahteva.
Kontrola
Svi važeći statutarni, regulatorni i ugovorni zahtevi i
Identifikacija važećih
A.15.1.1
pristup organizacije ka zadovoljenju tih zahteve biće
zakona
eksplicitno definisani, dokumentovani, i ažurirani za svaki
informacioni sistem i za organizaciju.
Kontrola
Sprovodiće se odgovarajuće procedure da bi se
Prava na intelektualnu
obezbedilo poštovanje zakonskih, regulatornih i
A.15.1.2
svojinu (IPR)
ugovornih zahteva o korišćenju materijala u vezi kojih
mogu da postoje prava na intelektualnu svojinu i prava na
vlasništvo nad softverskim proizvodima.
Kontrola
Zaštita evidencije
Važna evidencija će biti zaštićena od gubitka, uništenja i
A.15.1.3
organizacije
falsifikovanja, u skladu sa statutarnim,
regulatornim,ugovornim i poslovnim zahtevima.
Kontrola
Zaštita podataka i
Osiguraće se zaštita podataka i privatnosti kako se
A.15.1.4
privatnosti ličnih
zahteva po važećim zakonima, propisima i ako je
informacija
primenljivo, klauzulama ugovora.
Sprečavanje
Kontrola
A.15.1.5
zloupotrebe opreme za Korisnici će biti odvraćani od korišćenja opreme za
obradu podataka u nedozvoljene svrhe.
obradu podataka
Kontrola
A.15.1.6
Kriptografske kontrole će se koristiti u skladu sa svim
relevantnim sporazumima, zakonima i propisima.
A.15.2 Poštovanje sigurnosne politike i standarda i tehnička usaglašenost
Cilj : Da se obezbedi usaglašavanje sistema sa sigurnosnom politikom i standardima
organizacije.
Kontrola
Menadžeri će obezbediti da se sve sigurnosne procedure
Usaglašenost sa
A.15.2.1
sigurnosnom politikom i u oblasti za koju su oni odgovorni izvršavaju korektno da
bi se postigla usaglašenost sa sigurnosnom politikom i
standardima
standardima.
Kontrola
Provera tehničke
A.15.2.2
Informacioni sistemi će biti redovno proveravani zbog
usaglašenosti
usaglašenosti sa standardima za sprovođenje sigurnosti.
Regulisanje
kriptografskih kontrola
A.15.3 Značaj revizije informacionih sistema
Cilj : Da se poveća efikasnost i smanji mešanje u procese revizije imformacionih sistema.
A.15.3.1
A.15.3.2
Kontrola
Zahtevi revizije i aktivnosti koje uključuju provere
operativnih sistema biće pažljivo pripremani i dogovoreni
da se smanji rizik od prekida poslovnog procesa.
Kontrola
Zaštita revizorkog alata Pristup revizorskom alatu informacionih sistema biće
zaštićen da bi se sprečila moguća zloupotreba ili
informacionih sistema
kompromitovanje.
Kontrole revizije
informacionih sistema
Prilog B
(informativan)
OECD principi i ovaj međunarodni standard
Principi izloženi u OECD Smernicama za sigurnost informacionih sistema i mreža odnose se na
celokupnu politiku i operacionalne nivoe, koji rukovode sigurnošću informacionih sistema i mreža.
Ovaj međunarodni standard pruža okvir sistema upravljanja informacionom sigurnošću za primenu
nekih od principa OECD-a korišćenjem PDCA modela i procesa opisanih u klauzulama 4, 5, 6 and
8, kao što je naznačeno u tabeli B.1.
Tabela B.1 — OECD principi i PDCA model
OECD princip
Odgovarajući ISMS proces i PDCA faza
Svest
Ova aktivnost je deo Do faze (videti 4.2.2 i
5.2.2).
Učesnici treba da budu svesni potrebe za
sigurnošću informacionih sistema i mreža i šta
oni mogu da urade da poboljšaju sigurnost.
Odgovornost
Svi učesnici su odgovorni za sigurnost
informacionih sistema i mreža.
Reagovanje
Učesnici treba da pravovremeno deluju i da
sarađuju da bi sprečili, otkrili i reagovali na
incidente vezane za sigurnost.
Ocena rizika
Učesnici treba da sprovedu ocenu rizika.
Pravljenje i primena sigurnosti
Učesnici treba da uključe sigurnost kao važan
elemenat informacionih sistema i mreža.
Upravljanje sigurnošću
Učesnici treba da usvoje sveobuhvatan pristup
upravljanju sigurnošću.
Ponovna procena
Učsnici treba da pregledaju i ponovno ocene
sigurnost informacionih sistema i mreža, i da
obave odgovarajuće modifikacije u vezi
sigurnosne politike, prakse, mera i procedura.
Ova aktivnost je deo Do faze (videti 4.2.2 i
5.1).
Ovo je deo nadzorne aktivnosti. Proveriti
Check fazu (videti 4.2.3 i 6 do 7.3) i aktivnost
kojom se reaguje faza Deluj (videti 4.2.4 i 8.1
do 8.3). Ovo takođe može biti pokriveno nekim
aspektima faza Planiraj i Proveri.
Ova aktivnost je deo faze Planiraj (videti
4.2.1) i ponovna ocena rizika je deo faze
Proveri (videti 4.2.3 i 6 do 7.3).
Jednom kada se obavi ocena rizika, biraju se
kontrole za obradu rizika kao dela faze
Planiraj videti 4.2.1). Faza Uradi (videti
4.2.2 i 5.2) onda pokriva primenu i korišćenje
ovih kontrola.
Upravljanje rizikom je proces koji uključuje
sprečavanje, otkrivanje, i reagovanje na
incidente, tekuće održavanje, pregled i
reviziju. Svi ovi aspekti su obuhvaćeni fazama
Planiraj, Uradi, Proveri i Deluj.
Ponovna ocena informacione sigurnosti je deo
faze Proveri ( videti 4.2.3 i 6 do 7.3) gde
treba sprovoditi redovne revizije da bi se
proverila efikasnost sistema upravljanja
informacionom sigurnošću, i poboljšanje
sigurnosti je deo faze Deluj (videti 4.2.4 i 8.1
do 8.3).
Prilog C
(informativan)
Podudaranje ISO 9001:2000, ISO 14001:2004 i ovog međunarodnog standarda
Tabela C.1 pokazuje podudaranje ISO 9001:2000, ISO 14001:2004 i ovog međunarodnog
standarda.
Tabela C.1 — Podudarnost ISO 9001:2000, ISO 14001:2004 i ovog međunarodnog
standarda
Ovaj međunarodni standard
ISO 9001:2000
ISO 14001:2004
1 Obim
1.1 Opšte
1.2 Primena
2 Propisane reference
0 Uvod
0.1 Opšte odredbe
0.2 Procesni pristup
0.3 Odnos sa ISO 9004
0.4 Kompatibilnost sa drugim
sistemima upravljanja
1 Obim
1.1 Opšte
1.2 Primena
2 Propisane reference
3 Termini i definicije
3 Termini i definicije
3 Termini i definicije
4 Sistem upravljanja
informacionom sigurnošću
4 Sistem upravljanja
kvalitetom
4 EMS zahtevi
4.1 Opšti zahtevi
4.2 Utvrđivanje i upravljanje
ISMS-om
4.1 Opšti zahtevi
4.1 Opšti zahtevi
0 Uvod
0.1 Opšte odredbe
0.2 Procesni pristup
0.3 Kompatibilnost sa drugim
sistemima upravljanja
Uvod
1 Obim
2 Propisane reference
4.2.1 Utvrditi ISMS
4.2.2 Primeniti i rukovati
ISMS-om
4.2.3 Nadzirati i revidirati
ISMS
4.4 Primena rukovanje
8.2.3 Nadzor i merenje
procesa
8.2.4 Nadzor i merenje
proizvoda
4.5.1 Nadzor i merenje
4.2.4 Održavati i poboljšati
ISMS
4.3 Zahtevi dokumentacije
4.2Zahtevi dokumentacije
4.3.1 Opšti
4.3.2 Kontrola dokumenata
4.3.3 Kontrola evidencije
5 Odgovornost
menadžmenta
4.2.1 Opšti
4.2.2 Priručnik o kvalitetu
4.2.3 Kontrola dokumenata
4.2.4 Kontrola evidencije
5 Odgovornost
menadžmenta
5.1 Obaveza menadžmenta
5.1 Obaveza menadžmenta
4.4.5 Kontrola dokumentacije
4.5.4 Kontrola evidencije
5.2 Fokus na mušteriji
5.3 Politika kvaliteta
5.4 Planiranje
4.2 Politika vezana za
okruženje
4.3 Planiranje
5.5 Odgovornost, autoritet i
komunikacija
5.2 Upravljanje resursima
6 Upravljanje resursima
5.2.1 Obezbeđivanje resursa
6.1 Obezbeđivanje resursa
6.2 Ljudski resursi
5.2.2 Obuka, svest i stručnost
6.2.2 Stručnost, svest i obuka
4.4.2 Stručnost, obuka, svest
6.3 Infrastruktura
6.4 Radno okruženje
6 Interne ISMS revizije
8.2.2 Interna revizija
4.5.5 Interna revizija
7 Pregled upravljanja ISMS
7.1 Opšti podaci
7.2 Ulaz za pregled
7.3 Izlaz za pregled
5.6 Pregled upravljanja
5.6.1 Opšti podaci
5.6.2 Ulaz za pregled
5.6.3 Izlaz za pregled
4.6 Pregled upravljanja
8 Poboljšanje ISMS-a
8.5 Poboljšanje
8.1 Stalno poboljšanje
8.5.1 Stalno poboljšanje
8.2 Korektivna radnja
8.5.2 Korektivne radnje
8.3 Preventiva radnja
8.5.3 Preventivne radnje
Prilog A Kontrolni ciljevi i
kontrole
Prilog B OECD principi i
ovaj međunarodni standard
Prilog C Podudarnost ISO
9001:2000, ISO14001:2004 i
ovog međunarodnog
standarda
4.5.3 Neusaglašenost,
korektivna i preventivna radnja
Prilog A Pomoć pri
upotrebi ovog
međunarodnog standarda
Prilog A Podudarnost ISO
9001:2000 i ISO 14001:1996
Prilog B Podudarnost ISO
14001:2004 i ISO 9001:2000
Download
advertisement