Šta je novo?

ISO 27001 - Sistem menadžmenta bezbednošću informacija

retrospektiva

Poštovan
Učlanjen(a)
02.04.2014
Poruke
398
Poena
80
Koliko je komplikovano urediti poslovni sistem prema zahtevima standarda ISO 27001?

Da li je za uspesno ispunjavanje zahteva neophodno investirati u odgovarajuca hardverska resenja da bi se minimizirao rizik od potencijalnih zloupotreba/gubitaka podataka?
 
Ima dva puta. Ako ćete stvarno da uvodite kako treba jeste komplikovano što da nije, dug je to i ozbiljan proces, e a ima i onaj drugi put gde gomila naših firmi tu malo podmažeš tamo, podmažeš vamo i eto setifikata.
 
Mene ne zanima sam sertifikat po sebi. Ja licno smatram da ako ne postoji izricit zahtev za sertifikacijom (ukoliko nisi banka, osiguravajuce drustvo, bolnica, provajder cloud usluga...) onda nije neophodno ni imati sertifikat, ali nije lose urediti svoje poslovanje u skladu sa zahtevima standarda.

Recimo da kompanija zeli da ispuni zahteve koje ISO 27001 zahteva, ali da joj sam papir i formalna sertifikacija nije cilj.
 
Hm, cudno da mi je promakla ova tema.

Moje dvogodisnje iskustvo sa uvodjenjem ISO27001 kaze sledece:

1. Nije komplikovano ali je tesko. Nekima je i tesko i komplikovano. Zavisi od uredjenosti sistema u okviru organizacije i spremnosti ljudstva da definise pravila, da ih sprovodi i usavrsava.

2. Ne. Ali jeste potrebno prilagoditi postojece sisteme definisanim procedurama.


Sertifikat ti moze zatrebati i ako razvijas softver za sertifikovanog poslodavca ili outsourcujes usluge.
 
Na dva posla sam uvodio,nije nista strasno,sve sto bi normalnom logikom primenio na svoj informacioni sistem.
 
I ne samo informacioni sistem. Jer ISO27001 se moze primeniti i na firmu koja sve resava papirima, tesko da takva postoji ali sustina je u sigurnim informacijama - ne u njihovom obliku.

(dopunjujem napisano, ne namecem novi smisao)
:)
 
Mi sad krećemo, u firmi sve 9001, 20000, i 27001, što bi rekli nek mi je sa srećom :)
 
E vala nek' je sa srecom :D
 
Sa srećom :)

Predlažem da prvo prilagodite interna pravila za ISO 9001, pa da primenite iskustvo i na 27001.

Kod mene u firmi jednom godišnje organizujemo interne provere za 9001 i 27001, nije loše da se vidi da li treba neka pravila promeniti.
 
Mi ustvari radimo roll out 9001, i 27001 iz matične kompanije gde se to primenjuje godinama, sad neki deo procedura nam je isti, neki nije pa polako. Svakako mukotrpan posao, ali ajde dobro je to imati po mom mišljenju prvo zbog internih procedura, drugo jer je danas potrebno za konkurisanje na iole ozbiljnijem poslu. I kad ga već uvodite, uvodite ga kako treba, javna je tajna da gomila preduzeća iskešira šta treba a realno o poštovanju procedura nema govora. Tu su već krive i sertifikacione kuće, nama radi Lloyd LRQA tako da nema zezanja kako sam čuo...
 
Svakako mukotrpan posao, ali ajde dobro je to imati po mom mišljenju prvo zbog internih procedura, drugo jer je danas potrebno za konkurisanje na iole ozbiljnijem poslu.

Meni je čudno da se u okviru nekih konkursa zahteva 9001. U redu mi je za 27001, kada je u pitanju neka kompanija koja ima pristup poverljivim informacijama klijenata, ali 9001 mi deluje kako potpuno drugačija priča. Firma može da ima odlično uređene procese (što se pokazuje u praksi) bez obzira što ne poseduje nekakav papir.
 
To je tačno, ali se papir traži i to je to. Najčešće u Srbiji svi ti ISO standardi koji se traže javnom nabavkom isključivo se traže da bi smanjio konkurenciju i firmi sa kojom si dogovorio posao praktično olakšao da dobije. Mi smo u međuvremenu uveli 9001, i meni to iskreno prilično deluje besmisleno. Manje više tvoje je da opišeš procese i da se držiš toga što si napisao, samo da ne napišeš nešto što ne radiš :) ISO27001 sad krećemo, mada ja neću biti tu kad se to završi, ali deluje kao ozbiljnija priča sa ozbiljnijim zahtevima. Prvi korak koji se sad bavimo je popis IT imovine, zapravo svega onoga što može biti sigurnosna "rupa" (gde spadaju i sami zaposleni)...
 
Ima li negde u tom standardu 27.001 da se spominje korišćenje resursa van roka trajanja? Tipa da u cilju očuvanja poverljivih podataka kritični uređaji (diskovi sa podacima) moraju da se menjaju neposredno pre ili odmah po isteku garantnog roka?
 
Poslednja izmena:
Nema, to je na tebi da definises. Napravis proceduru (politiku) za cuvanje podataka, procenis rizik otkaza kada se koriste diskovi posle isteka garantnog roka, definises korake u slucaju da otkaze disk.

Mnoge vece firme se odlucuju na 3 god EOL period za HW jer mogu finansijski to da podnesu. Standard te nece ugusiti da radis kao banka kada to nisi.
 
Nazad
Vrh Dno