ISO/IEC 27001 (ISMS)

Sistem menadžmenta bezbednošću informacija

Britanski institut za standardizaciju (BSI) je početkom devedesetih godina, postavio osnove za razvoj standarda za zaštitu informacija. Razvoj ovog standarda je značajno podstaknut sve izraženijim zahtevima organizacija u svetu, u pravcu bezbednosti informacija. Inicijalna verzija teksta standarda za sistem upravljanja bezbednošću informacija BS 7799 se usvaja 1995. godine, a svoju prvu zvaničnu reviziju doživljava 1998. godine. Veoma brzo, prateći izrazito brz razvoj Internet-a i brzih računarskih mreža BSI objavljuje i drugi deo standarda BS 7799. Međunarodna organizacija za standardizaciju ISO prihvata ove standarde pod svoje okrilje i oni konačno u junu 2005. godine objavljuju drugu verziju standarda pod nazivom ISO 17799 Informacione tehnologije – bezbednost tehnike – Načela upravljanja bezbednošću informacija. U oktobru 2005. godine objavljuju standard ISO 27001 pod nazivom Informacione tehnologije – Sistem menadžmenta bezbednošću informacija – Zahtevi (ISMSInformation Security Management System).

Cilj standarda ISO 27001 je obezbeđenje poverljivosti, integriteta i dostupnosti informacija zainteresovanim, ovlašćenim stranama, kroz postavljanje adekvatnih mehanizama zaštite informacija. Nezaštićeni informacioni sistemi su podložni različitim vrstama pretnji, kao što su računarski potpomognute prevare, sabotaže i virusi. Pretnje mogu biti interne ili eksterne, slučajne ili zlonamerne. Povreda informacione bezbednosti može dovesti do neovlašćenog pristupa, krađe, oštećenja ili gubitka značajnih informacija. Implementacija sistema zaštite i bezbedosti informacija pruža uverenje klijentima i poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i distribuiraju profesionalno i sigurno.

Standard ISO 27001 je kompatibilan sa standardom ISO 9001 i po ovom modelu se posle ispunjenja u njemu definisanih zahteva može sprovesti sertifikacija sistema od strane ovlašćenih sertifikacionih tela.


Postali smo svedoci da je krajem dvadesetog veka na svetsku poslovnu scenu poseban trag ostavio nagli razvoj informacionih tehnologija, čime je industrijalistički period razvijanja mašina i tehnologija zamenjen periodom informacija i globalnih sistema. Već početkom trećeg milenijuma , informacione tehnologije imaju toliku rasprostranjenost da se u velikom delu ekonomski razvijenog sveta, savremena informaciona rešenja koriste bukvalno na svakom koraku. To je dovelo do otvaranja novog perioda koga nazivamo „vek znanja“. Znanje proizilazi iz informacije na šta ukazuje i definicija znanja kao „obim informacija, opažanja ili razumevanja koje poseduje neka ličnost“. Takođe je prihvatljiva definicija znanja sa stanovišta obrade znanja i to je da je znanje „formalizovana informacija,na koju se poziva ili koja se koristi u procesu zaključivanja“. Ili je ipak najprikladnija definicija znanja: „znanje su podaci plus „znanje“ o značenju tih podataka“, odnosno znanje je uvek povezano sa procedurama korišćenja tog znanja. Sa druge strane, u literaturi je najčešće isticana i sa stanovišta sistema najprihvatljivija i definicija informacije u kojoj se navodi da je „informacija mera organizacije isto kao što je entropija mera dezorganizacije“.

Imajući ovo u vidu može se jasno istaći značaj bezbednosti informacija, jer je to bezbednost, odnosno čuvanje znanja kao suštinskog resursa za današnje poslovne sisteme. U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac, opstanak i prestiž na tržištu. U pravcu obezbeđenja, odnosno ostvarenja bezbednosti organizacionog znanja ili informacija usvojen je standard ISO 27001 u kojem su specificirani zahtevi koje organizacija treba da poštuje da bi ostvarila sistem za zaštitu informacija.

ISO 27001 nudi:

  • konkurentska prednost;
  • smanjenje rizika od oštećenja i gubitka informacija, a samim tim i troškova;
  • usaglašenost sa važećim zakonskim propisima;
  • veće poverenje klijenata, zaposlenih, saradnika, institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni;
  • postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u organizaciji.

Značajne su koristi koje model ISO 27001 za uređenje Sistema menadžmenta bezbednošću informacija ostvaruje organizacijama koje se odluče da ga implementiraju, pre svega u smislu poboljšavanja svojih organizacionih performansi. Izvesno je da ovaj model predstavlja najbolju praksu u oblasti zaštite i bezbednosti informacija koja je pretočena u zahteve standarda. Primenom ISO 27001 standarda i sertifikacijom takvog sistema, organizacije ostvaruju brojne dobiti.