Struktura ISO 27001

Struktura ISO 27001 koncipirana je kroz pet poglavlja standarda, i to:

1. Poglavlje 4: Sistem menadžmenta bezbednošću informacija (ISMS)
2. Poglavlje 5: Odgovornost rukovodstva
3. Poglavlje 6: Interna provera ISMS
4. Poglavlje 7: Preispitivanje ISMS od strane rukovodstva i
5. Poglavlje 8: Unapređenje ISMS.

Struktura ISO 27001 je sveobuhvatna jer tretira bezbednost informacija sa tri aspekta:

  • Informatičkog – analizirajući i definišući performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po bezbednost podataka i informacija
  • Administrativnog – definišući jasna uputstva, politike i procedure za generisanje informacija, njihovu distribuciju, čuvanje (skladištenje)
  • Fizičku – fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija


Osnovni pojmovi vezani za sistem bezbednosti informacija dati su u tački 3. standarda ISO 27001. Evidentno je da se tokom razvoja ovog standarda težilo ka njegovoj kompatibilnosti sa standardom ISO 9001. U tom pravcu, u ovom standardu je jasno istaknut i model standarda kroz P-D-C-A ciklus stalnog unapređenja.


Politika sistema menadžmenta bezbednošću informacija (ISMS), zajedno sa ciljevima sistema menadžmenta ISMS i definisanim merama na unapređenju sistema u pogledu poboljšanja bezbednosti informacija, čine „Plan-Planiraj“ deo sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001. Na osnovu iskazanih zahteva korisnika i kroz uspostavljanje politike ISMS-a, organizacija ulazi u fazu uspostavljanja odnosno planiranja sistema menadžmenta bezbednošću informacija. U ovoj fazi se sprovode i aktivnosti na definisanju kriterijuma za ocenu rizika, definiše se prilaz i metodologija za ocenu rizika, definišu se nivoi prihvatljivosti rizika i dr.

Druga faza je sprovođenje planiranog, odnosno primena prethodno odabranih upravljačkih mehanizama i ciljeva, izrada, uvođenje i primena plana snižavanja rizika, obuka za ostvarivanje svesti o primeni ISMS, upravljanje resursima ISMS i dr. Struktura i odgovornosti, obuka, kompetentnost i svest, dokumentacija i kontrola dokumenata, kontrola nad operacijama i spremnost na reagovanje u vanrednim situacijama i odgovor na njih čine „Do-Uradi“ deo sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001.

Treća faza je preispitivanje ISMS-a na osnovu definisanih procedura za preispitivanje, merenje efektivnosti upravljačkih mehanizama, sprovođenje internih provera, ažuriranje planova za snižavanje rizika i dr. Deo „Check-Proveravanje“ sistema menadžmenta za bezbednost informacija prema zahtevima standarda ISO 27001 se sastoji od praćenja i merenja, vrednovanja usaglašenosti, korektivnih i preventivnih akcija, upravljanja zapisima i internih provera sistema.

I na kraju, „Act-Deluj“ deo Sistema menadžmenta bezbednošću informacija, prema zahtevima standarda ISO 27001, se ostvaruje kroz preispitivanje od strane rukovodstva koje zaokružuje ceo ciklus performansi sistema menadžmenta i vraća ga na planiranje koje treba da rezultuje kontinualnim poboljšanjem. Kao završna faza u ovom kontinualnom ciklusu poboljšavanja egzistira faza održavanja i poboljšavanja ISMS-a koja se sprovodi kroz uvođenje poboljšavanja, preuzimanje korektivnih i definisanju preventivnih mera, provera dali su sprovedena poboljšavanja održiva i dr.

ISMS pokriva sledeća područja:

  • Analiza i upravljanje rizikom;
  • Politika bezbednosti;
  • Bezbednost organizacije;
  • Klasifikacija i upravljanje imovinom;
  • Politika bezbednosti u upravljanju ljudskim resursima;
  • Fizička i informatička bezbednost imovine i okruženja organizacije;
  • Upravljanje komunikacijama i operativom;
  • Kontrola pristupa;
  • Razvoj i održavanje ISMS-a;
  • Upravljanje incidentima;
  • Upravljanje kontinuitetom poslovanja kroz poboljšanja;
  • Usaglašenost sa zakonskim propisima.