Šta je ISO/IEC 27001

ISO/IEC 27001 u punom nazivu, Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbjednošću informacija – Zahtjevi (eng. Information technology – Security techniques – Information security management systems – Requirements) je međunarodni standard koji daje zahtjeve za ISMS – Sisteme upravljanja bezbjednošću informacija.

Ovaj standard je objavljen od strane Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) pod zajedničim nazivom ISO/IEC 27001:2013 i opisuje kako upravljati bezbjednošću informacija u organizacijama.

On predstavlja specifikacije za sistem za upravljanje sigurnošću informacija (ISMS). Organizacije koje ispunjavaju standard mogu biti certifikvane od strane nezavisnog i akreditovane certifikacionog tijela uz uspešan završetak procesa formalne revizije i ispunjenosti uslova. 

Namjena

Standardi serije ISO 14001 imaju za cilj da podrže zaštitu životne sredine i da spriječe zagađivanja, a zasnovani su na sljedećim principima:
● Sistem zaštite životne sredine (EMS) treba da dovede do poboljšanja učinka zaštite životne sredine
● Poboljšanje treba da bude stalno
● Kada prvi put uspostavlja sistem zaštite životne sredine, organizacija treba da počne od onoga šta je očigledna korist, a to je usaglašenost sa zakonom
● Kada EMS dobije svoj oblik, mogu se primjeniti postupci za njegovo dalje poboljšavanje
● Integrisanje EMS sa ostalim sistemima upravljanja može dovesti do veće efikasnosti cjelokupnog sistema
● Sistem upravljanja kvalitetom se zasniva na mehanizmu stalnog poboljšavanja, koji je poznat kao Demingov krug ili ciklus stalnog poboljšavanja, kao i kod ISO 9001.

Serija ISO 14000 se sastoji iz dva standarda:
● ISO 14001 – Sistemi upravljanja zaštitom životne sredine – Zahtjevi, i
● ISO 14004 – EMS, Opšte smjernice o principima, sistemima i tehnikama podrške.

Svrha ova dva standarda je:
● ISO 14001, ocjenjivanje menadžmenta sistema, i
● ISO 14004, smjernice za primenu zahteva standarda.

ISO 14004 je sličan po sadržaju sa ISO 14001, ali su svakom poglavlju pridodate smjernice i ilustracije kako bi se olakšala primjena ISO 14001.

Benefiti implementacije

Uvođenje sistema upravljanja bezbjednošću informacija uz ispunjavanje zahtjeva standarda ISO/IEC 27001:2013 donijeće brojne koristi organizaciji: certifikat koji je najbolji dokaz da je ISMS usaglašen sa ovim međunarodnim standardom, dokaz da je ISMS usaglašen sa najboljom međunarodnom praksom u oblasti bezbjednosti informacija,  usaglašenost sa zakonodavstvom, sistemsku zaštitu u oblasti informacione bezbjednosti, smanjenje rizika od gubitka informacija (smanjenje rizika od povećanih troškova), odgovornost svih zaposlenih u organizaciji za bezbjednost informacija, povećan ugled i povjerenje kod zaposlenih, klijenata i poslovnih partnera, bolju marketinšku poziciju na tržištu, konkurentnost, a time veće ekonomske mogućnosti i finansijsku dobit.

Globalni razlozi implementacije

Osnovni razlozi koji dovode do izražene potrebe za uvođenjem sistema zaštite životne sredine ISO 14001 su:
● neprestano zagađivanje životne sredine,
● strah od potpunog iscrpljenja prirodnih resursa,
● nedostatak organizovanog i sistematskog praćenja posledica zagađenja,
● povećana zainteresovanost javnog mnjenja za očuvanjem životne sredine,
● zakonska rešenja,
● posebni uslovi rada u ugroženim oblastima.

Fazni proces implementacije

Pripremne aktivnosti – Upoznavanje rukovodstva preduzeća sa zahtjevima standarda ISO 14001, ciljevima i očekivanim efektima projekta, kao i sa prijedlogom programa uspostavljanja sistema. Neophodno je izvršiti analizu postojećeg stanja u preduzeću što obuhvata: organizacionu strukturu, sistematizaciju radnih mjesta, internu i eksternu dokumentaciju, analize procesa, aktivnosti realizacije, način rada upravljanja, imenovanje predstavnika rukovodstva za EMS.

Identifikacija poslovanja je sljedeći korak kada konsultanti zajedno sa Upravom preduzeća ili predstavnikom rukovodstva za EMS definišu i klasifikuju poslovanja preduzeća na osnovu analize postojećeg stanja.

Definisanje osnovnih zahtjeva EMS predstavlja veoma važan korak kako bi se omogućilo da konsultanti zajedno sa predstavnikom rukovodstva za EMS definišu: misiju – viziju preduzeća i politiku kvaliteta preduzeća. Definisanje procesa podrazumjeva da konsultanti zajedno sa predstavnikom rukovodstva za EMS vrše identifikaciju, popis, klasifikaciju, označavanje i međusobne veze procesa. Ukoliko neki procesi nisu definisani, u ovoj fazi se vrši popis istih i daje predlog rešenja.

Sistem upravljanja zaštitom životne sredine mora biti dokumentovan što podrazumjeva izradu svih neophodnih i standardom propisanih dokumenata sistema EMS-a. U skladu sa rezultatima prethodno obavljenih aktivnosti, odnosno usvojenim programom definišu se, izrađuju i usvajaju odgovarajući dokumenti EMS-a:

  • Poslovnik – opisuje kako organizacija zadovoljava zahtjeve ISO 14001,
  • Procedure – opisuju metod putem kojih se upravlja procesima,
  • Radne instrukcije – opisuju kako se obavljaju individualni zadaci i aktivnosti.

Implementacija EMS-a podrazumjeva da se usvojena rješenja i dokumenta EMS-a prezentuju zaposlenima, u obliku obuka i prezentacija koje su neophodne za funkcionisanje i razumjevanje ISO 14001. U okviru realizacije definisanih aktivnosti, s obzirom na niz radnji, posebna pažnja se posvećuje: upravljanju dokumentima, odgovornostima rukovodstva, definisanju ciljeva, sprovođenju obuke, upravljanju resursima (zaposleni, infrastruktura, radna sredina), sprovođenju prodaje, mjerenju i analizi i poboljšanju.

Interna provjera se vrši sa ciljem da se provjeri stanje poslovnog sistema u skladu sa zahtjevima standarda. Osposobljeni provjerivači EMS-a iz poslovnog sistema, obavljaju jednu ili više internih provera sistema kako bi se utvrdio stepen efektivnosti Sistema upravljanja zaštitom životne sredine. Nakon interne provjere, može se ustanoviti da li je preduzeće spremno za certifikaciju ili je neophodno preduzeti korektivne mere, koje su identifikovane na internoj provjeri.

Certifikacija ISO 14001 predstavlja provjeru uspostavljenog Sistema upravljanja kvalitetom koje vrši izabrano nezavisno certifikaciono tijelo.

Certifikacija i kontinualno ocjenjivanje ispunjenosti uslova

Postoje dvije vrste ISO 27001 certifikata: (A) za organizacije i (B) za pojedince. Organizacije se mogu certifikovati da bi dokazale uskladjnost sa svim obaveznim klauzulama standarda; Pojedinci mogu izvršiti obuku i položiti ispit da bi dobili sertifikat. Da bi ste se sertifikovali kao organizacija, morate implementirati standard kako je navedeno, i potom proći certifikacijski audit od strane nezavisnog certifikacionog tela.

Certifikacijski audit se provodi kroz sljedeće korake: Faza 1 (pregled dokumentacije) – auditori će pregledati svu dokumentaciju i Faza 2 (glavni audit) – auditori će izvršiti audit na licu mjesta kako bi provjerili da li su sve aktivnosti organizacije usklađene sa ISO/IEC 27001. (Nadzor – nakon izdavanja Certifikata, tokom perioda važenja od 3 godine, auditori će provjeriti minimum još 2 puta da li organizacija održava sistem upravljanja bezbjednošću).