Information Security / ISO 27000

Baza znanja

Information Security Management (ISM) je sustavan pristup zaštiti povjerljivosti, cjelovitosti i dostupnosti informacija kroz politike, procese i kontrole koji smanjuju rizike i podržavaju poslovne ciljeve.

Postoji više okvira i metodologija za upravljanje sigurnošću informacija, no ISO/IEC 27000 obitelj standarda je najrašireniji i najpriznatiji međunarodni okvir koji pruža strukturiran pristup uspostavi i stalnom poboljšavanju Sustava upravljanja sigurnošću informacija (ISMS).
Cilj je osigurati da su informacije zaštićene od prijetnji, neovlaštenog pristupa i gubitka, uz jasno definirane uloge i mjerljive ciljeve.

Information Security – EDUKACIJA
BAZA ZNANJA

Information Security / ISO 27000 – Baza znanja

Information Security Management (ISM)

Information Security Management (ISM) je sustavni pristup zaštiti informacija – ljudi, procesa i tehnologije – od neovlaštenog pristupa, gubitka, izmjene i nedostupnosti. Cilj je osigurati povjerljivost, cjelovitost i dostupnost (CIA) podataka uz usklađenost s regulativom i poslovnim zahtjevima.

Što obuhvaća ISM

  • Upravljanje rizicima – identifikacija prijetnji i ranjivosti, procjena vjerojatnosti/utjecaja, odabir kontrola.
  • Politike i standardi – jasna pravila, odgovornosti i minimalni sigurnosni zahtjevi.
  • Tehničke kontrole – identiteti i pristupi (IAM), mrežna segmentacija, enkripcija, EDR, DLP, sigurnosni monitorinzi.
  • Organizacijske i procesne kontrole – klasifikacija informacija, upravljanje dobavljačima, sigurnost kod razvoja (SSDLC/DevSecOps), upravljanje promjenama.
  • Incident response – detekcija, analiza, eskalacija, forenzika i učenje kroz post-incidentne aktivnosti.
  • Kontinuitet poslovanjaBCP/DRP planovi, testiranja i otpornost.
  • Usklađenost i audit – ISO/IEC 27001, NIS2/DORA/GDPR, interni i eksterni nadzori.

Načela i dobre prakse

  • Least privilege & Zero Trust – minimalni pristup, verifikacija svake interakcije.
  • Security by design – sigurnost ugrađena od početka (arhitektura, kod, procesi).
  • Defense in depth – slojevita zaštita (prevencija, detekcija, odgovor).
  • Privacy by design – minimizacija podataka, pseudonimizacija, evidencije obrade.
  • Kontinuirano poboljšavanje – mjeriti, testirati, trenirati i iterativno jačati kontrole.

Okviri i standardi (primjeri)

  • ISO/IEC 27001 (ISMS) + 27002 (kontrole) – međunarodni standard za upravljanje sigurnošću.
  • NIST CSF – okvir za procjenu i unapređenje sigurnosne zrelosti.
  • CIS Controls – prioritetiziran popis osnova “higijene”.
  • GDPR, NIS2, DORA, PCI DSS – regulatorni zahtjevi ovisno o sektoru.

Uloge i odgovornosti

  • CISO / Voditelj sigurnosti – strategija, ISMS, rizici i usklađenost.
  • Sigurnosni inženjering/operacije (SecOps) – monitoring, hardening, odgovor na incidente.
  • Vlasnici informacija/procesa – klasifikacija i pravilno rukovanje podacima.
  • Razvojni timoviDevSecOps, sigurnosni testovi, upravljanje tajnama.
  • Svi zaposlenici – svijest, phishing trening, prijava incidenata.

Tipične prijetnje i kako ih adresirati

  • Phishing i socijalni inženjering → edukacija, MFA, e-mail zaštita.
  • Ransomware → segmentacija, EDR/XDR, offline backupi, vježbe oporavka.
  • Povrede identiteta → IAM, PAM, MFA, rotacija i revizija pristupa.
  • Ranjivosti u aplikacijama → SAST/DAST, SBOM, patching, secure coding.
  • Lanac nabave → procjena dobavljača, ugovorne kontrole, kontinuirani nadzor.

Metrike i dokaz učinka (primjeri)

  • MTTD/MTTR za sigurnosne incidente
  • Patch compliance i vrijeme do zakrpe
  • Phishing failure rate i stopa prijava sumnjivih mailova
  • Pokriće enkripcijom/MFA-om
  • Rezultati pen-testova i ispravci
  • Usklađenost s ISO/NIST/CIS kontrolama

Kako početi (minimalni koraci)

  1. Brza procjena rizika ključnih sustava i podataka; definirajte risk register.
  2. Uvedite osnovnu higijenu: MFA, enkripcija na miru i u prijenosu, sigurnosne kopije + test oporavka.
  3. Standardizirajte politike i klasifikaciju informacija; pokrenite svjesnost zaposlenika.
  4. Postavite monitoring i odgovor (SIEM/SOAR ili upravljani SOC) s jasnim runbookovima.
  5. Uskladite se s okvirom (npr. ISO 27001) i definirajte KPI-jeve za mjerenje napretka.

  6. Uspostavite planove kontinuiteta (BCP/DRP) i barem jednogodišnje testiranje.

Najčešće pogreške

  • Fokus samo na alatima bez upravljanja rizicima i procesa.
  • Prekomjerne privilegije i nedostatak recenzije pristupa.
  • Backup bez testiranog povrata.
  • Zanemarivanje dobavljača i “shadow IT-a”.

  • Nedostatak edukacije i simulacija (tabletop, phishing kampanje).

Sažetak: Information Security Management štiti vaše podatke i reputaciju kroz upravljani, mjerljiv sustav politika, kontrola i odgovora na incidente. Kada se provodi prema priznatim okvirima i uz kulturu sigurnosti u cijeloj organizaciji, ISM omogućuje sigurno inoviranje i usklađeno poslovanje – uz dokazive rezultate i niži rizik.

ISO/IEC 27000

ISO/IEC 27000 označava obitelj međunarodnih standarda koja pruža zajednički jezik, principe i prakse za uspostavu, održavanje i stalno poboljšavanje Sustava upravljanja sigurnošću informacija (ISMS).

U središtu je ISO/IEC 27001 (zahtjevi za ISMS), dok ISO/IEC 27000 daje terminologiju i pregled, 27002 opisuje kontrole, 27005 vodi upravljanje rizicima, a proširenja poput 27017/27018 (cloud) i 27701 (privatnost) prilagođavaju ISMS specifičnim kontekstima.

Zajedno omogućuju organizacijama da dosljedno štite povjerljivost, cjelovitost i dostupnost podataka, usklade se s propisima (npr. GDPR) i grade kulturu sigurnosti kroz PDCA ciklus (Plan-Do-Check-Act). Primjenom ISO 27000 okvira dobivate jasne politike, mjerljive ciljeve, dokazive kontrole i auditabilnost, što smanjuje rizike, troškove incidenata i vrijeme oporavka. Ako već krećete: definirajte opseg ISMS-a, provedite procjenu rizika, sastavite SoA (Statement of Applicability), uvedite prioritetne kontrole i postavite metrike za praćenje učinka – potom iterativno unaprjeđujte kroz interne audite i ocjenu uprave.

Ključni standardi (najkraći pregled)

  • 27000 – terminologija i pregled obitelji.
  • 27001zahtjevi za ISMS (jedini certifikacijski standard).
  • 27002kontrole i smjernice dobre prakse.
  • 27005upravljanje rizicima informacijske sigurnosti.
  • 27017/27018 – sigurnost i privatnost u cloudu.
  • 27701privatnost / PIMS (proširenje na osobne podatke).

Što je ISO 27000?

  • Obitelj standarda za uspostavu, održavanje i poboljšavanje ISMS-a (Sustava upravljanja sigurnošću informacija).
  • Daje zajednički rječnik, principe i prakse te povezuje politiku, procese i kontrole.

Kako započeti (minimalni koraci)

  • Definirajte kontekst i opseg ISMS-a (procese, sustave, dionike).
  • Provedite procjenu rizika i odaberite tretmane.
  • Izradite Statement of Applicability (SoA) i odaberite kontrole.
  • Uvedite politike, postupke i tehničke/organizacijske mjere.
  • Postavite metrike, provedite interni audit i upravinu ocjenu.

Primjeri kontrolnih područja (prema 27002)

  • Upravljanje pristupom i identitetima (MFA, least privilege).
  • Kriptografija i zaštita podataka (enkripcija, ključevi).
  • Sigurnost dobavljača i ugovornih odnosa.
  • Upravljanje incidentima i BCP/DRP (kontinuitet).
  • Edukacija i svijest korisnika.

Certifikacija (što očekivati)

  • Certificira se ISO 27001 (faza 1 + faza 2); 27000/27002/27005 služe kao smjernice.
  • Tipični timeline: gap analiza → implementacija → interni audit → certifikacijski audit.

Najčešće pogreške

  • Fokus na „papire“ bez operativne primjene i evidencija.
  • Nejasan opseg i vlasništvo nad rizicima/KPI-jima.
  • Zanemarivanje dobavljača i ne-IT područja (fizička sigurnost, HR).
  • Izostanak PDCA ciklusa nakon certifikacije.

Pinterest – Information Security / ISO 27001

INFORMATION SECURITY MANGEMENT (ISM)

E-learning

CISA®:

ISM - EDUKACIJA
KONTAKT / PRIJAVA