INFORMATION SECURITY MANGEMENT (ISM)

E-learning

CISA®:

ISM - EDUKACIJA
KONTAKT / PRIJAVA

Information Security Management (ISM)

Information Security Management (ISM) je sustavni pristup zaštiti informacija – ljudi, procesa i tehnologije – od neovlaštenog pristupa, gubitka, izmjene i nedostupnosti. Cilj je osigurati povjerljivost, cjelovitost i dostupnost (CIA) podataka uz usklađenost s regulativom i poslovnim zahtjevima.

Što obuhvaća ISM

  • Upravljanje rizicima – identifikacija prijetnji i ranjivosti, procjena vjerojatnosti/utjecaja, odabir kontrola.
  • Politike i standardi – jasna pravila, odgovornosti i minimalni sigurnosni zahtjevi.
  • Tehničke kontrole – identiteti i pristupi (IAM), mrežna segmentacija, enkripcija, EDR, DLP, sigurnosni monitorinzi.
  • Organizacijske i procesne kontrole – klasifikacija informacija, upravljanje dobavljačima, sigurnost kod razvoja (SSDLC/DevSecOps), upravljanje promjenama.
  • Incident response – detekcija, analiza, eskalacija, forenzika i učenje kroz post-incidentne aktivnosti.
  • Kontinuitet poslovanjaBCP/DRP planovi, testiranja i otpornost.
  • Usklađenost i audit – ISO/IEC 27001, NIS2/DORA/GDPR, interni i eksterni nadzori.

Načela i dobre prakse

  • Least privilege & Zero Trust – minimalni pristup, verifikacija svake interakcije.
  • Security by design – sigurnost ugrađena od početka (arhitektura, kod, procesi).
  • Defense in depth – slojevita zaštita (prevencija, detekcija, odgovor).
  • Privacy by design – minimizacija podataka, pseudonimizacija, evidencije obrade.
  • Kontinuirano poboljšavanje – mjeriti, testirati, trenirati i iterativno jačati kontrole.

Okviri i standardi (primjeri)

  • ISO/IEC 27001 (ISMS) + 27002 (kontrole) – međunarodni standard za upravljanje sigurnošću.
  • NIST CSF – okvir za procjenu i unapređenje sigurnosne zrelosti.
  • CIS Controls – prioritetiziran popis osnova “higijene”.
  • GDPR, NIS2, DORA, PCI DSS – regulatorni zahtjevi ovisno o sektoru.

Uloge i odgovornosti

  • CISO / Voditelj sigurnosti – strategija, ISMS, rizici i usklađenost.
  • Sigurnosni inženjering/operacije (SecOps) – monitoring, hardening, odgovor na incidente.
  • Vlasnici informacija/procesa – klasifikacija i pravilno rukovanje podacima.
  • Razvojni timoviDevSecOps, sigurnosni testovi, upravljanje tajnama.
  • Svi zaposlenici – svijest, phishing trening, prijava incidenata.

Tipične prijetnje i kako ih adresirati

  • Phishing i socijalni inženjering → edukacija, MFA, e-mail zaštita.
  • Ransomware → segmentacija, EDR/XDR, offline backupi, vježbe oporavka.
  • Povrede identiteta → IAM, PAM, MFA, rotacija i revizija pristupa.
  • Ranjivosti u aplikacijama → SAST/DAST, SBOM, patching, secure coding.
  • Lanac nabave → procjena dobavljača, ugovorne kontrole, kontinuirani nadzor.

Metrike i dokaz učinka (primjeri)

  • MTTD/MTTR za sigurnosne incidente
  • Patch compliance i vrijeme do zakrpe
  • Phishing failure rate i stopa prijava sumnjivih mailova
  • Pokriće enkripcijom/MFA-om
  • Rezultati pen-testova i ispravci
  • Usklađenost s ISO/NIST/CIS kontrolama

Kako početi (minimalni koraci)

  1. Brza procjena rizika ključnih sustava i podataka; definirajte risk register.
  2. Uvedite osnovnu higijenu: MFA, enkripcija na miru i u prijenosu, sigurnosne kopije + test oporavka.
  3. Standardizirajte politike i klasifikaciju informacija; pokrenite svjesnost zaposlenika.
  4. Postavite monitoring i odgovor (SIEM/SOAR ili upravljani SOC) s jasnim runbookovima.
  5. Uskladite se s okvirom (npr. ISO 27001) i definirajte KPI-jeve za mjerenje napretka.

  6. Uspostavite planove kontinuiteta (BCP/DRP) i barem jednogodišnje testiranje.

Najčešće pogreške

  • Fokus samo na alatima bez upravljanja rizicima i procesa.
  • Prekomjerne privilegije i nedostatak recenzije pristupa.
  • Backup bez testiranog povrata.
  • Zanemarivanje dobavljača i “shadow IT-a”.

  • Nedostatak edukacije i simulacija (tabletop, phishing kampanje).

Sažetak: Information Security Management štiti vaše podatke i reputaciju kroz upravljani, mjerljiv sustav politika, kontrola i odgovora na incidente. Kada se provodi prema priznatim okvirima i uz kulturu sigurnosti u cijeloj organizaciji, ISM omogućuje sigurno inoviranje i usklađeno poslovanje – uz dokazive rezultate i niži rizik.

Certified Information Security auditor (CISA)

CISA (Certified Information Systems Auditor) je globalno priznata certifikacija organizacije ISACA za stručnjake koji se bave revizijom informacijskih sustava, upravljanjem IT rizicima i kontrolama, te usklađenošću. Potvrđuje znanje o ocjenjivanju kontrola, upravljanju rizicima i vođenju revizijskih angažmana u IT okruženju.

Za koga je CISA

  • IT/IS revizori (interni i eksterni)
  • Specijalisti za upravljanje rizicima i kontrolama
  • Security & compliance uloge (GRC, kontroling, drugi red obrane)
  • Savjetnici i menadžeri koji nadziru IT procese i usklađenost

Što pokriva CISA (tematska područja)

  1. Proces revizije informacijskih sustava – planiranje, izvođenje i izvještavanje, standardi i etika.
  2. Upravljanje i vođenje IT-a – organizacija, strategija, politika, upravljanje rizicima i usklađenost.
  3. Stjecanje, razvoj i implementacija IS-a – kontrole u projektima, SDLC, promjene, prihvat i migracije.
  4. Operacije IS-a i otpornost poslovanja – operativne kontrole, dostupnost, kontinuitet i oporavak.
  5. Zaštita informacijske imovine – sigurnosne kontrole, identiteti, pristupi, privatnost i zaštita podataka.

(Nazivi domena mogu se povremeno osvježavati od strane ISACA-e, no područja ostaju suštinski ista.)

Primjeri kompetencija nakon CISA-e

  • Planirati i voditi reviziju informacijskih sustava u skladu sa standardima.
  • Procijeniti dizajn i učinkovitost kontrola u procesima, aplikacijama i infrastrukturi.
  • Identificirati i prioritizirati IT rizike, preporučiti korektivne mjere i praćenje.
  • Procijeniti otpornost (BCP/DRP), sigurnosne kontrole i usklađenost (npr. privatnost, sektor-specifična pravila).

CISA je vodeća certifikacija za profesionalce koji procjenjuju kontrole, rizike i usklađenost u IT-u. Donosi kredibilitet, strukturu i karijerni iskorak svima koji se bave IS revizijom i GRC-om. Ako vam je cilj voditi ili značajno doprinositi revizijskim angažmanima i programima kontrola – CISA je logičan sljedeći korak.

INFORMATION SECURITY MANGEMENT (ISM)

E-learning

CISA®:

ISM - EDUKACIJA
KONTAKT / PRIJAVA