UNIVERZITET U BEOGRADU
FAKULTET ORGANIZACIONIH NAUKA
MASTER STUDIJE
Upravljanje razvojem informacionih sistema
SEMINARSKI RAD
Primena standarda za upravljanje bezbednošću informacija ISO 27001 u IT kompaniji
BEOGRAD, 2017.godine
4
2. Procesni pristup
Svaka aktivnost koja koristi resurse tako da omogući transformaciju ulaza u
izlaze može se smatrati procesom u IT kompaniji. Broj procesa zavisi od veličine i
vrste poslovanja same kompanije. Veoma se često dešava u praksi da izlaz iz jednog
procesa formira ulaz u naredni proces,
slika. 1.
Slika 1. –
Proces, izvor
[2]
Svi procesi u IT kompaniji moraju da se prepoznaju, zatim moraju da im se
definišu vlasnici, odnosno ko je odgovoran za iste. Način identifikacije procesa i
upravljanje istim u datoj IT kompaniji može se definisati ukratko kao procesni pristup.
Procesni pristup sistema upravljanja sigurnošću informacija u međunarodnom
standardu navodi svoje korisnike da naglase važnost razumevanja zahteva
kompanije za sigurnost informacija i potreba da uspostavi politiku i ciljeve za
sigurnost, zatim implementacije i kontrole radi upravljanja rizicima, nadziranja i
preispitivanja performansi i efektivnosti ISMS, stalnih poboljšanja zasnovanih na
ciljevima merenja.
Sistem za upravljanje sigurnošću informacija u IT kompaniji usvaja “Plan-Do-
Check-Act“ (PDCA), odnosno planiraj, izvrši, proveri i deluj model koji se primenjuje
na strukturu svih ISMS procesa. Slika 2. prikazuje kako sistem za upravljanje
sigurnošću informacija uzima kao ulaz zahteve za sigurnost informacija i očekivanja
interesnih strana i kroz potrebne aktivnosti i procese proizvodi izlaze koji
zadovoljavaju navedene zahteve i očekivanja sigurnosti informacija
[3]
. Primer
zahteva je da prekršaj sigurnosti informacija neće prouzrokovati ozbiljne štete u
poslovanju, dok očekivanje jeste da ukoliko nastupi određeni incident, postoje
dovoljno stručni ljudi da otklone isti i spreče negativan uticaj u datoj IT kompaniji.
Svrha procesnog pristupa je optimizacija i stalno poboljšanje poslovnih
procesa sa ciljem dobijanja što boljeg poslovnog rezultata uz minimalno uložene
resurse.
5
Slika 2. -
PDCA model, izvor
[4]
PDCA
model u sistemu upravljanja sigurnošću informacija
[5]
:
Plan
(Planiranje) - Uspostaviti ISMS politiku, ciljeve, procese i procedure koje
se odnose na upravljanje rizikom i poboljšavanje sigurnosti informacija radi
isporuke rezultata u saglasnosti sa sveukupnim politikama i ciljevima IT
kompanije.
Do
(Izvrši) – Impementirati i izvršiti politiku ISMS u IT kompaniji.
Check
(Proveri) - Proveriti, i gde je primenjivo meriti performanse procesa,
ciljeva, i izveštavati rukovodstvo o rezultatima radi preispitivanja.
Act
(Deluj) - Preduzeti korektivne i preventivne mere, na osnovu rezultata
internih provera ISMS radi postizanja stalnih poboljšavanja ISMS.
7
1.1 Predmet i područje primene
Predmet primene ISMS sistema su sve vrednosti koje su identifikovane u
sistemu, a cilj koji se želi ostvariti je dovođenje rizika vezanih za te vrednosti na
prihvatljivu meru date IT kompanije.
1.2 Politika ISMS-a
Politika ISMS-a je dokument putem kojeg IT kompanija, preko svog
menadžmenta iskazuje svoju odlučnost za uvođenje sistema za upravljanje
sigurnošću informacija, a kroz jasno opredeljenje za čuvanjem poverljivosti, kako
svojih tako i informacija svojih klijenata i zainteresovanih strana.
Politika definiše osnovne smernice za uspostavljanje sistema za upravljanje
sigurnošću informacija, kao i kasnije njegovo kontinualno unapređenje.
Vlasnik politike ISMS-a je direktor IT kompanije. Upoznavanje politike svih
zainteresovanih strana obezbeđeno je objavom na web stranici kao javnog
dokumenta.
Kako bi politika ISMS stalno bila aktuelna i pratila izmene poslovnih procesa
kompanije i zakonskih propisa, politika mora biti preispitivana u redovnim
preispitivanjima sistema ili u slučaju velikih izmena odmah.
Ocenjivanje i preispitivanje politike sprovodi tim za ISMS a mora da je odobri
direktor IT kompanije.
1.3 Uloge i odgovornosti u sistemu za upravljanje
sigurnošću informacija
Direktor ima najveću odgovornost za upravljanje IT kompanije kao celinom.
Direktor IT kompanije daje celokupne strateške pravce za sigurnost
informacija, kroz odobravanje bezbednosnih principa i zalaganje za njihovo
sprovođenje.
U praksi, direktor IT kompanije određuje tim ISMS za upravljanje čije članove
imenuje. Takođe, on imenuje predstavnika rukovodstva za ISMS.
Tim za ISMS koordinira sve aktivnosti kroz organizacionu strukturu IT
kompanije, obezbeđujući da su odgovarajuća pravila postavljena kako bi podržavala
bezbednosne principe i potrebe IT kompanije za zaštitom informacija.
