Izkušnje iz prakse pričajo, da na kakovost varovanja informacij enako kot tehnologija vplivata vodenje in organizacija. Skrb za celovitost, razpoložljivost in zaupnost informacij učinkovito podpirajo sistemi vodenja, ki se dotikajo tako same informacijske varnosti kot neprekinjenosti poslovanja, zaščite osebnih podatkov, varnosti podatkov v oblaku ter upravljanja IT-storitev.
»Organizacije, ki so uvedle sistem upravljanja informacijske varnosti, lažje prepoznajo in zmanjšajo varnostna tveganja, prepoznajo in razumejo varnostne grožnje ter delujejo preventivno proti tem grožnjam,« pravi Janez Lemič, vodja produkta sistemov vodenja informacijske varnosti na SIQ Ljubljana. Posledično se krepi tudi zaupanje v organizacijo, kar pozitivno vpliva na partnerske odnose in lahko privede tudi do strateških partnerstev. Lemič vidi prednost še v obvladovanju poslovnih procesov varovanja informacij, s čimer organizacije sporočajo, da pravzaprav živijo sistem informacijske varnosti.
Certificiranje po šestih standardih
V SIQ Ljubljana, kjer imajo približno dvotretjinski tržni delež pri podeljevanju varnostnih certifikatov, ponujajo organizacijam certificiranje po šestih standardih:
- ISO/IEC 27001 za sistem upravljanja informacijske varnosti;
- ISO/IEC 27701 za sistem upravljanja varovanja osebnih podatkov;
- ISO/IEC 27017, ki postavlja pravila ravnanja za zaščito podatkov v oblaku;
- ISO/IEC 27018, ki postavlja pravila ravnanja za zaščito osebno prepoznavnih informacij (PII) v javnih oblakih, ki delujejo kot procesorji PII;
- ISO 22301 za sistem vodenja neprekinjenosti poslovanja;
- ISO/IEC 20000-1 za sistem upravljanja IT storitev.
Kot pravi Lemič, so ISO-standardi na področju informacijske varnosti namenjeni vsem organizacijam, ne glede na vrsto, velikost ali naravo dela. Ob tem so združljivi s standardi za preostale sisteme vodenja, saj imajo enako strukturo, enake naslove podtočk, besedilo, splošne izraze in definicije.
Na SIQ Ljubljana certificirajo tudi informacijsko varnost za avtomobilsko industrijo, po standardu TISAX, presojajo pa tudi varnost, na primer, pri kartičnem poslovanju, napravah IoT, sistemih SCADA, tehnologiji veriženja podatkovnih blokov ter eIDAS.
Kako začeti
Priporočljivo je, da se v organizaciji, kjer se odločijo za certificiranje, najprej opravi ocena stanja vzpostavitve sistema vodenja, tako imenovana analiza razkoraka. S to analizo se oceni stopnja vzpostavljenosti sistema in pripravljenosti organizacije na certificiranje po izbranem referenčnem standardu.
»Na vzpostavitev in izvedbo tega sistema vplivajo potrebe in cilji organizacije, varnostne zahteve, uporabljeni organizacijski procesi ter velikost in struktura organizacije,« pravi Sabina Bauman, strokovna sodelavka sistemov vodenja informacijske varnosti na SIQ Ljubljana. Kot dodaja, se organizacije v okviru celostnega pregleda skladnosti odločajo tudi za ocenjevanje skladnosti z zakonodajo, ne samo z mednarodnimi standardi ali drugimi referenčnimi dokumenti. Najpogostejši primer je, da se ob preverjanju informacijske varnosti odločijo še za ocenjevanje skladnosti s splošno uredbo o varstvu podatkov (GDPR).
Presoja v dveh delih
Na SIQ Ljubljana, kjer izvajajo certifikacije v sodelovanju z avstrijsko certifikacijsko hišo CIS, opravijo certifikacijsko presojo v dveh delih. »Pri stranki opravimo prvi del certifikacijske presoje, na kateri ocenjujemo dokumentiranost vzpostavitve sistema vodenja. Po končanem prvem delu presoje izdamo poročilo z ukrepi, ki jih organizacija še mora izvesti, da lahko nadaljujemo z drugim delom certifikacijske presoje,« proces oriše Baumanova. »Drugi del certifikacijske presoje se začne tri mesece po končanem prvem delu in je osredotočen na izvajanje sistema vodenja.«
Po uspešno prestanem drugem delu certifikacijske presoje organizacija prejme tri certifikate: akreditiran certifikat CIS, certifikat IQNet in certifikat SIQ. Certifikat se izda za triletno obdobje, pri čemer se vsako leto opravita dve redni presoji.
»Na rednih presojah preverjamo primerno vzdrževanje sistema vodenja. Po poteku triletnega obdobja organizacija opravi obnovitveno presojo, ki je po obsegu in načinu podobna drugemu delu certifikacijske presoje,« razloži Lemič. Po uspešno opravljeni obnovitveni presoji organizacija prejme obnovljen certifikat z novo veljavnostjo za naslednje triletno obdobje.
Informacijsko varnost standardizirajo predvsem ponudniki IKT-storitev
V SIQ Ljubljana so lani podelili stoti certifikat po mednarodnem standardu ISO/IEC 27001 za sistem upravljanja informacijske varnosti. »V aprilu 2006 se je certificiralo prvo podjetje pri nas. To so bili prvi začetki in lahko rečemo, da so bili to pionirski časi na področju sistema upravljanja varnosti informacij. Do danes smo podelili 104 veljavne certifikate po različnih standardih, ki se dotikajo informacijske varnosti,« pravi Lemič.
Med prejemniki certifikatov so večinoma IT-podjetja, sledijo podjetja iz panog telekomunikacije, proizvodnja in distribucija električne energije, proizvodnja električne in optične opreme ter proizvodnja računalniških iger.
»Zaznavamo večje povpraševanje in certificiranje po sistemu upravljanja informacijske varnosti, hkrati pa čedalje večje povpraševanje tudi po novejših mednarodnih standardih iz skupine ISO/IEC 27001, in sicer po pravilih ravnanja za zaščito osebno prepoznavnih informacij ter sistemu upravljanja varovanja osebnih podatkov, ki sta nastala kot podaljška standarda ISO/IEC 27001 za sistem upravljanja informacijske varnosti,« poudarja Lemič.
Več zanimanja za certificiranje vodenja neprekinjenosti poslovanja
V koronakrizi so na SIQ Ljubljana zaznali večjo zainteresiranost za standard ISO 22301 za sistem vodenja neprekinjenosti poslovanja. Ta se ne osredotoča samo na področje IT, temveč zajema širšo sliko in na organizacije naslavlja vprašanja, povezana s prepoznavanjem ter obvladovanjem tveganj in vplivov na kontinuiteto poslovanja kljub nepričakovanim dogodkom ter vplivom na nemoteno oskrbovalno verigo.
Po standardu ISO 22301 sta se tako pri SIQ Ljubljana že certificirala ponudnik telekomunikacijskih storitev in manjše tehnološko podjetje, po standardu ISO/IEC 20000-1 pa sta se certificirali dve manjši IT-podjetji.