top of page
Search

Zašto mi je potreban ISO 27001?

  • Petar Rodić
  • Apr 15
  • 4 min read

Updated: 6 hours ago

Značaj stadarda ISO 27001 Sistem menadžmenta bezbednošću informacija raste iz godinu u godinu. U kontekstu poslovanja koje obuhvata rad na računarima, privatnim računarskim mrežama ali i stalnu upotrebu interneta, uz operaciju velikim količinama poverljivih podataka, poslovnih tajni, privatnih podataka korisnika usluga - upravo informaciona bezbednost je važnija nego ikada ranije. Najvažniji mehanizam menadžmenta da objedini i sinhronizuje sve informaciono bezbednosne prakse u okviru organizacije je upravo ISO 27001.


Šta je ISO 27001?


Ono što najpre treba da razjasnimo jeste da je ISO 27001 standard - međunarodni standard koji se sertifikuje, kao i drugi međunarodni standardi, kroz proces sertifikacije od strane sertifikacionog tela.


U kontekstu sistema menadžmenta, ovaj standard predstavlja poseban sistem menadžmenta koji se odnosi na informacionu bezbednost. Zajedno sa drugim podsistemima menadžmenta ISO porodice čini neizostavan deo opšteg sistema menadžmenta organizacija širom sveta.


Ovaj standard od velikog je značaja za organizacije koje operišu velikom količinom informacija, privatnim podacima i drugim vrstama informacija koje zahtevaju bezbednost i upravljanje.


Kako ISO 27001 može doprineti mojoj organizaciji?


Ustanovili smo da je ISO 27001 standard od izuzetne važnosti za organizacije. No, šta je to ustvari što ISO 27001 obezbeđuje organizacijama?


Kao i drugi standardi, ISO 27001 obuhvata neizostavne politike i definisane procedure ponašanja i reakcija. Obuhvata, kako planiranje, tako i relevantno testiranje upravljanja u situacijama rizika po informacije ili samo poslovanje. Kako je ovaj standard temeljan u tačkama koje obuhvata, izdvojićemo najvažnije.


Upravljanje bezbednošću informacija

Organizacije su pozvane da unaprede i integrišu svoje upravljanje bezbednošću informacija duž organizacije. Na koji način se organizacije brane od sajber napada? Kojim mehanizmima čuvaju informacije? Ko su odgovorne osobe?


Upravljanje incidentima

Ukoliko i kada incident nastupi, organizacije moraju biti pripremljene da se ažurno i na adekvatan način odnose prema incidentima.


Pristup informacijama

Pristup mora biti definisan i raspoređen prema pozicijama. Na taj način menadžment može imati uvid u to ko ima pristup određenim informacijama, a odgovornosti se lako dele i prepoznaju.


Komunikacija

Organizacija se stara o bezbednim kanalima komunikacije kao i o tome kako i sa kojim licima se komunicira u slučajevima incidenta ili drugog rizika.


Rizici i plan kontinuiteta poslovanja

Standard adresira sve potencijalne rizike po bezbednost informacija ali i kontinuiteta poslovanja. Važno je da organizacija ima planirane i ciljane reakcije u slučaju da nastupi određena rizična situacija. Kako bi planovi bili relevantni, oni se testiraju u praksi organizacije.


Opširan sistem oblikovan rizicima

Kao što možemo videti, ovaj sistem je opširan i pruža čvrstu potporu za informacionu bezbednost organizacija. Njegova posebna snaga je u tome što ne bira "jednostrano" informaciono gledanje na rizike već ih sve obuhvata bez diskriminacije. Nikada ne znamo odakle će se opasnost pojaviti - a napadi postaju kreativniji i pametniji iz godine u godinu.

Menadžer informacione bezbednosti vodi računa o sprovođenju zahteva ISO 27001.
Informaciona bezbednost zauzma posebnu pažnju u upravljanju organizaijama.

Kako da sertifikujem standard ISO 27001?


Sertifikacija za ISO 27001 izgleda kao i sve druge sertifikacije ISO standarda. To izgleda ovako:


1. Usklađivanje sa zahtevima standarda

Usklađivanje sa zahtevima standarda organizacija vrši samostalno ili češće, uz podršku stručnih konsultantskih tela - kao što je Nacor.

Organizacija osigurava da je sistem menadžmenta usklađen, dokumentacija sređena, a čitav sistem menadžmenta ušao u svakodnevnu primenu u radu organizacije.


  1. Sertifikaciona provera

Nakon uspešne adaptacije zahteva standarda, organizacija dogovora sertifikacioni proces sa sertifikacionim telom po svojoj želji. Sertifikaciono telo treba da je akreditovano za standard koji želite da sertifikujete. U dogovoreno vreme, sertifikaciono telo će poslati proveravača da izvrši sertifikacionu proveru na terenu u okviru organizcije. Sertifikat se proverava jednom godišnje, a obnavlja svake tri.


Da li je ISO 27001 zakonska obaveza?


Republika Srbija

ISO 27001 nije zakonska obaveza u Republici Srbiji. Iako pojedini zakoni propisuju obaveznost postojanja bezbednosnih mera, propuštaju da propišu same mere bezbednosti. Uprkos tome, organizacije u Srbiji se oslanjaju na ISO 27001 zbog obima podataka, benefita koje pruža ovakav sistem menadžmenta u odnosu i poverenju s korisnicima.


Ipak, u pojedinim oblastima nadležne institucije donose akte kojima uređuju ovo polje. Tako, Narodna banka Srbije propisuje informacionu bezbednost finansijskih institucija. Odluka o minimalnim standardima upravljanja informacino-komunikacionim sistemom finansijske insitiuticije ima zahteve od kojih su mnogi sadržani u ISO 27001.


Vlada je u februaru 2025. godine pred Narodnu Skupštinu stavila Predlog Zakona o informacionoj bezbednosti, a koji treba da unese novine u ovo polje. Obiman predlog zakona oslanja se na direktive EU zajedničkoj sajber bezbednosti i koristi se rečnikom i načelima koja su organizacijama u primeni ISO 27001 već uveliko poznata.


Ovaj zakonski predlog obuhvataće rad IKT sistema od posebnog značaja - pravna i fiziička lica koja obavljaju poslove i delatnosti u oblastima: energetike i rudarstva, saobraćaja, zdravstva, snabdevanjem vodom za piće i upravljanje otpadnim vodama, digitalnih infrastruktura ( klaud i skladištenje informacija), upravljanje IKT uslugama za operatore IKT sistema, kao i nekoliko drugih oblasti od značaja.


Crna Gora


U Crnoj Gori , prema važećem Zakonu o informacionoj bezbjednosti, standard ISO 27001 jeste zakonska obaveza.


On je označen već u članu 18:

Član 18

"...Radi sprovođenja mjera informacione bezbjednosti, organi i drugi subjekti koji su u skladu sa ovim zakonom određeni kao ključni subjekti moraju da ispunjavaju uslove u skladu sa važećim crnogorskim standardom za upravljanje informacionom bezbjednošću MEST ISO/IEC 27001."


Obaveza primene ovog standarda odnosi se na subjekte koje označava član 2 istog zakona:

Član 2

"Po ovom zakonu obavezni su da postupaju državni organi, ministarstva i drugi organi uprave, organi jedinica lokalne samouprave, organi lokalne uprave i službe obrazovane u skladu sa zakonom kojim se uređuje lokalna samouprava, pravna lica koja vrše javna ovlašćenja (u daljem tekstu: organi), privredna društva i druga pravna lica i fizička lica koja ostvaruju pristup ili postupaju sa podacima i koji koriste i upravljaju mrežnim i informacionim sistemom (u daljem tekstu: drugi subjekti)."


ISO 27001 Standard na koji se oslanjaju EU i velike organizacije


Bilo da spada u zakonsku obavezu ili jednostavnu neophodnost u svakodnevnom radu organizacija, ISO 27001 je standard koji pruža snažnu potporu u informacionoj bezbednosti. Ovaj celovit i temeljan sistem adresiranja i odgovora na rizike stvara poverenje u timovima ali i među samim organizacijama i njihovim korisnicima.


  • Potrebno mi je usklađivanje sa zahtevima ISO 27001.

  • Želim da dobijem više informacija o sertifikaciji standarda ISO 27001.


Nacor pruža odgovore na sva pitanja. Pozovite nas ili nam pišite:


066 96 99 999
011 38 36 066​

Comments

Beograd, Vršac, Budva, Podgorica

Email: info@nacor.rs 

Nacor Consulting

Pozovite : 066 96 99 999​

© 2011-2025  NACOR

Београд, Србија

bottom of page