statistička analiza podataka o obavljenim tehničkim pregledima ... - IPI

STATISTIČKA ANALIZA PODATAKA O OBAVLJENIM TEHNIČKIM PREGLEDIMA UPERIODU 1.7. – 30.9. 2011. GODINE I STRUČNE TEMEStručni bilten broj 16_______________________________________________________________________________________________________________________________________________________________________________________________________________________5. REVIZIJA SISTEMA UPRAVLJANJA SIGURNOŠĆU INFORMACIJA UINTEGRALNOM INFORMACIONIM SISTEMU a|TESTAutori: Enver Delić ISMS Lead AuditorSemir Selimović QMS ManagerInstitut za privredni inženjering, ZenicaCertifikacija po standardu ISO/IEC (BAS) 27001 je međunarodno priznat model vrednovanjaosposobljenosti organizacije da primjenjuje stroge zahtjeve sigurnosti informacija kojima barata usvojim procesima. Certifikacija po ovom standardu je međunarodno priznata, što znači daNacionalna akreditaciona tijela imaju mehanizme pomoću kojih se certifikacija dobijena u jednojdržavi priznaje u drugim, što je i poenta međunarodnog standarda.Da bi ispunio zahtjeve certifikacije, sistem za upravljanje sigurnošću organizacije mora da budeauditiran od strane certifikacionog tijela a certifikaciono tijelo mora biti ovlašteno od straneNacionalnog akreditacionog tijela. Certifikacije po standardu ISO 27001 se u Bosni i Hercegoviniobavljaju od strane certifikacionih tijela ovlaštenih od inostranih Nacionalnih certifikacionih tijela.Sistem upravljanja sigurnošću informacija uspostavljen u Institutu za privredni inženjering jecertificiran od strane certifikacionog tijela TUV Sud Sava koje je ovlašteno od njemačkogNacionalnog certifikacionog tijela TUV.Certifikacija organizacijskog ISMS-a (Sistem upravljanja sigurnošću podataka engl.:InformationSecurity Management System) se obavlja u 6 osnovnih koraka:1. Popunjavanje i dostavljanje upitnika certifikacionom tijelu. Upitnik sadrži detalje o ISMS-ukoji se treba certificirati;2. Prijava za procjenu. Organizacija mora popuniti zahtjev certifikacionom tijelu za obavljanjeprocjene stanja ISMS-a;3. Procjena stanja prije audita, tj. GAP analiza. Ovaj korak nije obavezan;4. Prvi dio audita tj. revizija dokumentacije. Ovo je prvi korak audita;5. Drugi dio audita tj. ustanovljavanje usklađenosti;6. Kontinuirani auditi;a. Nadzorni audit. Jednodnevni godišnji audit.b. Recertifikacijski audit. Obavlja se nakon tri godine i sadrži iste korake kao i prvi,certifikacijski, audit.Institut za privredni inženjering je certificirao svoj ISMS 2008 godine i do sada je obavio dvakontrolna (nadzorna) audita. Da bi se obavio vanjski audit organizacija mora prije toga obaviti iinterne audite.Interni audit u Institutu za privredni inženjering se obavlja u dva pravca. Jedan je orijentisan kaprocesima unutar samog Instituta, dok je drugi orijentisan prema organizacijama koje Institutupružaju usluge podrške kao npr. kroz razvoj, održavanje i poboljšanja informacionog sistema zauvezivanje stanica tehničkog pregleda vozila u FBiH.Tokom 2011. godine obavljena su dva interna i jedan eksterni audit. Na auditima nisu pronađenenekritične neusklađenosti i primjećen je niz poboljšanja, kako od strane zaposlenika Instituta tako iod strane firmi za podršku.Opseg internog audita u Institutu za privredni inženjering je sadržavao sljedeće oblasti:• Aktuelnost revizije dokumenta politike zaštite informacija;• Dodjeljivanje odgovornosti u zaštiti informacija, posebno pri uključivanju u poslove različitihklijenata;• Provjera klasifikacije informacija kroz provjeru upoznatosti uposlenika sa Uputstvom zaklasifikaciju;• Načini kontrole bezbjednosti ljudskih resursa;• Kontrola zaštite radnog okruženja i izmjena u odnosu na početak primjene ISMS-a;• Provjera izvršenog upravljanja uslugama treće strane;• Kontrola upravljanja promjenama na sistemima i sredstvima za obradu podataka;• Provjera planiranja i prihvatanja sistema s ciljem nadgledanja korištenja resursa, kao iprihvatanja novih informacionih sistema, poboljšanja ili novih verzija postojećih sistema;- 45 -