ISO/IEC 27001:2005 međunarodni standard pripremljen je kako bi pružio model za uspostavljanje, implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja sigurnošću informacija (ISMS). Usvajanje ISMS mora biti strateškom odlukom organizacije.
Dizajn i implementacija organizacijskog ISMS-a su uvjetovani potrebama i ciljevima, sigurnosnim zahtjevima, uključenim procesima, veličinom i strukturom organizacije. Za očekivati je da će se ovi sistemi, kao i sistemi za podršku njihovom radu tijekom vremena mijenjati. Očekuje se da će implementacija ISMS pratiti potrebe organizacije. Ovaj standard se može koristiti za provjeru sukladnosti od strane zainteresiranih unutarnjih i vanjskih strana.
ISO/IEC 27001:2005 međunarodni standard uvodi procesni pristup za uspostavljanje, implementaciju, rad, nadziranje, provjeru, održavanje i unapredivanje organizacijskog ISMS-a. Kako bi efikasno funkcionirala, organizacija mora identificirati i upravljati mnogim aktivnostima. Aktivnost koja koristi resurse te je upravljana kako bi omogućila transformaciju ulaza u izlaz, se može smatrati procesom. Često izlaz iz jednog procesa direktno predstavlja ulaz u slijedeći.
Primjena sistema procesa unutar organizacije, zajedno sa identifikacijom i interakcijom tih procesa, i njihovim upravljanjem se može smatrati „procesnim pristupom“. Procesni pristup upravljanju sigurnošću informacija prikazan u ovom međunarodnom standardu ohrabruje njegove korisnike u isticanju značaja:
- a) razumijevanja zahtjeva organizacije za informacijskom sigurnošću i potrebe za uspostavljanjem politike i ciljeva informacijske sigurnosti;
- b) implementiranja i izvršavanja kontrola u cilju upravljanja rizicima po sigurnost informacija u organizaciji, a sve u kontekstu zajedničkih organizacijskih rizika poslovanja
- c) nadgledanja i provjere performansi i efikasnosti ISMS-a, i
- d) kontinuiranog unapređivanja baziranog na objektivnom mjerenju.
IRCA (Međunarodni registar akreditiranih auditora) ISMS program je razvijen, kao odgovor na potražnju za kompetentnim auditorima sistema upravljanja informacijskom sigurnošću. Bosna i Hercegovina dobila je ovog mjeseca jos jednog IRCA cerificiranog auditora sistema upravljanja informacijskom sigurnošću - mr.sc. Harisa Hamidovića. Gdin. Hamidović je, osim toga, od nedavno nositelj još jednog međunarodno priznatog certifikata iz oblasti revizije informacionih sistema – Ovlašteni interni revizor – specijalista za informacione sistema, koji izdaje Institut internih revizora.
