Систем менаџмента сигурности информација

Циљ предмета је да оспособи студенте за уређивање система менаџмента сигурности коришћењем стандардизованих модела (ISO/IEC 27001:2013), као и да у пракси примењују остале стандарде из ове серије (ISO 27002-сигурносни управљачки елементи, ISO 27003 -смернице за уређење СМСИ, ISO 27004-мерење сигурности информација, ISO 27005-менаџмент ризика у области сигурности информација).

Исход предмета
•Пазумевање концепата, приступа, стандарда, метода и техника неопходних за ефективан менаџмент система сигурности информација;
•Разумевање односа компонената система менаџмента сигурности информација, као и значаја менаџмента ризика, улоге управљачких елемената и неопходности сагледавања и уважавања различитих интересних страна организације;
•Стицање компетенција неопходних за примену стандардизованих модела система менаџмента сигурности информација (на основу стандарда ISO 27001);
•Стицање компетенција неопходних за менаџмент тима који ради на уређењу система менаџмента сигурности информација и примени одговарајућег стандардизованог модела система (ISO 27001);
•Стечена знања и вештине потребна за препознавање и примену најбоље праксе у области система менаџмента сигурности информација;
•Стечена знања потребна за анализе и одлучивање у контексту менаџмента сигурности информација.

На предавањима и вежбама се користе активне методе учења засноване на реалним проблемима из праксе и студијама случаја које су посебно развијене за овај предмет и међународно препознате. Предавања и вежбе се одвијају уз активно учешће студената кроз дискусије на часу, интерактивне радионице, рад на решавањима студија случајева у тимовима и самостално истраживање.

Теоријска настава
Генерализација концепата система менаџмент. Системи менаџмента и процесни приступ; Представљање стандарда ISO 27001, ISO 27002, ISO 27003 и регулаторног оквира; Основни принципи сигурности информација; Прелиминарна анализа и утврђивање нивоа зрелости постојећег система менаџмента сигурности информација (ИСО 21827); Сачињавање пословног случаја и пројектног плана за уређење СМСИ и примену стандардизованих модела; Дефинисање делокруга СМСИ; Развој СМСИ и политика сигурности информација; Избор приступа и методологије за оцену ризика; Менаџмент ризика: идентификација, анализа и третман ризика (смернице ISO 27005-менаџмент ризика сигурности информација); Израда изјаве о применљивости; Примена оквира менаџмента докумената; Пројектовање управљачких елемената и писање процедура; Примена управљачких елемената;

Практична настава
В1. Развој програма обуке и свети и комуникација у вези сигурности информација; В2. Менаџмент инцидената (заснован на ISO 27035); В3. Менаџмент операција СМСИ; В4. Управљање и надгледање СМСИ; В5. Развој метрике, индикатора перформанси и команди у складу са ИСО 27004; В6, В7 и В8. ISO 27001 интерне провере; В9. и В10. Преиспитивање СМСИ од стране највишег руководства; В11. Примена програма сталног побољшавања; В12. Припрема за ISO 27001 сертификациону проверу; В13. Креативна радионица; и В14. Студија случаја.

1. Laudon, K. C., & Laudon, J. P. Management information systems. Seventh edition Prentice Hall PTR 2002
2. Ј. Филиповић, Б. Јовановић Квалитет и информационе технологије – приручник за вежбе 2019
3. SRPS ISO/IEC 27001:2014 Information technology – Security techniques – Information security management systems – Requirements (ISO/IEC 27001:2013 including Cor 1:2014 and Cor 2:2015) 2015
4. SRPS ISO/IEC 27000:2018 Information technology – Security techniques – Information security management systems 2018
5. SRPS ISO/IEC 27002:2015 Overview and vocabulary Information technology – Security techniques – Code of practice for information security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015) 2015
6. SRPS ISO/IEC 27003:2017 Information technology – Security techniques – Information security management systems – Guidance 2017
7. SRPS ISO/IEC 27004:2017 Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation 2017
8. SRPS ISO/IEC 27005:2017 Information technology – Security techniques – Information security risk management 2017
9. SRPS ISO/IEC 27006:2017 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems 2017
10. SRPS ISO/IEC 27007:2018 Information technology – Security techniques – Guidelines for information security management systems auditing 2018
11. SRPS ISO/IEC TR 27008:2014 Information technology – Security techniques – Guidelines for auditors on information security controls 2014