HRN ISO/IEC 27001 je norma koja je prikupila najbolja svjetska iskustva u organiziranju i implementaciji informacijske sigurnosti. Možemo slobodno reći da je to osnovna norma za informacijsku sigurnost. Više pogledajte ovdje

Zakon o informacijskoj sigurnosti (NN79/07) takvu obvezu propisuje za sva tijela državne uprave, Odluka o primjerenom upravljanju informacijskim sustavom (NN 80/07) propisuje obvezu za sve banke, a Zakon o zaštiti osobnih podataka (NN 103/03) propisuje obvezu za sve organizacije u Republici Hrvatskoj koje prikupljaju osobne podatke – npr. JMBG i sl.

Stručnjaci za informacijsku sigurnost su još uvijek dosta rijetki, pa ukoliko ne postoje unutar organizacije, potrebno je pribaviti znanje izvana. Za manje organizacije moguće je prikupiti literaturu kako bi se postojeći djelatnici unutar kuće obučili za rukovođenje implementacijom, a za veće organizacije preporučljivo je angažman vanjskih stručnjaka (obično konzultanata). Međutim, prilikom odabira takve osobe izvana treba jako voditi računa o povjerenju (jer će dotična osoba znati sve sigurnosne propuste), ali isto tako i o nezavisnosti od ICT dobavljača (jer će takva osoba biti u izvrsnoj poziciji da preporuči razna tehnološka rješenja). S vremenom naravno treba obučavati vlastite djelatnike kako bi isti samostalno mogli održavati informacijsku sigurnost na potrebnom nivou.

Osnovni postupci uključuju (1) procjenu rizika kojima se zapravo popisuju sve mogućnosti da dođe do proboja sigurnosti, te (2) odabir i provedba mjera zaštite kojima će se umanjiti dotični rizici - pogledajte detaljnije ovdje

Ne. Informatička sigurnost je samo jedan dio informacijske sigurnosti koji se bavi tehnološkom zaštitom (npr. antivirusi, firewall-ovi, kriptiranje i sl.). Međutim informatička sigurnost ne pokriva npr. upravljanje ljudima koji su često vrlo velik izvor rizika itd. Drugim riječima, informacijska sigurnost je skup raznih aktivnosti koje uključuju organizacijske i pravne metode, upravljanje ljudskim resursima, fizičku i tehničku zaštitu, informatičku (IT) sigurnost itd.

Uvođenje informacijske sigurnosti ne podrazumijeva samo propisivanje velike količine novih procedura, nego zahtjeva da se dotični postupci zaista počnu provoditi. To znači, kao i za svaku drugu promjenu, da djelatnici trebaju vremena da se priviknu na nove stvari. Drugim riječima, trajanje implementacije ovisi koliko je organizacija već uhodana, kakvi su zakonski zahtjevi, koliko je organizacija velika i sl. Period trajanja je obično od nekoliko mjeseci za manje organizacije, do više od godinu dana za velike organizacije.

Na prvi pogled, jedina je korist usklađivanje sa sve zahtjevnijom regulativom. Međutim, najveća korist je smanjenje šteta od gubitka ili curenja osjetljivih informacija, jer je investicija u informacijsku sigurnost daleko manja od šteta koje nastaju na ovaj način. Ako bismo govorili rječnikom operativnih rizika, rekli bismo da su uložene mjere zaštite uvijek manje od proračunatog rizika.

Informacijska sigurnost nije softverski paket da bi mu se znala konačna cijena. Informacijska sigurnost je skup mjera zaštite u domeni organizacije, fizičke zaštite, tehničke zaštite, informatičke zaštite, pravnih metoda, upravljanja ljudskim resursima i sl. Drugim riječima, cijena uvođenja ovisi o opremi koja će se trebati nabaviti, ali i o organizacijskim promjenama koje će se morati provesti. Vrlo često se precjenjuje stavka nabavke opreme (jer ista uglavnom već postoji), ali se podcjenjuje stavka organizacije (potrebno vrijeme za osmišljavanje informacijske sigurnosti, propisivanje svih akata i procedura, obuka djelatnika i sl.).

Zakoni i ostala regulativa propisuju stručne osobe koje se brinu o određenim aspektima informacijske sigurnosti - voditelj sigurnosti informacijskih sustava u bankama, voditelj zbirke osobnih podataka po Zakonu o zaštiti osobnih podataka, koordinator u tijelima državne uprave. Međutim u konačnici je odgovornost na menadžmentu odnosno čelništvu dotične organizacije, jer su oni ti koji su morali stvoriti sve pretpostavke da se informacijska sigurnost provede na primjeren način.