ISO 27001 & BS 25999

Važnost Izvješća o primjenjivosti (engl. Statement of Applicability – SoA) obično se podcjenjuje – poput Priručnika kvalitete iz norme ISO 9001, radi se o središnjem dokumentu u kojem je definirano kako ćete implementirati veći dio svoje informacijske sigurnosti.

Izvješće o primjenjivosti zapravo je glavna poveznica između procjene i obrade rizika te implementacije vaše informacijske sigurnosti. Svrha mu je definirati koje od 133 predložene kontrole (sigurnosne mjere) iz Aneksa A norme ISO 27001 ćete primijeniti, te način na koji ćete ih provesti.

Zašto je taj dokument potreban?

Zašto je dakle takav dokument potreban ako ste već napisali Izvješće o procjeni rizika (koje je isto obavezno), koje također definira potrebne kontrole? Razlozi su sljedeći:

• Prije svega, tijekom obrade rizika utvrđujete potrebne kontrole jer ste utvrdili koje je rizike potrebno smanjiti. Međutim, u Izvješću o primjenjivosti također određujete potrebne kontrole iz nekih drugih razloga – zbog propisa, ugovornih obveza, drugih procesa, itd.
• Drugo, Izvješće o procjeni rizika može biti prilično dugačko – u nekim se organizacijama može identificirati i nekoliko tisuća rizika (ponekad i više), pa takav dokument nije baš prikladan za svakodnevnu uporabu. S druge strane, Izvješće o primjenjivosti je kraće – ima 133 retka (po jedan za svaku kontrolu), što vam omogućuje da ga prezentirate menadžmentu i da ga lakše ažurirate.
• Treće – i najvažnije- u Izvješću o primjenjivosti mora se za svaku pojedinu primjenjivu kontrolu dokumentirati provodili li se ona već ili ne. Dobra praksa (a većina auditora će upravo to provjeravati) uključuje i opisivanje načina na koji se pojedina primjenjiva kontrola provodi – npr. referiranjem na neki dokument (politiku/proceduru/upute i sl.) ili kratkim opisom uspostavljene procedure ili opreme koja se upotrebljava.

Ako se želite certificirati prema ISO 27001, certifikacijski auditor će uzeti vaše Izvješće o primjenjivosti i obilaziti tvrtku da bi provjerio jeste li proveli mjere na način na koji su opisane u Izvješću o primjenjivosti. To je glavni dokument za provedbu on-site audita.

Vrlo mali broj tvrtki shvaća da pisanjem dobrog Izvješća o primjenjivosti može smanjiti broj ostalih dokumenata – na primjer, želite li dokumentirati određenu kontrolu, a opis procedure za tu kontrolu prilično je kratak, možete je opisati u Izvješću o primjenjivosti. Na taj način izbjegavate pisanje dodatnih dokumenata.

Zašto je taj dokument koristan?

Iz vlastitog iskustva znam da većina tvrtki koje provode sustav upravljanja informacijskom sigurnošću prema ISO 27001 utroše puno više vremena na pisanje ovog dokumenta nego što su očekivali jer moraju razmišljati o tome kako provesti kontrole: Hoće li nabavljati novu opremu? Ili promijeniti proceduru? Ili zaposliti novu osobu? Radi se o odlukama koje su prilično važne (a ponekad i skupe), tako da ne iznenađuje da ih je teško donijeti. Dobra strana Izvješća o primjenjivosti je da organizaciju prisiljava da ovaj posao obavi na sustavan način.

Stoga ovaj dokument ne biste trebali smatrati samo suvišnim dokumentom koji vam ne koristi u redovitom poslovanju – smatrajte ga glavnim dokumentom u kojem definirate kako želite da vaš sustav informacijske sigurnosti izgleda. Ako se napiše kako treba, Izvješće o primjenjivosti predstavlja izvrstan pregled onoga što treba učiniti u sklopu informacijske sigurnosti, zašto je to potrebno i kako to treba provesti.

Kliknite ovdje kako biste preuzeli besplatan predložak Izvješća o primjenjivosti.

Ima li smisla u manjim tvrtkama provoditi kontinuitet poslovanja? Što će im tako skupo ulaganje kad vlasnik sve potrebne informacije ima u glavi?

Započet ću s pričom koju sam nedavno čuo. Opljačkana je mala tvrtka koja se bavi prodajom raznovrsne opreme velikom broju kupaca. Lopov je provalio u ured tijekom noći i ukrao sva računala i druge vrijedne stvari. Problem je u tome što je vlasnik tvrtke izrađivao sigurnosne kopije podataka, ali ih je pohranjivao na drugom računalu u istom uredu. Tvrtka je uskoro bankrotirala jer nije uspjela oporaviti ključne informacije o poslovanju.

Ovo je klasičan primjer sindroma “To se meni neće dogoditi” koji pogađa većinu malih tvrtki.

Okvir za kontinuitet poslovanja

Znači li to da bi male tvrtke trebale investirati u skupe disaster recovery lokacije s opremom visoke raspoloživosti? Naravno da ne.

U nekim slučajevima stvarno nije potrebno provoditi kontinuitet poslovanja jer vlasnik tvrtke doista sve informacije ima u glavi, ali takvi slučajevi vrlo su rijetki – koji vlasnik nema prijenosnik na kojem su različite vrste važnih informacija? Samo razmišljanje o tome kako te informacije učiniti dostupnima u slučaju havarije dio je uvođenja kontinuiteta poslovanja.

Vlasnici malih tvrtki moraju dobro razmisliti o tome koje su informacije (i ostali resursi) važni za poslovanje, kako se pobrinuti da takve informacije i resursi budu dostupni u slučaju havarije i koje je korake potrebno provesti za oporavak poslovnih aktivnosti u slučaju havarije. Ti koraci zapravo nisu ništa drugo nego provođenje analize utjecaja na poslovanje, strategije kontinuiteta poslovanja, i planova kontinuiteta poslovanja, što bi radila i svaka veća tvrtka koja provodi kontinuitet poslovanja. Svi ovi koraci opisani su u vodećoj normi za kontinuitet poslovanja – BS 25999-2.

Kako se pripremiti

Razlika između malih i velikih tvrtki je u složenosti i cijeni pripreme za kontinuitet poslovanja:

• Sigurnosne kopije elektroničkih podataka – male tvrtke mogu upotrebljavati alate koji sigurnosne kopije podatka s njihovih računala gotovo trenutno pohranjuju u cloud. Naravno, potrebno je voditi brigu o tome da budu obuhvaćeni svi potrebni podaci.
• Sigurnosne kopije papirnatih dokumenata – male tvrtke sada iz svakodnevnog poslovanja mogu gotovo u potpunosti izbaciti papirnate dokumente i prebaciti se na elektroničko poslovanje; u rijetkim slučajevima u kojima moraju postojati, papirnati dokumenti mogu se za potrebe kontinuiteta poslovanja skenirati.
• Alternativne uredske lokacije – u većini slučajeva bit će dovoljno da zaposlenici nastave raditi od kuće. Preduvjet je da imaju internetsku vezu, prijenosno/stolno računalo i lozinke. Ako rad od kuće ne dolazi u obzir, hotelska se soba može unajmiti za manje od sat vremena.
• Hardver – osim ako posao ne zahtijeva rad na posebnom tipu računala, vrlo je lako naći alternativu – obično kod kuće postoji privatno računalo ili se može posuditi od poznanika ili se pak može kupiti u najbližem dućanu računalne tehnike.
• Zaposlenici – za ovo se je možda i najteže pripremiti. Pretpostavimo da jedan zaposlenik nije dostupan, a jedino on/ona zna određene informacije (npr. administratorsku lozinku, korake koje je potrebno poduzeti u sklopu važnog projekta, itd.) – u takvim slučajevima priprema bi obuhvaćala dokumentiranje svih tih informacija kako bi bile dostupne i kad nema tog zaposlenika. Može se i dogoditi da je određeni zaposlenik odsutan, a nitko drugi nema vremena ni znanja da preuzme njegov posao – za takve bi se slučajeve unaprijed trebalo odrediti koga se u kratkom roku može angažirati kao zamjenu. Ovdje je naravno bitno odrediti nekoga tko ima potrebne vještine/kvalifikacije.

Da zaključim: kad se radi o okviru za kontinuitet poslovanja ne postoji razlika između velikih i malih organizacija – i male i velike tvrtke moraju dobro razmisliti koje pripreme moraju provesti kako bi opstale i nakon havarije. Razlika postoji samo u razini pripreme – manje tvrtke mogu proći s vrlo malim ulaganjima.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Ako pratite moj blog, vjerojatno mislite da sam uvjeren da je norma ISO 27001 najsavršeniji dokument koji je ikad napisan. To zapravo nije istina. U radu s klijentima i kad predajem na tu temu, obično nailazim na iste nedostatke ove norme. Ovdje ću ih navesti nekoliko zajedno s prijedlozima kako ih riješiti:

Nejasni izrazi

Neki zahtjevi norme prilično su nejasni:

• Točka 4.3.1 c) zahtjeva da ISMS dokumentacija uključuje …”procedure i kontrole koje podržavaju ISMS” - znači li to da se za svaku kontrolu koja se primjenjuje (Aneks A sadrži 133 kontrole) mora napisati poseban dokument ? Mislim da to nije potrebno. Obično klijentima savjetujem da pišu samo one politike i procedure koje su potrebne iz operativnih razloga i za smanjenje rizika. Sve ostale mjere mogu se ukratko opisati u Izvješću o primjenjivosti budući da ono mora sadržavati opis svih kontrola koje se implementiraju.
• (Ne)dokumentirane politike i procedure – mnoge kontrole iz Aneksa A, politike i procedure spominju se bez riječi “dokumentirati”. To zapravo znači da se takve politike i procedure ne moraju zapisati, ali to 95% čitatelja ne razumije.
• Vanjske strane / treće strane – ti su pojmovi međusobno zamjenjivi što može biti zbunjujuće. Bilo bi puno bolje upotrebljavati samo jedan pojam.

Organizacija norme

Neki zahtjevi norme se ili nalaze na nekoliko mjesta ili se nepotrebno ponavljaju:

• Neke se mjere jednostavno nalaze na krivom mjestu – na primjer, A.11.7 Mobilno računarstvo i rad na daljinu nalazi se u poglavlju A.11 Kontrola pristupa. Iako pri bavljenju mobilnim računarstvom treba voditi računa i o kontroli pristupa, poglavlje A.11 nije najlogičnije mjesto na kojem bi trebalo definirati probleme povezane s mobilnim računarstvom i radom na daljinu.
• Pitanja vezana za vanjske strane razbacana su na više mjesta u normi – u A.6.2 Vanjske strane, A.8 Sigurnost vezana uz ljudske resurse i A.10.2 Upravljanje uslugama trećih strana. Pojavom cloud computinga (prevodi se i kao računarstvo u oblaku) i drugih oblika outsourcinga, preporučljivo je prikupiti sva ta pravila u jednom dokumentu ili jednom skupu dokumenata koji bi se bavio trećim stranama.
• Osvješćivanje i obučavanje zaposlenika traži se i u točki 5.2.2 glavnog dijela norme, i u mjeri A.8.2.2. Osim što je ovakvo ponavljanje nepotrebno, ono unosi dodatnu zbrku – u teoriji bi se svaka mjera iz aneksa A mogla izostaviti, tako da se na kraju može dogoditi da izostavite zahtjev koji se zapravo ne smije izostaviti jer je propisan u glavnom dijelu norme. Isto se događa i s internim auditom (točka 6 glavnog dijela norme) i kontrolom A.6.1.8 Neovisan pregled informacijske sigurnosti.
• Neke kontrole iz Aneksa A imaju širok spektar primjene i mogu uključivati druge kontrole – primjerice, kontrola A.7.1.3 Prihvatljiva uporaba resursa toliko je općenita da može obuhvatiti npr. A.7.2.2. (Rukovanje klasificiranim podacima), A.8.3.2 (Povrat informacijskih resursa prilikom prestanka rada), A.9.2.1 (Zaštita opreme), A.10.7.1 (Upravljanje zamjenjivim medijima), A.10.7.2 (Rashodovanje medija), A.10.7.3 (Procedure postupanja sa informacijama) itd. Klijentima obično savjetujem da napišu jedan dokument koji obuhvaća sve te mjere.

Problemi koji to nisu

Evo nekoliko stvari koja se obično smatraju problematičnima, iako se s tim ne bih složio:

• Norma je previše neodređena, nije dovoljno detaljna – ako bi sadržavala više detalja o potrebnoj tehnologiji, onda bi ubrzo zastarjela. Ako bi sadržavala više detalja o metodama i/ili organizacijskim rješenjima, ne bi bila primjenjiva na sve veličine i vrste organizacija. Na primjer, veliku je banku potrebno drugačije organizirati nego malu marketinšku agenciju – li i jedna i druga bi trebale biti u stanju implementirati ISO 27001.
• Norma ostavlja previše slobodnog prostora – kritičari tu misle na koncept procjene rizika gdje se određene sigurnosne kontrole mogu izostaviti ako nema povezanih rizika. Zato pitaju: “Kako je moguće isključiti izradu sigurnosnih kopija ili antivirusnu zaštitu?” Zapravo, napretkom tehnologije i pojavama poput cloud computinga za ovu vrstu zaštite možda neće biti odgovorna organizacija koja provodi ISO 27001. (Međutim, u tom bi slučaju rizik outsourcinga bio prilično visok tako da bi bile potrebne druge vrste sigurnosnih kontrola.)

I što sada?

Norma će se sigurno morati mijenjati. Trenutna verzija norme ISO/IEC 27001:2005 stara je već šest godina i možemo se nadati da će se sljedeća revizija (koja se očekuje 2012. ili 2013.) pozabaviti većinom navedenih pitanja.

Iako ovi nedostaci često izazivaju zbrku, smatram da norma ima mnogo više pozitivnih nego negativnih strana. I točno, stvarno sam uvjeren da ova norma pruža najbolji okvir za upravljanje informacijskom sigurnošću.

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).

Je li vam se ikada dogodilo da ste dobili zadatak napisati sigurnosnu politiku ili proceduru? No ne želite da vaš dokument dijeli sudbinu mnogih drugih – da skuplja prašinu u nekoj zaboravljenoj ladici? Evo nekoliko razmišljanja koja bi vam mogla pomoći…

Koraci koje ću vam predstaviti temelje se na mom iskustvu s raznim klijentima, velikim i malim, državnim ili privatnim, profitnim ili neprofitnim – mislim da se ti koraci mogu primijeniti u svim navedenim slučajevima. Ti su koraci zapravo primjenjivi na bilo koju vrstu politika i procedura, ne samo na one povezane s ISO 27001 ili BS 25999-2.

1. Proučite zahtjeve

Prvo morate vrlo pažljivo proučiti razne zahtjeve – postoje li zakonski propisi koji zahtijevaju da nešto imate napismeno? Imate li sklopljen ugovor s klijentom? Ili možda neku drugu politiku više razine koja je već postoji u vašoj organizaciji (možda korporativni standard)? Proučiti morate i zahtjeve iz ISO 27001 ili BS 25999-2 ako se želite uskladiti s tim normama.

2. Uzmite u obzir rezultate procjene rizika

Procjenom rizika utvrdit ćete na koje se probleme morate osvrnuti u svojem dokumentu, ali i do koje mjere – primjerice, možda ćete morati odlučiti hoćete li informacije klasificirati prema stupnju povjerljivosti i, ako je tako, jesu li vam potrebne dva, tri ili četiri stupnja povjerljivosti.

Ako vaša politika ili procedura nije povezana s informacijskom sigurnošću ili kontinuitetom poslovanja, ovaj korak možda nije relevantan u tom obliku. Međutim, principi upravljanja rizikom primjenjivi su i na sva druga područja – upravljanje kvalitetom (ISO 9001), upravljanje okolišem (ISO 14001), itd. Na primjer, u ISO 9001 morate odrediti do koje je mjere neki proces ključan za upravljanje kvalitetom i prema tome odlučiti hoćete li ga dokumentirati ili ne.

3. Optimizirajte i uskladite svoj(e) dokument(e)

Važno je razmisliti o ukupnom broju dokumenata – hoćete li napisati deset dokumenta od jedne stranice ili jedan dokument od deset stranica? Puno je lakše upravljati jednim dokumentom, pogotovo ako je ciljna skupina čitatelja ista. (Samo nemojte napraviti jedan dokument od 100 stranica.)

Štoviše, morate svakako svoje dokumente uskladiti s drugim dokumentima – pitanja koje definirate možda su djelomično definirani u nekom drugom dokumentu. U tom slučaju možda neće biti potrebno pisati novi dokument, nego samo proširiti postojeći.

Ako pišete novi dokument o pitanju koje je već spomenuto u drugom dokumentu, svakako izbjegavajte suvišno ponavljanje – nemojte istu stvar opisivati u oba dokumenta. Kasnije će upravljanje tim dokumentima biti noćna mora. Kako biste izbjegli ponavljanja, puno je bolje da se jedan dokument referira na drugi.

4. Strukturirajte dokument

Morate također paziti da dokument bude formatiran u skladu s korporativnim pravilima – možda već imate obrazac s unaprijed definiranim fontovima, zaglavljima, podnožjima i sl.

Ako ste već implementirali ISO 27001 ili BS 25999-2 (ili neku drugu upravljačku normu), morat ćete raditi u skladu s procedurom za upravljanje dokumentacijom – takva procedura osim formatiranja dokumenta definira i pravila za njegovo odobravanje, distribuciju, itd.

5. Napišite dokument

Uobičajeno pravilo glasi – što je organizacija manja i što su manji rizici to je dokumentacija manje složena. Uopće nema smisla pisati opširan dokument koji nitko neće čitati – morate razumjeti da čitanje dokumenta oduzima vremena i da je razina koncentracije pri čitanju obrnuto proporcionalna broju redaka u vašem dokumentu.

Dobar način na koji možete savladati otpor zaposlenika prema ovom dokumentu (nitko ne voli promjene, pogotovo ako to podrazumijeva obvezu poput redovitog mijenjanja lozinke) je da ih uključite u pisanje ili komentiranje dokumenta – na taj će način shvatiti zašto je potreban.

6. Tražite odobrenje za vaš dokument

Ovaj korak se podrazumijeva sam po sebi, ali evo zašto je zapravo važan – ako ne pripadate najvišem menadžmentu u svojoj organizaciji, onda obično nemate ovlaštenje za provođenje dokumenta.

Zato ga netko na toj poziciji mora razumjeti, odobriti i aktivno podupirati njegovu implementaciju. Zvuči jednostavno, ali vjerujte – nije. Implementacija najčešće zapne na ovom kao i na sljedećem koraku.

7. Obučavanje i osvješćivanje zaposlenika

Ovaj korak je možda i najvažniji, ali se nažalost vrlo često zanemaruje. Kao što sam prije spomenuo, zaposlenici su zasićeni neprestanim promjenama i sigurno neće poduprijeti još jednu promjenu, pogotovo ako ona donosi još više posla.

Stoga je vrlo važno da zaposlenicima objasnite zašto je potrebna takva politika ili procedura – zašto je to dobro, ne samo za tvrtku, nego i za njih same.

U nekim će slučajevima biti potrebno obučavanje – bilo bi pogrešno misliti da svatko posjeduje vještine za provođenje novih aktivnosti. Vama kao autoru dokumenta možda će to izgledati jednostavno i samo po sebi razumljivo, ali ostalima se može činiti vrlo komplicirano.

Kraj priče?

Ako ste mislili da je to kraj priče o implementaciji vašeg dokumenta, pogriješili ste – avantura tek počinje. Nije dovoljno imati savršenu politiku ili proceduru koju svi obožavaju. Potrebno ju je i održavati.

Netko mora voditi računa o ažuriranju i poboljšavanju dokumenta, inače više nitko neće na njega obraćati pažnju – a taj netko je obično ista osoba koja ga je i napisala. Osim toga netko mora mjeriti je li dokument ispunio svrhu – opet to možete biti vi.

Čitajući ovaj članak možda ste primijetili da nije dovoljno imati dobar predložak za uspješnu politiku ili proceduru – ono što je potrebno je sustavan pristup njihovoj implementaciji. U njegovoj primjeni nemojte zaboraviti najvažniju činjenicu: dokument nije sam sebi svrha – on je samo alat potreban da bi se aktivnosti i procesi glatko odvijali. Stoga ne dozvolite da se dogodi suprotno – da takav dokument otežava odvijanje tih aktivnosti i procesa.

Pogledajte i naš video tutorijal Kako se piše Procedura za upravljanje dokumentacijom prema ISO 27001/ISO 22301 (video uz naplatu).

Razni izvori najavljuju da će međunarodna norma ISO 22301 do kraja 2011. zamijeniti vodeću normu za kontinuitet poslovanja BS 25999-2. (Update: prema novim informacijama ISO 22301 bi trebao biti objavljen u lipnju ili srpnju 2012. godine) Takve su promjene normalne – ista stvar događa se i s većinom upravljačkih normi, primjerice s ISO 27001, koja je 2005. zamijenila normu BS 7799-2. Koje su to dakle glavne promjene koje norma ISO 22301 donosi u odnosu na BS 25999-2?

Važno je napomenuti da norma ISO 22301 još nije objavljena i da konačna verzija te norme još ne postoji pa se možda neke stvari koje ovdje spominjem neće nalaziti u završnoj verziji. Koristim nacrt norme koji je objavljen u veljači 2011. na internetskoj stranici BSI Draft Review.

ISO 22301 će imati sljedeći naslov: ISO 22301, Društvena sigurnost – sustavi upravljanja kontinuitetom poslovanja – Zahtjevi. Iako “društvena sigurnost” možda zvuči pomalo neobično u usporedbi s kontinuitetom poslovanja, evo na koji je način definira ISO: “… standardizacija u području društvene sigurnosti kojoj je cilj poboljšati mogućnosti kriznog menadžmenta i kontinuiteta poslovanja, tj. kroz poboljšanu tehničku, ljudsku, organizacijsku i funkcionalnu interoperabilnost te zajedničku osviještenost o situaciji među svim zainteresiranim stranama.”

Na prvi pogled očito je da se struktura norme ISO 22301 jako razlikuje od norme BS 25999-2, iako su svi osnovni elementi norme BS 25999-2 i dalje sadržani u ISO 22301.

Pogledajmo malo detaljnije.

Sličnosti …

Najveća je sličnost da će svi ključni elementi kontinuiteta poslovanja iz norme BS 25999-2 također postojati i u ISO 22301: politika kontinuiteta poslovanja, analiza utjecaja na poslovanje, procjena rizika, strategija kontinuiteta poslovanja (u ISO 22301 će se zvati “opcije kontinuiteta poslovanja”), planovi kontinuiteta poslovanja, vježbanje i testiranje, itd.

Analiza utjecaja na poslovanje će vjerojatno biti podijeljena na nekoliko točaka koje će zahtijevati veću preciznost. Zahtjevi za planove kontinuiteta poslovanja, uključujući procedure odziva i planove oporavka, bit će također detaljniji – npr. dio o komunikaciji.

Dio norme BS 25999-2 o upravljanju također će se nalaziti i u novoj normi – upravljanje dokumentacijom, interni audit, pregled od strane menadžmenta, korektivne i preventivne mjere, upravljanje ljudskim resursima, itd. (usput rečeno, ovi elementi postoje i u svim drugim upravljačkim normama – ISO 9001, ISO 14001, ISO 27001…).

Međutim, dokumentacija će se zvati “dokumentirane informacije”, a preventivne mjere “mjere za rješavanje spornih pitanja i problema”.

… i razlike

Model planiranje – implementacija – pregledavanje – poboljšavanje (PDCA ciklus upravljanja) je u normi BS 25999-2 jasnije formuliran nego u ISO 22301, iako norma BS 25999-2 u tom pogledu nije toliko jasna kao ISO 27001. Mislim da to neće utjecati na jasnoću procesa prema kojem se norma implementira budući da su glavna poglavlja norme dosta logično organizirana.

Očito je da će ISO 22301 veći naglasak staviti na postavljanje ciljeva, praćenje performansi i mjerenje, čime će se kontinuitet poslovanja približiti načinu razmišljanja višeg menadžmenta.

Na toj crti razmišljanja ISO 22301 pred menadžment postavlja jasnije zahtjeve i sažima ih u jednom poglavlju.

ISO 22301 će riješiti jedan od nedostataka norme BS 25999-2 i zahtijevat će mnogo pažljivije planiranje i pripremanje resursa za osiguranje kontinuiteta poslovanja – ti zahtjevi sada su prošireni i jasnije strukturirani.

Na kraju, budući da je ISO 22301 međunarodna norma, razlikovat će se i po tome što će certifikacijska tijela inzistirati na certifikaciji prema ovom standardu pa će vrlo brzo zadobiti na popularnosti.

Zaključno se može reći da će svi osnovni elementi norme BS 25999-2 također biti sadržani u normi ISO 22301, samo što će norma ISO 22301 biti preciznija i zahtjevnija. Organizacije koje već provode BS 25999-2 i žele prijeći na ISO 22301 morat će više pažnje posvetiti detaljima i morat će više vremena uložiti u pripremanje i održavanje sustava. S druge strane, norma ISO 22301 će im sigurno pomoći u podizanju razine otpornosti i kredibiliteta – isto se dogodilo i prije 6 godina kad je norma ISO 27001 zamijenila normu BS 7799-2.

To je obično prvo pitanje koje mi postave potencijalni klijenti. Međutim, moram ih razočarati jer im ne mogu odmah reći točan iznos – evo zašto.

Prvo, ukupan trošak implementacije ovisi o veličini organizacije (ili veličini poslovnih jedinica koje će biti uključene u opseg ISO 27001), razini kritičnosti informacija (na primjer, informacije u bankama se smatraju kritičnijima i zahtjevi za njihovom zaštitom su veći), tehnologiji koju organizacija primjenjuje (na primjer, podatkovni centri obično imaju veće troškove jer su njihovi sustavi vrlo složeni) i zahtjevima zakonske regulative (financijski i državni sektor obično su strože regulirani po pitanju informacijske sigurnosti).

Drugo, ne možete precizno izračunati troškove prije nego znate koja razina zaštite vam je potrebna – najprije morate provesti procjenu rizika jer će vam takva analiza reći koje sigurnosne mjere su potrebne.

Kad dobijete rezultate procjene rizika, morate uzeti u obzir sljedeće troškove:

1. Trošak literature i edukacije

Implementacija norme ISO 27001 zahtijeva provedbu promjena u organizaciji i stjecanje novih vještina. Svoje zaposlenike možete pripremiti tako da kupite razne knjige o toj temi i/ili ih pošaljete na tečajeve (uživo ili online) – takvi tečajevi traju od 1 do 5 dana (pročitajte Kako učiti o normama ISO 27001 i BS 25999-2).

I ne zaboravite kupiti samu normu ISO 27001 – često se susrećem s tvrtkama koje implementiraju normu , a da je uopće nisu ni vidjele.

2. Trošak vanjske pomoći

Obučavanje zaposlenika nažalost nije dovoljno. Ako nemate voditelja projekta s velikim iskustvom u implementaciji norme ISO 27001, trebat će vam netko tko posjeduje takvo znanje – možete angažirati konzultanta ili potražiti neku online alternativu (time se bavimo na Information Security & Business Continuity Academy).

Najvažnije što vam u ovakvom projektu može ponuditi netko s iskustvom je da se nećete gubiti u slijepim ulicama, trošeći mjesece i mjesece na aktivnosti koje nisu nužne i proizvodeći tone dokumentacije koju norma ne traži. A to zaista košta.

Ipak, budite oprezni – nemojte očekivati da će konzultant odraditi cijelu implementaciju za vas – ISO 27001 mogu implementirati samo vaši zaposlenici.

3. Trošak tehnologije

Možda se čini čudno, ali većina tvrtki s kojima sam radio nije morala investirati u hardver, softver ili nešto slično – sve je to već postojalo. Najveći izazov obično je bio kako iskoristiti postojeću tehnologiju na sigurniji način.

Međutim, ukoliko se takva tehnologija pokaže kao potrebna, morate planirati i tu investiciju.

4. Trošak vremena zaposlenika

Norma se neće implementirati sama niti je može implementirati samo konzultant (ako ga angažirate). Vaši zaposlenici moraju uložiti vrijeme u identificiranje rizika, poboljšanje postojećih procedura i politika ili implementiranje novih. Moraju odvojiti vrijeme da se educiraju o novim odgovornostima i da se prilagode novim pravilima.

5. Trošak certifikacije

Ako želite javni dokaz o sukladnosti s normom ISO 27001, certifikacijsko tijelo će morati provesti certifikacijski audit, čiji trošak će ovisiti o broju radnih dana koje će provesti na tom zadatku, u rasponu od ispod 10 dana za manje tvrtke do više desetaka radnih dana za veće organizacije. Trošak jednog radnog dana ovisi o lokalnom tržištu.

Morate paziti da ne podcijenite stvaran trošak projekta ISO 27001 – ako to učinite, menadžment će početi gledati na vaš projekt s negativnim predznakom. S druge strane, ispravnim predviđanjem svih troškova pokazat ćete svoju profesionalnost; i ne zaboravite, uvijek morate predstaviti i troškove i koristi – pročitajte Četiri ključne koristi implementacije norme ISO 27001.

Pogledajte i naš video tutorijal Kako pokrenuti projekt ISO 27001 – Pisanje Projektnog plana (video uz naplatu).

Vrlo često slušam izjave o ISO 27001 i ne znam da li bih se smijao ili plakao. Zapravo je smiješno kako ljudi vole donositi odluke o stvarima o kojima znaju vrlo malo – evo nekih uobičajenih zabluda:

“Norma propisuje…”

“Norma propisuje da se lozinke mijenjaju svaka 3 mjeseca.” “Norma propisuje da mora postojati više dobavljača.” “Norma propisuje da lokacija za oporavak nakon havarije mora biti najmanje 50 km udaljena od glavne lokacije.” Stvarno? U normi ne piše ništa od toga. Nažalost, vrlo često čujem takve krive informacije – ljudi obično najbolje prakse smatraju zahtjevima norme. No problem je da nisu sva sigurnosna pravila primjenjiva u svim vrstama organizacija. A ljudi koji tvrde da to propisuje norma obično normu nisu ni pročitali.

“Pustit ćemo da se time bavi odjel za IT”

Ovo je omiljena izjava menadžmenta: “Informacijska sigurnost ionako se tiče samo informacijske tehnologije, zar ne?” Pa i ne baš – najvažniji elementi informacijske sigurnosti ne obuhvaćaju samo IT mjere, nego i organizacijska pitanja i upravljanje ljudskim resursima, koji su obično izvan dosega odjela za IT. Vidi također Informacijska sigurnost ili IT sigurnost.

“Implementirat ćemo normu za nekoliko mjeseci”

Mogli biste implementirati ISO 27001 za dva ili tri mjeseca, ali to neće funkcionirati – dobit ćete samo hrpu politika i procedura za koje nikoga nije briga. Implementacija informacijske sigurnosti znači da morate implementirati promjene, a za to je potrebno dosta vremena.

Da ne spominjem da morate implementirati samo one mjere koje su zaista potrebne, a analiza onoga što je zaista potrebno traje – zove se procjena rizika i obrada rizika.

“U normi se radi samo o dokumentaciji”

Dokumentacija je važan dio implementacije norme ISO 27001, ali dokumentacija nije sama sebi svrha. Poanta je da svoje aktivnosti provodite na siguran način, a dokumentacija je tu da vam pomogne. Također, zapisi koje vodite pomoći će vam da izmjerite jeste li ostvarili ciljeve informacijske sigurnosti i omogućiti da ispravite one aktivnosti čiji su rezultati ispod očekivanih.

“Jedina korist norme je marketinška”

“Ovo radimo samo da bismo dobili certifikat, zar ne?” To je (nažalost) način na koji razmišlja 80 posto tvrtki. Ne želim reći da ISO 27001 ne bi trebalo koristiti u svrhu promidžbe i prodaje, ali možete ostvariti i druge važne koristi, na primjer spriječiti da se i vama dogodi slučaj poput WikiLeaksa. Vidi također Četiri ključne koristi implementacije norme ISO27001 i Pouke WikiLeaksa: Što je zapravo informacijska sigurnost?.

Poanta je sljedeća: pročitajte normu ISO 27001 prije nego stvorite mišljenje o njoj; ili, ako vam je suviše dosadna za čitanje (a priznajem da je), posavjetujte se s nekim tko je dobro poznaje. I pokušajte ostvariti i druge koristi osim marketinških. Drugim riječima, povećajte vjerojatnost da investicija u informacijsku sigurnost bude isplativa.

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).

WikiLeaks je ovih dana s razlogom goruća tema – nije baš uobičajeno da se povjerljivi dokumenti najmoćnije vlade objavljuju na Internetu. A poneki od njih su,  blago rečeno,  neugodni.

Ovdje neću pisati o tome je li legalno to što WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, što će biti s osnivačem WikiLeaksa (u trenutku pisanja ovog članka Julian Assange bio je u pritvoru) itd.

Stvar je u tome što će se, ako se WikiLeaks i ugasi, pojaviti neki novi WikiLeaks. Drugim riječima, opasnost od curenja informacija u javnost neprestano se povećava. (Usput rečeno, prije uhićenja Julian Assange je najavio da će objaviti inkriminirajuće informacije o jednoj od glavnih američkih banaka i njezinom nelegalnom poslovanju.)

Ovdje ću promatrati stvar iz perspektive tvrtki – što ako smo mi sljedeća žrtva WikiLeaksa ili nekog njegovog klona? Kako možemo zaštititi vlastite informacije i spriječiti štetu prouzročenu tako velikim incidentom?

Jednostavan primjer

Kako izgleda informacijska sigurnost u praksi? Uzmimo jednostavan primjer – recimo da svoje prijenosno računalo redovito ostavljate na stražnjem sjedalu automobila – vrlo je vjerojatno da će ga prije ili kasnije netko ukrasti.

Što možete učiniti kako biste umanjili taj rizik? Kao prvo, možete uvesti pravilo (donošenjem procedure ili politike) da se prijenosna računala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizičke zaštite. Kao drugo, informacije možete zaštititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga možete od vaših zaposlenika tražiti da potpišu izjavu prema kojoj su odgovorni za eventualne štete. Ipak, sve ove mjere možda neće imati učinka ako zaposlenicima pravila ne objasnite održavanjem kratke obuke.

Što dakle možete zaključiti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, već je uvijek čini više njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uključuju i organizacijska pitanja, upravljanje ljudskim resursima, fizičku i tehničku zaštitu i pravnu zaštitu.

Problem je sljedeći – ovo je bio primjer samo jednog računala, ne uzimajući u obzir unutarnje prijetnje. Sada zamislite kako je složeno zaštititi informacije u vašoj tvrtki gdje se informacije ne pohranjuju samo na vaš PC, nego i na razne poslužitelje; ne samo u vašu ladicu nego na sve vaše mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se nađe poneki nezadovoljni zaposlenik.

Taj vam se posao čini nemogućim? Težak je, ali nije neizvediv.

Kako postupiti

Za rješavanje ovog složenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir već postoji u obliku normi – najraširenija je norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću, ali postoje i drugi – COBIT, NIST SP 800 series, PCI DSS, itd.

Ovdje ću se usredotočiti na ISO 27001 – ova norma pruža dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilnošću da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Međutim, najbolja odlika ove norme je da definira upravljački okvir za kontrolu i upravljanje sigurnosnim pitanjima, čime upravljanje sigurnošću postaje dio cjelokupnog upravljanja organizacijom.

Ukratko – ova vam norma pomaže u sagledavanju svih oblika informacija, svih rizika i pruža vam modus za pažljivo rješavanje svakog potencijalnog problema i očuvanje sigurnosti informacija.

Posljedice za poslovanje

Dakle, trebaju li korporacije strahovati da će njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije etično.

Međutim, tvrtke koje posluju legalno, a žele zaštititi svoje poslovanje, ne mogu razmišljati samo o povratu na investiciju, tržišnom udjelu, ključnim kompetencijama i dugoročnoj viziji. U svojoj strategiji moraju također uzeti u obzir sigurnosna pitanja budući da ih nezaštićene informacije mogu stajati više od npr. neuspjelog pokušaja lansiranja proizvoda. Pod sigurnošću ne mislim samo na fizičku i tehničku zaštitu jer to jednostavno više nije dovoljno – tehnologija omogućuje da informacije cure na razne načine.

Potreban je sveobuhvatan pristup informacijskoj sigurnosti – nije važno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to činite sustavno. Trud koji je potrebno uložiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju – to nije nešto što vaši ljudi iz IT-a mogu napraviti sami – to je nešto u čemu mora sudjelovati cijela tvrtka, počevši od uprave.

Educiranje o normama ISO 27001 i BS 25999-2 sigurno je jedan od najboljih načina na koji si možete olakšati njihovu implementaciju. Budući da je ponuda tečajeva sve veća, pokušat ću objasniti koje su prednosti pojedinih vrsta tečajeva i kako se međusobno razlikuju.

Prvo slijedi popis klasičnih tečajeva koji još uvijek dominiraju, ali polako ustupaju mjesto online tečajevima (o njima će biti govora na kraju članka).

ISO 27001 ili BS 25999-2 Lead Auditor tečaj

Ovaj je tečaj najpopularniji i za ISO 27001 i za BS 25999-2 – traje 5 dana, a na kraju se polaže pismeni ispit. Budući da je ispit dosta težak, ovo se smatra tečajem najvišeg ranga. Ako položite ispit, možete postati auditor u nekom certifikacijskom tijelu. Međutim, to nije glavna korist ovog tečaja – najkorisniji će biti stručnjacima koji implementiraju norme jer će im dati izvrstan pregled normi, ali i temeljito objasniti što će certifikacijski auditor pregledavati tijekom certifikacijskog audita. Koristan je stoga i auditorima i osobama koje implementiraju norme.

Ovaj tečaj namijenjen je stručnjacima s umjerenim i bogatim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja, auditiranja ili IT-a. Birajte samo akreditirane tečajeve (primjerice tečajevima koje akreditira IRCA – irca.org).

ISO 27001 ili BS 25999-2 Lead Implementer tečaj

Ovaj tečaj pomalo sliči tečaju za glavnog auditora (Lead Auditor) normi ISO 27001 ili BS 25999-2, ali nije toliko popularan. Razlikuje se po tome što je naglasak na tehnikama implementacije, a ne na tehnikama auditiranja – dakle, ovaj će vam tečaj vjerojatno više odgovarati ako nemate ulogu tijekom certifikacije.

I ovaj je tečaj namijenjen sličnoj ciljnoj publici – stručnjacima s umjerenim ili bogatim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja ili IT-a.

ISO 27001 ili BS 25999-2 Internal Auditor tečaj

Ovaj je tečaj “light” verzija tečaja za glavnog auditora po normi ISO 27001 ili BS 25999-2; obično traje 2 do 3 dana, sa ili bez ispita, a po sadržaju odgovara tečaju za glavnog auditora, ali u sažetom obliku. Glavna razlika je u tome što s ovim tečajem ne možete raditi kao auditor za certifikacijsko tijelo. Međutim, ako se na sustavan način želite upoznati sa svijetom norme ISO 27001 ili BS 25999-2 ili planirate postati interni auditor u svojoj tvrtki, ovaj tečaj je pravi izbor za vas.

Tečaj je namijenjen stručnjacima s malim ili umjerenim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja ili IT-a.

Uvodni tečaj / Osnovni tečaj o normi ISO 27001 ili BS 25999-2

Ovi tečajevi obično traju jedan ili dva dana – svrha im nije poučiti vas tehnikama auditiranja ili implementacije, nego pružiti pregled zahtjeva i pitanja vezanih za implementaciju. Ako nemate mnogo vremena, a želite znati što vašu tvrtku očekuje u postupku implementacije, razmislite o pohađanju jednog od ovih tečajeva.

Tečaj je namijenjen menadžmentu ili stručnjacima koji nemaju iskustva s informacijskom sigurnošću ili kontinuitetom poslovanja.

Ostali tečajevi o informacijskoj sigurnosti / kontinuitetu poslovanja

Možda ste čuli za CISA-u (Certified Information Systems Auditor), CISM (Certified Information Security Manager) ili CISSP (Certified Information Systems Security Professional) – iako ove tečajeve smatram vrlo korisnima za rad u području informacijske sigurnosti ili kontinuiteta poslovanja, oni ipak nisu izravno povezani s normama ISO 27001 i BS 25999-2. Stoga biste tečajeve CISA, CISM i/ili CISSP trebali pohađati nakon što završite tečajeve direktno povezane s ove dvije norme.

Online tečajevi

Osim gore navedenih klasičnih tečajeva postoje i online tečajevi (u obliku e-learning tečajeva ili u obliku webinara) koji su sve popularniji, dijelom zbog nižih troškova – izostaju troškovi putovanja, i ne gubite vrijeme izbivanjem iz ureda. Na internetu je prisutan sve veći broj ponuđača kvalitetnog sadržaja (uključujući i našu Information Security & Business Continuity Academy) – naći ćete tečajeve koji traju od jednog sata (besplatni webinari) do nekoliko tjedana (npr. e-learning tečajevi).

Glavna prednost online tečajeva je stjecanje relevantnog znanja u kraćem vremenu za manje novca, iako je pitanje učinkovitosti ovakvih tečajeva i dalje otvoreno.

No, neovisno o obliku ili vrsti tečaja koji odaberete, možete biti sigurni da će vam se investicija vrlo brzo isplatiti.

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u  ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati  kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita  je saznati  je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto  u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).