ISO 27001 & BS 25999

Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Zašto norme ISO 27001 i BS 25999-2 toliko naglašavaju potrebu za kontrolom dokumentacije? Obje norme vrlo precizno definiraju način na koji treba upravljati dokumentacijom i zahtijevaju od organizacije da posjeduje dokumentiranu proceduru za upravljanje dokumentacijom – a da stvar bude još gora, bez takve procedure ne možete dobiti certifikat.

Dokumenti mogu biti raznovrsni –  u obliku papirnatih dokumenata, tekstualnih datoteka ili tablica, video ili audio datoteka, i sl. Osim  što mora upravljati internim dokumentima (npr., raznim politikama, procedurama, projektnom dokumentacijom, itd.), organizacija mora upravljati i vanjskom dokumentacijom (npr. raznim oblicima korespondencije, dokumentacijom zaprimljenom uz opremu, i sl.). Drugim riječima, upravljanje dokumentacijom prilično je složen i sveobuhvatan zadatak.

Zašto je, dakle, važno upravljati dokumentacijom? Jeste li se, na primjer, ikada našli u situaciji da ne možete pronaći neki važan dokument? Ili ste uočili da vaši zaposlenici koriste krivu (stariju) verziju procedure? Ili da neki zaposlenici uopće nisu dobili važnu proceduru? Ili da možda nije jasno o kojoj se verziji procedure radi? Ili da je neki povjerljivi dokument proslijeđen krivim ljudima? Ako se nikada niste zatekli u takvim problematičnim situacijama, vjerojatno ste doživjeli sljedeće – vaše procedure naprosto nisu ažurirane.

Ako nemate sustavan pristup upravljanju dokumentacijom, vjerojatno ćete se prepoznati u nekim od navedenih situacija – zbog toga ISO 27001 i BS 25999-2 od organizacija traže da uvedu sustavan pristup propisivanjem procedure za upravljanje dokumentacijom.

Takva procedura mora jasno definirati odgovornosti za dokumente – tko ima ovlaštenje za odobravanje dokumenata, kako se distribuiraju i arhiviraju, kako se ažuriraju, koji sustav za verzioniranje se koristi, kako se označavaju promjene na dokumentu, kako se postupa s vanjskim dokumentima, i sl.

Budući da je upravljanje dokumentacijom toliko bitno, možete biti sigurni da certifikacijski auditor neće samo provjeravati postoje li takve procedure nego i upravlja li se dokumentacijom zaista onako kako je to definirano procedurom upravljanja dokumentacijom. Uvođenje ove procedure vjerojatno  znači da ćete morati promijeniti svoj sustav rukovanja dokumentacijom, da ćete dokumente morati pohranjivati na intranetu ili provoditi složeniji sustav upravljanja dokumentacijom, te da ćete morati organizirati arhiv za papirnatu dokumentaciju.

Kad započnete s provedbom norme ISO 27001/BS 25999-2, uvidjet ćete važnost zapisivanja, ali ćete i shvatiti da te zapisane stvari moraju biti organizirane kako ne biste izgubili kontrolu nad njima. Dokumentacija je zapravo krvotok vašeg sustava upravljanja – dobro se brinite za njega ako želite da vaš ostane zdrav.

Pogledajte i naš video tutorijal Kako odrediti i dokumentirati opseg ISMS-a prema ISO 27001 (video uz naplatu).

Ako se po prvi put susrećete s pojmom internog auditora vjerojatno ste zbunjeni – Zašto mi je potrebna još jedna provjera? Tko će to platiti? Koga da angažiram da to napravi? To je toliki gubitak vremena …

Sve ipak ne mora biti tako loše – osim što ih propisuju norme ISO 27001 i BS 25999-2, interni auditi mogu biti korisni i za druge vidove poslovanja (bili oni povezani s informacijskom sigurnošću i kontinuitetom poslovanja ili ne).

Smisao internog audita otkrivanje je problema koji bi inače ostali skriveni i koji bi kao takvi mogli naštetiti poslovanju. Budimo realni – ljudski je griješiti, pa je samim time nemoguće uspostaviti sustav bez grešaka. Moguće je, međutim, imati sustav koji ima sposobnost usavršavanja i učenja iz vlastitih pogrešaka. Interni auditi presudan su dio takvog sustava.

Interni audit može se provoditi na nekoliko načina:

a)      Angažiranjem internog auditora na puno radno vrijeme – to odgovara samo većim organizacijama koje imaju dovoljno posla za takvu osobu (neke vrste organizacija, npr. banke, imaju zakonsku obvezu zaposliti nekoga na toj funkciji)

b)      Angažiranjem internog auditora na dio radnog vremena – to je najčešći oblik angažiranja auditora – organizacije koriste vlastite zaposlenike da uz svoje redovne zadatke obavljaju i interne audite. Valja pripaziti na sljedeće: kako bi se izbjegao sukob interesa (auditori ne mogu kontrolirati vlastiti rad), trebala bi postojati barem dva interna auditora kako bi jedan mogao provjeravati redovni posao drugoga.

c)      Angažiranjem internih auditora izvan organizacije – iako ta osoba nije zaposlena u organizaciji, svejedno se to smatra internim auditom jer audit provodi sama organizacija, prema vlastitim pravilima. Audit obično provodi osoba koja je upućena u tu vrstu posla (neovisni konzultant i sl.)

Ipak, iz iskustva kao auditor znam da većina organizacija interne audite nažalost provodi samo kako bi zadovoljila certifikacijsko tijelo. Na takvim se auditima obično ustanovi nekoliko nesukladnosti, ali se ne zalazi duboko u stvarne nedostatke sustava upravljanja informacijskom sigurnošću (ISMS) ili sustava upravljanja kontinuitetom poslovanja (BCMS). To je gubitak vremena – kad je tvrtka već uložila vrijeme svojih internih auditora u obavljanje takvog posla, trebala bi od toga imati i koristi.

Kako onda pravilno pristupiti internom auditu – evo nekih razmišljanja:

1. Menadžment bi interne audite trebao smatrati najboljim alatom za poboljšanje sustava, a ne samo sredstvom za dobivanje certifikata.
2. Interni audit trebala bi provoditi kvalificirana osoba – to znači da mora imati iskustvo vezano za  informacijsku sigurnost, informacijsku tehnologiju i tehnike auditiranja. To ne znači da auditor mora biti stručnjak za ta područja.
3. Interni audit trebao bi se provoditi s pozitivnim predznakom – cilj bi trebao biti poboljšati vaš sustav, a ne predbacivati zaposlenicima njihove pogreške.

Dobro je ipak što sam kao certifikacijski auditor vidio i organizacije koje interni audit provode na pravilan način. Iako je zaposlenicima bilo pomalo nelagodno da netko provjerava njihove aktivnosti, vrlo su brzo uvidjeli korist takvog pristupa – problemi su jasno uočeni i ubrzo  riješeni.

Pogledajte i naš video tutorijal Kako se piše Procedura za interni audit i Program audita prema ISO 27001/ISO 22301 (video uz naplatu).

Razmišljate o uvođenju norme za upravljanje kontinuitetom poslovanja/norme BS 25999-2? No onda saznate da će vas to puno koštati? Koštati vas vjerojatno hoće, ali ne nužno onoliko koliko ste mislili – to možete riješiti dobrom strategijom kontinuiteta poslovanja.

Norma BS 25999-2 strategiju kontinuiteta poslovanja definira kao “pristup organizacije koji osigurava njezin oporavak i kontinuitet u slučaju havarije ili drugih većih incidenata ili prekida u poslovanju”. Poanta je, dakle, da se na najbolji mogući način pripremite na djelovanje u slučaju havarije. Priprema može uključivati organizacijske mjere (pisanje planova, sklapanje ugovora s dobavljačima/partnerima, vježbanje, pregled, osvješćivanje itd.) i ulaganje u opremu, infrastrukturu itd.

Vrijeme je vrlo važan faktor u oporavku – ako svoje poslovanje ne oporavite u razumnom roku, vjerojatno ćete izgubiti klijente, a time i posao. Zato se u strategiji kontinuiteta poslovanja mora postaviti ciljano vrijeme oporavka za svaku kritičnu aktivnost, s tim da to vrijeme može biti različito za pojedine aktivnosti.

Ima još jedna stvar koju treba uzeti u obzir: što je ciljano vrijeme oporavka kraće, potrebna je veća investicija  – na primjer, ako podatkovni centar želite oporaviti za manje od sat vremena, morat ćete investirati u rezervnu lokaciju koja će biti opremljena gotovo isto kao i primarna lokacija; s druge strane, ako podatkovni centar želite oporaviti unutar dva tjedna, investicija će biti puno manja jer će biti dovoljno na rezervnoj lokaciji pohraniti samo sigurnosne kopije, što vam ostavlja dva tjedna za nabavku potrebne opreme. To znači da ciljano vrijeme oporavka ne biste trebali postavljati ni na jako dugi, ali ni jako kratki rok.

Nešto ćete ipak morati investirati nakon što odredite ciljano vrijeme oporavka. Dobra strategija kontinuiteta poslovanja pomoći će vam doduše da tu investiciju umanjite i da svejedno budete u stanju oporaviti svoje kritične aktivnosti unutar ciljanog vremena oporavka. Evo nekoliko primjera:

• možda vam na rezervnoj lokaciji ne treba vlastiti podatkovni centar – u većini zemalja moguće je takvu lokaciju unajmiti od specijalizirane tvrtke, što znači da ne morate investirati u infrastrukturu, možda čak ni u opremu ili softver,
• možda vam na rezervnoj lokaciji ne trebaju uredi– zaposlenici koji ne posluju direktno s klijentima mogu raditi od kuće,
• možda vam uopće ne treba rezervna lokacija ako ostale poslovne jedinice imate na raznim lokacijama koje mogu preuzeti kritične aktivnosti pogođene havarijom,
• opremu možda ne morate kupovati unaprijed ako pronađete dobavljača koji može jamčiti isporuku opreme unutar vašeg ciljanog vremena oporavka,
• itd.

Svi ovi primjeri zahtijevaju povećanje vaših organizacijskih mogućnosti, ali ako želite uštedjeti nešto novca, vrijedi o tome razmisliti.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Već ste uveli normu ISO 9001? Čuli ste da bi možda bilo dobro uvesti i normu ISO 27001? Ali kako vam nešto vezano za kvalitetu može pomoći u provedbi informacijske sigurnosti?

Može, i više nego što mislite. Norma ISO 9001 opisuje kako mora izgledati sustav upravljanja kvalitetom (QMS), dok ISO/IEC 27001 opisuje sustav upravljanja informacijskom sigurnošću (ISMS). Zajedničko im je “sustav upravljanja”  – pa što je to zapravo?

Filozofija sustava upravljanja razvila se iz teorije koju je W. Edwards Deming osmislio u drugoj polovici 20. stoljeća, a temelji se na PDCA krugu (engl. Plan-Do-Check-Act). Taj se krug u osnovi sastoji od sljedećeg: u Fazi planiranja morate odrediti što sustavom upravljanja želite postići, u Fazi implementacije to provodite, u Fazi pregledavanja konstantno pratite jeste li planirano ostvarili, a u Fazi poboljšavanja popravljate tj. zatvarate raskorak između onoga što ste planirali i što je ostvareno.

Iako je ovaj krug osmišljen u kontekstu upravljanja kvalitetom, postao je temelj za sve druge sustave upravljanja – informacijsku sigurnost (ISO/IEC 27001), okoliš (ISO 14001), kontinuitet poslovanja (BS 25999-2), itd. To znači da neke od elemenata koje ste uveli kao dio sustava za upravljanje kvalitetom prema ISO 9001 možete također iskoristiti u sustavu upravljanja informacijskom sigurnošću – ovdje je popis:

• Upravljanje dokumentacijom  – postupak koji se koristi za upravljanje dokumentacijom u QMS-u može se u istu svrhu koristiti u ISMS-u, samo s manjim prilagodbama
• Interni audit – isti se postupak može koristiti i za QMS i za ISMS, iako bi sam interni audit trebale provesti različite osobe jer je mala vjerojatnost da jedna osoba posjeduje dovoljno znanja i o informacijskoj sigurnosti i o kvaliteti
• Popravne i preventivne mjere – postupak koji se koristi u QMS-u može se koristiti u iste svrhe i u ISMS-u, iako će vjerojatno različiti ljudi rješavati pitanja vezana za QMS ili ISMS
• Upravljanje ljudskim resursima – isti krug planiranja, obuke i evaluacije ljudskih resursa koristi se u oba sustava upravljanja; naravno, razlika je u profilu potrebnih vještina i znanja
• Pregled od strane menadžmenta – princip pregleda od strane menadžmenta isti je za oba sustava upravljanja; iako se ne preporučuje paralelno provođenje oba pregleda, menadžment će već biti naučen na donošenje odluka vezanih za QMS pa će bolje razumjeti kako se odluke donose u kontekstu ISMS-a.
• Postavljanje poslovnih ciljeva i praćenje jesu li postignuti – obje norme sadrže isti mehanizam, pa će menadžment biti naviknut na takvo sustavno planiranje

Stoga, ako ste već uveli ISO 9001, bit će vam lakše provoditi normu ISO 27001 (i obratno) – možete uštedjeti do 30% vremena. Također, certifikacijski auditi bit će jeftiniji jer certifikacijska tijela nude tzv. “integrirane audite”, što znači da u istom auditu mogu obuhvatiti norme ISO 9001 i ISO 27001, i naplatiti manje nego za odvojene audite.

Ako vaš QMS dobro funkcionira i projekt ISMS-a će se odvijati glatko – menadžment će bolje razumjeti potencijalnu korist za poslovanje dok će sve organizacijske jedinice biti naučene na potrebu definiranja jasnih procedura, odgovornosti i dokumentacije.

Već uveden sustav upravljanja kvalitetom zaista pruža dobru osnovu za informacijsku sigurnost – ako ste već uveli normu ISO 9001, ozbiljno razmislite o normi ISO 27001.

Pogledajte i naš besplatni webinar Implementacija ISO 27001: Kako si olakšati posao pomoću norme ISO 9001.

Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

Zato svojim klijentima uvijek kažem – IT sigurnost čini samo  50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

Norma ISO 27001 u Aneksu A nudi 133 mjere – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

• mjere vezane za IT: 46%
• mjere vezane za organizaciju/dokumentaciju: 30%
• mjere fizičke sigurnosti: 9%
• pravna zaštita: 6%
• mjere vezane za odnose s dobavljačima i kupcima: 5%
• mjere upravljanja ljudskim resursima: 4%

Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) pokušavaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme ISO 27001. Rezultat je da to obično oduzima previše vremena i novca, a ne proizvodi dovoljne učinke.

Prije svega, što je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomoću kojeg organizacija treba uočiti rizike vezane za  informacijsku sigurnost i odrediti njihovu vjerojatnost i posljedice. Pojednostavljeno rečeno, organizacija bi trebala prepoznati sve potencijalne probleme vezane za  informacije, kolika je vjerojatnost da se pojave i koje bi mogle biti posljedice. Svrha procjene rizika je utvrđivanje mjera koje su potrebne da bi se rizik smanjio – odabir mjera naziva se procesom obrade rizika, a u normi ISO 27001 one se odabiru iz Aneksa A u kojem su navedene 133 mjere.

U procjeni rizika moraju se identificirati i ocijeniti resursi, ranjivosti i prijetnje. Resurs je sve ono što ima vrijednost za organizaciju – hardver, softver, ljudi, infrastruktura, podaci (u raznim oblicima i na raznim medijima), dobavljači i partneri, itd.  Ranjivost je slabost resursa, procesa, mjere itd. koju bi prijetnja mogla iskoristiti;  prijetnja je bilo koji uzrok koji može naštetiti sustavu ili organizaciji. Primjer ranjivosti je nepostojanje antivirusnog softvera; s time povezana prijetnja je računalni virus.

Sad kad sve to znate, a vaša organizacija je mala, zapravo vam nije potreban sofisticiran alat za provedbu procjene rizika. Sve što vam treba je Excel tablica, dobar katalog ranjivosti i prijetnji i dobra metodologija procjene rizika. Pravi posao se zapravo sastoji u tome da ocijenite vjerojatnost i učinke, a to ne može svaki alat – to je nešto o čemu moraju razmišljati vaši vlasnici resursa koristeći svoje znanje o tim resursima.

Dakle, gdje nabaviti katalog i metodologiju? Ako koristite usluge konzultanta, on bi tvam ih trebao dati. U suprotnom, na internetu postoji nekoliko besplatnih kataloga, samo ih morate potražiti pomoću  Googlea. Metodologija nije dostupna besplatno, ali možete koristiti normu ISO 27005 (ona detaljno opisuje procjenu i obradu rizika), ili možete koristiti neke druge web stranice koje prodaju metodologiju. Za sve to bi trebalo znatno manje vremena i novca nego za kupnju alata za procjenu rizika i učenje kako se koristi.

Dobra metodologija trebala bi sadržavati metodu za identifikaciju resursa, prijetnji i ranjivosti, tablice za označavanje vjerojatnosti i učinaka, metodu za izračun rizika, te definirati prihvatljivu razinu rizika. U katalozima bi trebalo biti navedeno najmanje 30 ranjivosti i 30 prijetnji; u nekim se katalozima navodi i po nekoliko stotina ranjivosti i prijetnji, ali to je vjerojatno previše za malu tvrtku.

Postupak zaista nije kompliciran – evo osnovnih koraka za procjenu i obradu:

1. definirajte i dokumentirajte metodologiju (uključujući kataloge), dostavite je svim vlasnicima resursa u organizaciji
2. organizirajte intervjue sa svim vlasnicima resursa u kojima ćete od njih zatražiti da identificiraju svoje resurse i s njima povezane ranjivosti i prijetnje; u drugom koraku ih zamolite da ocijene vjerojatnost i učinak pojave određenog rizika
3. objedinite podatke u jednoj Excel tablici, izračunajte rizike i odredite neprihvatljive rizike
4. za svaki neprihvatljiv rizik odaberite jednu ili više mjera iz Aneksa A norme ISO 27001 – izračunajte koja bi bila nova razina rizika nakon provedbe tih mjera

Da zaključim: procjena i obrada rizika zaista jesu temelj informacijske sigurnosti / ISO 27001, što ne znači da moraju biti komplicirane. Možete ih provesti  na jednostavan način, bitan je samo zdrav razum.

Pogledajte i naš video tutorijal Kako provesti obradu rizika prema ISO 27001 (video uz naplatu).

Već duže vrijeme provodite normu ISO 27001, uložili ste mnogo u obrazovanje, konzultantske usluge i implementaciju raznih mjera. Sada dolazi auditor certifikacijskog tijela – hoćete li dobiti certifikat?

Takav strah je normalan – nikada ne možete znati sadrži li vaš sustav upravljanja informacijskom sigurnošću (ISMS) sve što certifikacijsko tijelo traži. Ali što je to točno što će auditor pregledavati?

Auditor će prvo provesti audit prvog stupnja, tzv. “pregled dokumentacije” -  u ovom dijelu audita auditor će provjeravati što je sve obuhvaćeno dokumentacijom, politiku i ciljeve ISMS-a, opis metodologije procjene rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, Plan obrade rizika, procedure za upravljanje dokumentacijom, za popravne i preventivne mjere te procedure za interni audit. Također ćete morati dokumentirati neke mjere iz Aneksa A (samo ako ste ih naveli kao primjenjive u Izvješću o primjenjivosti) – popis resursa (A.7.1.1), prihvatljiva uporaba resursa (A.7.1.3), uloge i odgovornosti zaposlenika, dobavljača i trećih korisnika, (A.8.1.1), uvjeti zapošljavanja (A.8.1.3), procedure za rad informacijskih sustava (A.10.1.1), politika kontrole pristupa (A.11.1.1), te ustanovljavanje primjenjivih zakona i regulative (A.15.1.1). Također ćete morati imati zapise s barem jednog internog audita i pregleda od strane menadžmenta.

Ako samo jedan od ovih elemenata nedostaje, znači da niste spremni za audit drugog stupnja. Možete naravno imati još mnogo dokumenata ako to smatrate potrebnim – navedeno je samo popis minimalnih zahtjeva.

Audit drugog stupnja zove se i “Glavni audit” i obično se obavlja nekoliko tjedana nakon audita prvog stupnja. U ovom auditu naglasak nije na pregledu dokumentacije, već na tome provodi li vaša organizacija uistinu sadržaj dokumentacije i zahtjeve norme ISO 27001. Drugim riječima, auditor će provjeriti je li ISMS zaista zaživio u vašoj organizaciji ili je to samo mrtvo slovo na papiru. Auditor će provjeru vršiti promatranjem, razgovorom sa zaposlenicima, ali ponajprije provjerom zapisa. Obavezno moraju postojati zapisi o edukaciji, obučavanju, vještinama, iskustvu i kvalifikacijama (5.2.2), zapisi o internom auditu (6), pregledu od strane menadžmenta (7.1), popravnim (8.2) i preventivnim (8.3) mjerama; auditor će međutim očekivati i mnogo drugih zapisa koji su rezultat provođenja procedura.

Ovdje morate biti oprezni – svaki iskusni auditor odmah će primijetiti ako je bilo koji dio vašeg ISMS-a umjetan i sastavljen samo za potrebe audita.

U redu, sve ovo ste znali, ali se ipak dogodilo – auditor je našao veću nesukladnost i rekao vam da vam ne može izdati certifikat ISO 27001. Je li to kraj svijeta?

Naravno da nije. Postupak je sljedeći – auditor će utvrđenu situaciju zabilježiti u izvješću audita (uključujući i veću nesukladnost) i zadati vam rok u kojem nesukladnost morate otkloniti (obično 90 dana). Vaš je zadatak da poduzmete potrebne popravne mjere. No morate biti oprezni – mjera mora riješiti uzrok nesukladnosti, inače auditor možda neće prihvatiti ono što ste učinili. Kad ste sigurni da ste poduzeli prave mjere, morate obavijestiti auditora i poslati mu dokaz za ono što ste poduzeli. Ako ste posao obavili temeljito, auditor će u većini slučajeva prihvatiti vaše popravne mjere i pokrenuti postupak za izdavanje certifikata.

Eto – trebalo vam je nešto vremena, ali sada ste ponosni vlasnik certifikata ISO/IEC 27001. (Ipak budite oprezni – certifikat vrijedi samo tri godine i može u tom razdoblju biti suspendiran ako tijekom nadzornog posjeta certifikacijsko tijelo uoči neku drugu veću nesukladnost.)

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).

Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija  glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima -  dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da  informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste proceduremožete koristiti i za BS 25999-2 (uz manje prilagodbe).

U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

Pogledajte i naš besplatni webinar ISO 27001 & BS 25999-2: Zašto ih je bolje implementirati zajedno?.

Imate izvrsnu ideju da bi vam norma ISO 27001 mogla pomoći u postizanju sukladnosti, privlačenju novih klijenata, smanjenju troškova incidenata i povećanju učinkovitosti temeljnih IT procesa?  Ideja je dobra, ali kad se radi o implementaciji, stvari se kompliciraju.

Prvo biste trebali uvjeriti menadžment (ako sami niste dio višeg menadžmenta) da je ISO 27001 zaista ono što vašoj tvrtki treba. Menadžment je obično preopterećen drugim obvezama i rokovima, te se vjerojatno ne želi upuštati u još jedan projekt o kojem mora voditi brigu.

Čak i ako je menadžment spreman učiniti nešto za informacijsku sigurnost, postavlja se drugo pitanje – kako to financirati? Na prvi vam se pogled čini da ta “papirologija ne bi trebala biti preskupa”, ali ubrzo shvatite da morate platiti konzultante, kupiti literaturu, educirati zaposlenike, investirati u nabavku softvera i opreme, platiti certifikaciju itd.

Ali recimo da nekim čudom pronađete potreban novac za sve to, nameće se treće pitanje: tko će to zapravo raditi? Ako imate konzultanta koji je iskren, reći će vam da nije dovoljno da vas konzultant samo opskrbi  predlošcima dokumentacije, nego i da se morate potruditi da tu dokumentaciju prilagodite svojoj situaciji. No ni tu nije kraj – konzultant će vam također kazati da zaista morate postupati prema dokumentaciji (i normi). Pri tom se ne radi samo o jednokratnom poslu nego o trajnoj obvezi.

Pristupate zatim svojim kolegama i pitate ih kako podijeliti poslove oko provedbe i vođenja norme ISO 27001, a oni odjednom promijene temu. Još gore, mogli biste od menadžmenta zatražiti da angažira Voditelja informacijske sigurnosti koji, zbog nedostatka ljudi tog profila na tržištu, ne radi za sitne novce.

I tako vas na kraju imenuju voditeljem projekta za uvođenje norme ISO 27001, s time da morate raditi s malim ili gotovo nikakvim budžetom, s timom koji se ustvari ne želi baviti informacijskom sigurnošću, te menadžmentom, koji nakon pokretanja projekta certifikat želi dobiti u što kraćem roku.

Jeste li još uvijek zainteresirani za normu ISO 27001?

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).