ISO 27001 & BS 25999

To je obično prvo pitanje koje mi postave potencijalni klijenti. Međutim, moram ih razočarati jer im ne mogu odmah reći točan iznos – evo zašto.

Prvo, ukupan trošak implementacije ovisi o veličini organizacije (ili veličini poslovnih jedinica koje će biti uključene u opseg ISO 27001), razini kritičnosti informacija (na primjer, informacije u bankama se smatraju kritičnijima i zahtjevi za njihovom zaštitom su veći), tehnologiji koju organizacija primjenjuje (na primjer, podatkovni centri obično imaju veće troškove jer su njihovi sustavi vrlo složeni) i zahtjevima zakonske regulative (financijski i državni sektor obično su strože regulirani po pitanju informacijske sigurnosti).

Drugo, ne možete precizno izračunati troškove prije nego znate koja razina zaštite vam je potrebna – najprije morate provesti procjenu rizika jer će vam takva analiza reći koje sigurnosne mjere su potrebne.

Kad dobijete rezultate procjene rizika, morate uzeti u obzir sljedeće troškove:

1. Trošak literature i edukacije

Implementacija norme ISO 27001 zahtijeva provedbu promjena u organizaciji i stjecanje novih vještina. Svoje zaposlenike možete pripremiti tako da kupite razne knjige o toj temi i/ili ih pošaljete na tečajeve (uživo ili online) – takvi tečajevi traju od 1 do 5 dana (pročitajte Kako učiti o normama ISO 27001 i BS 25999-2).

I ne zaboravite kupiti samu normu ISO 27001 – često se susrećem s tvrtkama koje implementiraju normu , a da je uopće nisu ni vidjele.

2. Trošak vanjske pomoći

Obučavanje zaposlenika nažalost nije dovoljno. Ako nemate voditelja projekta s velikim iskustvom u implementaciji norme ISO 27001, trebat će vam netko tko posjeduje takvo znanje – možete angažirati konzultanta ili potražiti neku online alternativu (time se bavimo na Information Security & Business Continuity Academy).

Najvažnije što vam u ovakvom projektu može ponuditi netko s iskustvom je da se nećete gubiti u slijepim ulicama, trošeći mjesece i mjesece na aktivnosti koje nisu nužne i proizvodeći tone dokumentacije koju norma ne traži. A to zaista košta.

Ipak, budite oprezni – nemojte očekivati da će konzultant odraditi cijelu implementaciju za vas – ISO 27001 mogu implementirati samo vaši zaposlenici.

3. Trošak tehnologije

Možda se čini čudno, ali većina tvrtki s kojima sam radio nije morala investirati u hardver, softver ili nešto slično – sve je to već postojalo. Najveći izazov obično je bio kako iskoristiti postojeću tehnologiju na sigurniji način.

Međutim, ukoliko se takva tehnologija pokaže kao potrebna, morate planirati i tu investiciju.

4. Trošak vremena zaposlenika

Norma se neće implementirati sama niti je može implementirati samo konzultant (ako ga angažirate). Vaši zaposlenici moraju uložiti vrijeme u identificiranje rizika, poboljšanje postojećih procedura i politika ili implementiranje novih. Moraju odvojiti vrijeme da se educiraju o novim odgovornostima i da se prilagode novim pravilima.

5. Trošak certifikacije

Ako želite javni dokaz o sukladnosti s normom ISO 27001, certifikacijsko tijelo će morati provesti certifikacijski audit, čiji trošak će ovisiti o broju radnih dana koje će provesti na tom zadatku, u rasponu od ispod 10 dana za manje tvrtke do više desetaka radnih dana za veće organizacije. Trošak jednog radnog dana ovisi o lokalnom tržištu.

Morate paziti da ne podcijenite stvaran trošak projekta ISO 27001 – ako to učinite, menadžment će početi gledati na vaš projekt s negativnim predznakom. S druge strane, ispravnim predviđanjem svih troškova pokazat ćete svoju profesionalnost; i ne zaboravite, uvijek morate predstaviti i troškove i koristi – pročitajte Četiri ključne koristi implementacije norme ISO 27001.

Pogledajte i naš video tutorijal Kako pokrenuti projekt ISO 27001 – Pisanje Projektnog plana (video uz naplatu).

Vjerojatno znate da je prvi korak u implementaciji norme ISO 27001 određivanje opsega. Ono što vjerojatno niste znali je da taj korak, iako se na prvi pogled čini jednostavnim, može ponekad biti problematičan. Naime, mnoge tvrtke sužavanjem opsega pokušavaju smanjiti troškove implementacije, ali se često nađu u situaciji u kojoj im taj isti opseg zadaje glavobolju.

U čemu je dakle problem?

Kada opseg određen prema normi ISO 27001 ne obuhvaća cijelu organizaciju, sustav upravljanja informacijskom sigurnošću (ISMS) mora imati sučelje prema „vanjskom svijetu“ – u tom smislu vanjski svijet ne uključuje samo klijente, partnere, dobavljače i sl., već i odjele u organizaciji koji nisu unutar opsega. Možda će se činiti neobičnim, ali odjel koji nije unutar opsega treba tretirati jednako kao i vanjske dobavljače.

Ako na primjer odlučite da unutar opsega bude samo informatički odjel, a taj odjel koristi usluge odjela za nabavu, informatički bi odjel trebao provesti procjenu rizika vašeg odjela za nabavu kako bi utvrdio postoji li rizik za informacije za čiju sigurnost je odgovoran. Osim toga, ova dva odjela bi trebala potpisati opće uvjete o pružanju usluga.

Zašto je potrebno toliko papirologije? Morate se staviti u poziciju certifikacijskog tijela – ono mora potvrditi da ste unutar opsega u stanju postupati s informacijama na siguran način, a ne može provjeravati odjele koji su izvan opsega. Jedino rješenje u ovom slučaju je da takve odjele tretirate kao vanjske tvrtke. (Napomena: certifikacijski auditori ne vole uski opseg).

Tu problemima nije kraj. Ponekad jednostavno nije moguće uspostaviti uzak opseg jer ne postoji sučelje prema vanjskom svijetu. Ako na primjer i djelatnici unutar opsega i djelatnici izvan opsega sjede u istoj prostoriji, takav opseg je teško izvediv; ako i djelatnici koji jesu dio opsega i oni koji nisu koriste istu lokalnu mrežu (bez segregacije) i imaju pristup raznim mrežnim servisima, tek takav opseg nije izvediv – ne bi bilo moguće kontrolirati protok informacija samo unutar opsega.

Suština je sljedeća – ponekad je nemoguće suziti opseg ISMS-a, a sužavanje vas u većini slučajeva samo opterećuje dodatnom papirologijom. Stoga je ono rješenje koje se u početku nije činilo dobrim u konačnici ipak možda najbolje – pokušajte opseg proširiti na cijelu organizaciju. Nepisano je pravilo, ako vaša organizacija ima samo nekoliko stotina zaposlenika i jednu ili samo nekoliko lokacija, najbolje je da ISMS obuhvaća cijelu organizaciju.

S druge strane, ako opsegom ISMS-a zaista ne možete obuhvatiti cijelu organizaciju, pokušajte ga uspostaviti u organizacijskoj jedinici koja je u dovoljnoj mjeri neovisna; pokušajte urediti odnose s drugim organizacijskim jedinicama izvan opsega određujući njihove usluge kroz interne dokumente (politike, procedure i sl.) koji bi imali funkciju „ugovora“ – obveze organizacijskih jedinica dokumentirane na ovaj način iskoristive su i u svakodnevnom poslovanju.

Eto – riješili ste prvi korak u implementaciji norme ISO 27001.

Pogledajte i naš video tutorijal Kako odrediti i dokumentirati opseg ISMS-a prema ISO 27001 (video uz naplatu).

Već duže vrijeme provodite normu ISO 27001, uložili ste mnogo u obrazovanje, konzultantske usluge i implementaciju raznih mjera. Sada dolazi auditor certifikacijskog tijela – hoćete li dobiti certifikat?

Takav strah je normalan – nikada ne možete znati sadrži li vaš sustav upravljanja informacijskom sigurnošću (ISMS) sve što certifikacijsko tijelo traži. Ali što je to točno što će auditor pregledavati?

Auditor će prvo provesti audit prvog stupnja, tzv. “pregled dokumentacije” -  u ovom dijelu audita auditor će provjeravati što je sve obuhvaćeno dokumentacijom, politiku i ciljeve ISMS-a, opis metodologije procjene rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, Plan obrade rizika, procedure za upravljanje dokumentacijom, za popravne i preventivne mjere te procedure za interni audit. Također ćete morati dokumentirati neke mjere iz Aneksa A (samo ako ste ih naveli kao primjenjive u Izvješću o primjenjivosti) – popis resursa (A.7.1.1), prihvatljiva uporaba resursa (A.7.1.3), uloge i odgovornosti zaposlenika, dobavljača i trećih korisnika, (A.8.1.1), uvjeti zapošljavanja (A.8.1.3), procedure za rad informacijskih sustava (A.10.1.1), politika kontrole pristupa (A.11.1.1), te ustanovljavanje primjenjivih zakona i regulative (A.15.1.1). Također ćete morati imati zapise s barem jednog internog audita i pregleda od strane menadžmenta.

Ako samo jedan od ovih elemenata nedostaje, znači da niste spremni za audit drugog stupnja. Možete naravno imati još mnogo dokumenata ako to smatrate potrebnim – navedeno je samo popis minimalnih zahtjeva.

Audit drugog stupnja zove se i “Glavni audit” i obično se obavlja nekoliko tjedana nakon audita prvog stupnja. U ovom auditu naglasak nije na pregledu dokumentacije, već na tome provodi li vaša organizacija uistinu sadržaj dokumentacije i zahtjeve norme ISO 27001. Drugim riječima, auditor će provjeriti je li ISMS zaista zaživio u vašoj organizaciji ili je to samo mrtvo slovo na papiru. Auditor će provjeru vršiti promatranjem, razgovorom sa zaposlenicima, ali ponajprije provjerom zapisa. Obavezno moraju postojati zapisi o edukaciji, obučavanju, vještinama, iskustvu i kvalifikacijama (5.2.2), zapisi o internom auditu (6), pregledu od strane menadžmenta (7.1), popravnim (8.2) i preventivnim (8.3) mjerama; auditor će međutim očekivati i mnogo drugih zapisa koji su rezultat provođenja procedura.

Ovdje morate biti oprezni – svaki iskusni auditor odmah će primijetiti ako je bilo koji dio vašeg ISMS-a umjetan i sastavljen samo za potrebe audita.

U redu, sve ovo ste znali, ali se ipak dogodilo – auditor je našao veću nesukladnost i rekao vam da vam ne može izdati certifikat ISO 27001. Je li to kraj svijeta?

Naravno da nije. Postupak je sljedeći – auditor će utvrđenu situaciju zabilježiti u izvješću audita (uključujući i veću nesukladnost) i zadati vam rok u kojem nesukladnost morate otkloniti (obično 90 dana). Vaš je zadatak da poduzmete potrebne popravne mjere. No morate biti oprezni – mjera mora riješiti uzrok nesukladnosti, inače auditor možda neće prihvatiti ono što ste učinili. Kad ste sigurni da ste poduzeli prave mjere, morate obavijestiti auditora i poslati mu dokaz za ono što ste poduzeli. Ako ste posao obavili temeljito, auditor će u većini slučajeva prihvatiti vaše popravne mjere i pokrenuti postupak za izdavanje certifikata.

Eto – trebalo vam je nešto vremena, ali sada ste ponosni vlasnik certifikata ISO/IEC 27001. (Ipak budite oprezni – certifikat vrijedi samo tri godine i može u tom razdoblju biti suspendiran ako tijekom nadzornog posjeta certifikacijsko tijelo uoči neku drugu veću nesukladnost.)

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).