ISO 27001 & BS 25999

To je obično prvo pitanje koje mi postave potencijalni klijenti. Međutim, moram ih razočarati jer im ne mogu odmah reći točan iznos – evo zašto.

Prvo, ukupan trošak implementacije ovisi o veličini organizacije (ili veličini poslovnih jedinica koje će biti uključene u opseg ISO 27001), razini kritičnosti informacija (na primjer, informacije u bankama se smatraju kritičnijima i zahtjevi za njihovom zaštitom su veći), tehnologiji koju organizacija primjenjuje (na primjer, podatkovni centri obično imaju veće troškove jer su njihovi sustavi vrlo složeni) i zahtjevima zakonske regulative (financijski i državni sektor obično su strože regulirani po pitanju informacijske sigurnosti).

Drugo, ne možete precizno izračunati troškove prije nego znate koja razina zaštite vam je potrebna – najprije morate provesti procjenu rizika jer će vam takva analiza reći koje sigurnosne mjere su potrebne.

Kad dobijete rezultate procjene rizika, morate uzeti u obzir sljedeće troškove:

1. Trošak literature i edukacije

Implementacija norme ISO 27001 zahtijeva provedbu promjena u organizaciji i stjecanje novih vještina. Svoje zaposlenike možete pripremiti tako da kupite razne knjige o toj temi i/ili ih pošaljete na tečajeve (uživo ili online) – takvi tečajevi traju od 1 do 5 dana (pročitajte Kako učiti o normama ISO 27001 i BS 25999-2).

I ne zaboravite kupiti samu normu ISO 27001 – često se susrećem s tvrtkama koje implementiraju normu , a da je uopće nisu ni vidjele.

2. Trošak vanjske pomoći

Obučavanje zaposlenika nažalost nije dovoljno. Ako nemate voditelja projekta s velikim iskustvom u implementaciji norme ISO 27001, trebat će vam netko tko posjeduje takvo znanje – možete angažirati konzultanta ili potražiti neku online alternativu (time se bavimo na Information Security & Business Continuity Academy).

Najvažnije što vam u ovakvom projektu može ponuditi netko s iskustvom je da se nećete gubiti u slijepim ulicama, trošeći mjesece i mjesece na aktivnosti koje nisu nužne i proizvodeći tone dokumentacije koju norma ne traži. A to zaista košta.

Ipak, budite oprezni – nemojte očekivati da će konzultant odraditi cijelu implementaciju za vas – ISO 27001 mogu implementirati samo vaši zaposlenici.

3. Trošak tehnologije

Možda se čini čudno, ali većina tvrtki s kojima sam radio nije morala investirati u hardver, softver ili nešto slično – sve je to već postojalo. Najveći izazov obično je bio kako iskoristiti postojeću tehnologiju na sigurniji način.

Međutim, ukoliko se takva tehnologija pokaže kao potrebna, morate planirati i tu investiciju.

4. Trošak vremena zaposlenika

Norma se neće implementirati sama niti je može implementirati samo konzultant (ako ga angažirate). Vaši zaposlenici moraju uložiti vrijeme u identificiranje rizika, poboljšanje postojećih procedura i politika ili implementiranje novih. Moraju odvojiti vrijeme da se educiraju o novim odgovornostima i da se prilagode novim pravilima.

5. Trošak certifikacije

Ako želite javni dokaz o sukladnosti s normom ISO 27001, certifikacijsko tijelo će morati provesti certifikacijski audit, čiji trošak će ovisiti o broju radnih dana koje će provesti na tom zadatku, u rasponu od ispod 10 dana za manje tvrtke do više desetaka radnih dana za veće organizacije. Trošak jednog radnog dana ovisi o lokalnom tržištu.

Morate paziti da ne podcijenite stvaran trošak projekta ISO 27001 – ako to učinite, menadžment će početi gledati na vaš projekt s negativnim predznakom. S druge strane, ispravnim predviđanjem svih troškova pokazat ćete svoju profesionalnost; i ne zaboravite, uvijek morate predstaviti i troškove i koristi – pročitajte Četiri ključne koristi implementacije norme ISO 27001.

Pogledajte i naš video tutorijal Kako pokrenuti projekt ISO 27001 – Pisanje Projektnog plana (video uz naplatu).

Educiranje o normama ISO 27001 i BS 25999-2 sigurno je jedan od najboljih načina na koji si možete olakšati njihovu implementaciju. Budući da je ponuda tečajeva sve veća, pokušat ću objasniti koje su prednosti pojedinih vrsta tečajeva i kako se međusobno razlikuju.

Prvo slijedi popis klasičnih tečajeva koji još uvijek dominiraju, ali polako ustupaju mjesto online tečajevima (o njima će biti govora na kraju članka).

ISO 27001 ili BS 25999-2 Lead Auditor tečaj

Ovaj je tečaj najpopularniji i za ISO 27001 i za BS 25999-2 – traje 5 dana, a na kraju se polaže pismeni ispit. Budući da je ispit dosta težak, ovo se smatra tečajem najvišeg ranga. Ako položite ispit, možete postati auditor u nekom certifikacijskom tijelu. Međutim, to nije glavna korist ovog tečaja – najkorisniji će biti stručnjacima koji implementiraju norme jer će im dati izvrstan pregled normi, ali i temeljito objasniti što će certifikacijski auditor pregledavati tijekom certifikacijskog audita. Koristan je stoga i auditorima i osobama koje implementiraju norme.

Ovaj tečaj namijenjen je stručnjacima s umjerenim i bogatim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja, auditiranja ili IT-a. Birajte samo akreditirane tečajeve (primjerice tečajevima koje akreditira IRCA – irca.org).

ISO 27001 ili BS 25999-2 Lead Implementer tečaj

Ovaj tečaj pomalo sliči tečaju za glavnog auditora (Lead Auditor) normi ISO 27001 ili BS 25999-2, ali nije toliko popularan. Razlikuje se po tome što je naglasak na tehnikama implementacije, a ne na tehnikama auditiranja – dakle, ovaj će vam tečaj vjerojatno više odgovarati ako nemate ulogu tijekom certifikacije.

I ovaj je tečaj namijenjen sličnoj ciljnoj publici – stručnjacima s umjerenim ili bogatim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja ili IT-a.

ISO 27001 ili BS 25999-2 Internal Auditor tečaj

Ovaj je tečaj “light” verzija tečaja za glavnog auditora po normi ISO 27001 ili BS 25999-2; obično traje 2 do 3 dana, sa ili bez ispita, a po sadržaju odgovara tečaju za glavnog auditora, ali u sažetom obliku. Glavna razlika je u tome što s ovim tečajem ne možete raditi kao auditor za certifikacijsko tijelo. Međutim, ako se na sustavan način želite upoznati sa svijetom norme ISO 27001 ili BS 25999-2 ili planirate postati interni auditor u svojoj tvrtki, ovaj tečaj je pravi izbor za vas.

Tečaj je namijenjen stručnjacima s malim ili umjerenim iskustvom u području informacijske sigurnosti, kontinuiteta poslovanja ili IT-a.

Uvodni tečaj / Osnovni tečaj o normi ISO 27001 ili BS 25999-2

Ovi tečajevi obično traju jedan ili dva dana – svrha im nije poučiti vas tehnikama auditiranja ili implementacije, nego pružiti pregled zahtjeva i pitanja vezanih za implementaciju. Ako nemate mnogo vremena, a želite znati što vašu tvrtku očekuje u postupku implementacije, razmislite o pohađanju jednog od ovih tečajeva.

Tečaj je namijenjen menadžmentu ili stručnjacima koji nemaju iskustva s informacijskom sigurnošću ili kontinuitetom poslovanja.

Ostali tečajevi o informacijskoj sigurnosti / kontinuitetu poslovanja

Možda ste čuli za CISA-u (Certified Information Systems Auditor), CISM (Certified Information Security Manager) ili CISSP (Certified Information Systems Security Professional) – iako ove tečajeve smatram vrlo korisnima za rad u području informacijske sigurnosti ili kontinuiteta poslovanja, oni ipak nisu izravno povezani s normama ISO 27001 i BS 25999-2. Stoga biste tečajeve CISA, CISM i/ili CISSP trebali pohađati nakon što završite tečajeve direktno povezane s ove dvije norme.

Online tečajevi

Osim gore navedenih klasičnih tečajeva postoje i online tečajevi (u obliku e-learning tečajeva ili u obliku webinara) koji su sve popularniji, dijelom zbog nižih troškova – izostaju troškovi putovanja, i ne gubite vrijeme izbivanjem iz ureda. Na internetu je prisutan sve veći broj ponuđača kvalitetnog sadržaja (uključujući i našu Information Security & Business Continuity Academy) – naći ćete tečajeve koji traju od jednog sata (besplatni webinari) do nekoliko tjedana (npr. e-learning tečajevi).

Glavna prednost online tečajeva je stjecanje relevantnog znanja u kraćem vremenu za manje novca, iako je pitanje učinkovitosti ovakvih tečajeva i dalje otvoreno.

No, neovisno o obliku ili vrsti tečaja koji odaberete, možete biti sigurni da će vam se investicija vrlo brzo isplatiti.

Pogledajte i seriju video tutorijala o normi ISO 27001 u kojima je objašnjen svaki korak implementacije (tutorijali uz naplatu).

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u  ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati  kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita  je saznati  je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto  u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).

Jeste li ikada čuli rečenice poput “To se ne može provesti”, “Ovo nema smisla” ili “U slučaju ozbiljne havarije sve će biti uzalud”? Ako ste provodili projekte upravljanja kontinuitetom poslovanja, vjerojatno jeste. Naravno, takav pristup ne bi pomogao vašem projektu – zato ovdje navodim nekoliko savjeta kako odgovoriti takvim skepticima.

“Ako dođe do havarije, bespomoćni smo”

Ovo ćete najčešće čuti. U tome možda ima istine ako niste ozbiljno pripremili strategiju kontinuiteta poslovanja i planove kontinuiteta poslovanja uzimajući u obzir sve moguće scenarije. Ako ste to ipak učinili, možete im objasniti da ste pripremili rezervnu lokaciju koja je dovoljno udaljena tako da može podnijeti bilo koju havariju, da ste napravili sigurnosne kopije podataka, da ste osigurali zamjenu za svakog zaposlenika u organizaciji, da imate alternativne dobavljače za sve kritične usluge i sl.

“U slučaju atomskog rata, to ne može funkcionirati”

Osim ako niste dio vojne industrije, zar bi to uopće bilo bitno? U slučaju ovakve katastrofe vaše poslovanje ionako više ne bi imalo smisla.

“Ne vidimo svrhu”

Nadajte se da nikada nećete morati primijeniti kontinuitet poslovanja. Ne spominjući opće poznate primjere poput napada 11. rujna ili uragana Katrina, dovoljno je pitati – jeste li vam ikad nestala struja? Je li vam se ikada pokvario server? Ili možda računalo na kojem su bili pohranjeni važni podaci? Jeste li ikada čuli da je neka zgrada izgorjela do temelja? Dovoljno je čitati crnu kroniku kako biste shvatili da se takve stvari mogu svakome dogoditi.

“Provest ćemo to samo da auditor bude zadovoljan”

Izokrenuli ste prioritete. Ako sve učinite kako treba, zaštitit ćete sebe, a i vaš će auditor biti zadovoljan.

“Ne možemo predvidjeti sve incidente”

To je istina, barem u početku. Ali ako pravilno provedete procjenu rizika, konzultirate literaturu i upotrijebite razne resurse te redovito pregledavate procjenu, vrlo ćete vjerojatno s vremenom moći uzeti u obzir sve moguće rizike. Kad ih jednom prepoznate, možete pripremiti odziv.

“U opasnim situacijama ljudi se brinu za svoje obitelji, a ne za posao”

To je također istina. Tko u slučaju potresa ne bi nazvao svoju obitelj da provjeri je li s njima sve u redu? Međutim, taj ćete problem riješiti tako da vrlo pažljivo isplanirate tko nakon incidenta smije ići kući, a tko mora ostati rješavati situaciju, i da se pobrinete se za obitelj zaposlenika koji moraju ostati (npr. tako što ćete taj zadatak povjeriti nekom drugom zaposleniku).

“U kriznim situacijama ljudi reagiraju iracionalno”

Ovo je definitivno istina. Ali ako zaposlenike (i dobavljače/partnere) redovito obučavate i vježbate planove kontinuiteta poslovanja, oni će se naučiti na stresne situacije pa će kod pojave takve situacije vjerojatno pravilno reagirati.

Ako ste već provodili slične projekte, znate koliko je osviještenost važna. Ako vaši suradnici ne prepoznaju smisao takvih projekata, imat ćete velikih poteškoća u njihovoj implementaciji, da ne spominjem da bi vaš projekt mogao i potpuno propasti – zato unaprijed morate dobro razmisliti o osvješćivanju.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.