ISO 27001 & BS 25999

Ako ste se susreli s normama ISO 27001 i ISO 27002, vjerojatno ste primijetili da norma ISO 27002 sadrži mnogo više detalja, da je mnogo preciznija. Koji je onda uopće smisao norme ISO 27001?

Prije svega, po normi ISO 27002 se ne možete certificirati jer to nije upravljačka norma. Što to znači upravljačka norma? To znači da se takvom normom određuje način upravljanja sustavom, što se  u slučaju norme ISO 27001 odnosi na sustav upravljanja informacijskom sigurnošću (ISMS) – stoga se po normi ISO 27001 možete certificirati.

Ovaj sustav upravljanja znači da se informacijska sigurnost mora planirati, implementirati, nadzirati, pregledavati i poboljšavati; znači da menadžment ima točno određene odgovornosti i da se ciljevi moraju postaviti, mjeriti i pregledavati, da se moraju provoditi interni auditi i sl. Svi su ovi elementi opisani u ISO 27001, ali ne i u ISO 27002.

Sigurnosne mjere u normi ISO 27002 nose iste nazive kao i one u Aneksu A norme ISO 27001 – na primjer, u normi ISO 27002 mjera 6.1.6 nosi naslov Kontakt s državnim službama dok se u normi ISO 27001 zove A.6.1.6 Kontakt s državnim službama. Razlika je ipak u količini detalja – u normi ISO 27002 svakoj je sigurnosnoj mjeri posvećena otprilike jedna cijela stranica, dok je u normi ISO 27001 istoj mjeri posvećena tek jedna rečenica.

Razlika je i u tome što norma ISO 27002 ne razlikuje sigurnosne mjere prema tome jesu li primjenjive u određenoj organizaciji ili ne. S druge strane, norma ISO 27001 propisuje da se mora provesti procjena rizika kako bi se za svaku mjeru utvrdilo je li potrebna za umanjivanje rizika, i ako je, u kojoj mjeri se mora primijeniti.

Postavlja se pitanje zašto te dvije norme postoje zasebno, zašto nisu integrirane kako bi se na jednom mjestu objedinile njihove pozitivne strane? Odgovor je u upotrebljivosti – ako bi tvorile jedinstvenu normu, ona bi bila suviše složena i opsežna za praktičnu upotrebu.

Norme iz serije ISO 27000 osmišljene su tako da svaka na nešto stavlja naglasak – ako u svojoj organizaciji želite postaviti temelje informacijske sigurnosti i odrediti njezine okvire, koristit ćete se normom ISO 27001; ako želite implementirati sigurnosne mjere, koristiti ćete se normom ISO 27002, a ako želite provesti procjenu i obradu rizika, upotrijebit ćete ISO 27005, itd.

Da zaključim: bez detalja koje nudi norma ISO 27002 ne bi bilo moguće provesti mjere navedene u Aneksu A norme ISO 27001; međutim, bez upravljačkog okvira postavljenog u normi ISO 27001 norma ISO 27002 ostala bi samo usamljen primjer nastojanja nekolicine entuzijasta za informacijsku sigurnost, bez podrške top menadžmenta i bez pravog učinka na organizaciju.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Već ste uveli normu ISO 9001? Čuli ste da bi možda bilo dobro uvesti i normu ISO 27001? Ali kako vam nešto vezano za kvalitetu može pomoći u provedbi informacijske sigurnosti?

Može, i više nego što mislite. Norma ISO 9001 opisuje kako mora izgledati sustav upravljanja kvalitetom (QMS), dok ISO/IEC 27001 opisuje sustav upravljanja informacijskom sigurnošću (ISMS). Zajedničko im je “sustav upravljanja”  – pa što je to zapravo?

Filozofija sustava upravljanja razvila se iz teorije koju je W. Edwards Deming osmislio u drugoj polovici 20. stoljeća, a temelji se na PDCA krugu (engl. Plan-Do-Check-Act). Taj se krug u osnovi sastoji od sljedećeg: u Fazi planiranja morate odrediti što sustavom upravljanja želite postići, u Fazi implementacije to provodite, u Fazi pregledavanja konstantno pratite jeste li planirano ostvarili, a u Fazi poboljšavanja popravljate tj. zatvarate raskorak između onoga što ste planirali i što je ostvareno.

Iako je ovaj krug osmišljen u kontekstu upravljanja kvalitetom, postao je temelj za sve druge sustave upravljanja – informacijsku sigurnost (ISO/IEC 27001), okoliš (ISO 14001), kontinuitet poslovanja (BS 25999-2), itd. To znači da neke od elemenata koje ste uveli kao dio sustava za upravljanje kvalitetom prema ISO 9001 možete također iskoristiti u sustavu upravljanja informacijskom sigurnošću – ovdje je popis:

• Upravljanje dokumentacijom  – postupak koji se koristi za upravljanje dokumentacijom u QMS-u može se u istu svrhu koristiti u ISMS-u, samo s manjim prilagodbama
• Interni audit – isti se postupak može koristiti i za QMS i za ISMS, iako bi sam interni audit trebale provesti različite osobe jer je mala vjerojatnost da jedna osoba posjeduje dovoljno znanja i o informacijskoj sigurnosti i o kvaliteti
• Popravne i preventivne mjere – postupak koji se koristi u QMS-u može se koristiti u iste svrhe i u ISMS-u, iako će vjerojatno različiti ljudi rješavati pitanja vezana za QMS ili ISMS
• Upravljanje ljudskim resursima – isti krug planiranja, obuke i evaluacije ljudskih resursa koristi se u oba sustava upravljanja; naravno, razlika je u profilu potrebnih vještina i znanja
• Pregled od strane menadžmenta – princip pregleda od strane menadžmenta isti je za oba sustava upravljanja; iako se ne preporučuje paralelno provođenje oba pregleda, menadžment će već biti naučen na donošenje odluka vezanih za QMS pa će bolje razumjeti kako se odluke donose u kontekstu ISMS-a.
• Postavljanje poslovnih ciljeva i praćenje jesu li postignuti – obje norme sadrže isti mehanizam, pa će menadžment biti naviknut na takvo sustavno planiranje

Stoga, ako ste već uveli ISO 9001, bit će vam lakše provoditi normu ISO 27001 (i obratno) – možete uštedjeti do 30% vremena. Također, certifikacijski auditi bit će jeftiniji jer certifikacijska tijela nude tzv. “integrirane audite”, što znači da u istom auditu mogu obuhvatiti norme ISO 9001 i ISO 27001, i naplatiti manje nego za odvojene audite.

Ako vaš QMS dobro funkcionira i projekt ISMS-a će se odvijati glatko – menadžment će bolje razumjeti potencijalnu korist za poslovanje dok će sve organizacijske jedinice biti naučene na potrebu definiranja jasnih procedura, odgovornosti i dokumentacije.

Već uveden sustav upravljanja kvalitetom zaista pruža dobru osnovu za informacijsku sigurnost – ako ste već uveli normu ISO 9001, ozbiljno razmislite o normi ISO 27001.

Pogledajte i naš besplatni webinar Implementacija ISO 27001: Kako si olakšati posao pomoću norme ISO 9001.