ISO 27001 & BS 25999

Je li vam se ikada dogodilo da ste dobili zadatak napisati sigurnosnu politiku ili proceduru? No ne želite da vaš dokument dijeli sudbinu mnogih drugih – da skuplja prašinu u nekoj zaboravljenoj ladici? Evo nekoliko razmišljanja koja bi vam mogla pomoći…

Koraci koje ću vam predstaviti temelje se na mom iskustvu s raznim klijentima, velikim i malim, državnim ili privatnim, profitnim ili neprofitnim – mislim da se ti koraci mogu primijeniti u svim navedenim slučajevima. Ti su koraci zapravo primjenjivi na bilo koju vrstu politika i procedura, ne samo na one povezane s ISO 27001 ili BS 25999-2.

1. Proučite zahtjeve

Prvo morate vrlo pažljivo proučiti razne zahtjeve – postoje li zakonski propisi koji zahtijevaju da nešto imate napismeno? Imate li sklopljen ugovor s klijentom? Ili možda neku drugu politiku više razine koja je već postoji u vašoj organizaciji (možda korporativni standard)? Proučiti morate i zahtjeve iz ISO 27001 ili BS 25999-2 ako se želite uskladiti s tim normama.

2. Uzmite u obzir rezultate procjene rizika

Procjenom rizika utvrdit ćete na koje se probleme morate osvrnuti u svojem dokumentu, ali i do koje mjere – primjerice, možda ćete morati odlučiti hoćete li informacije klasificirati prema stupnju povjerljivosti i, ako je tako, jesu li vam potrebne dva, tri ili četiri stupnja povjerljivosti.

Ako vaša politika ili procedura nije povezana s informacijskom sigurnošću ili kontinuitetom poslovanja, ovaj korak možda nije relevantan u tom obliku. Međutim, principi upravljanja rizikom primjenjivi su i na sva druga područja – upravljanje kvalitetom (ISO 9001), upravljanje okolišem (ISO 14001), itd. Na primjer, u ISO 9001 morate odrediti do koje je mjere neki proces ključan za upravljanje kvalitetom i prema tome odlučiti hoćete li ga dokumentirati ili ne.

3. Optimizirajte i uskladite svoj(e) dokument(e)

Važno je razmisliti o ukupnom broju dokumenata – hoćete li napisati deset dokumenta od jedne stranice ili jedan dokument od deset stranica? Puno je lakše upravljati jednim dokumentom, pogotovo ako je ciljna skupina čitatelja ista. (Samo nemojte napraviti jedan dokument od 100 stranica.)

Štoviše, morate svakako svoje dokumente uskladiti s drugim dokumentima – pitanja koje definirate možda su djelomično definirani u nekom drugom dokumentu. U tom slučaju možda neće biti potrebno pisati novi dokument, nego samo proširiti postojeći.

Ako pišete novi dokument o pitanju koje je već spomenuto u drugom dokumentu, svakako izbjegavajte suvišno ponavljanje – nemojte istu stvar opisivati u oba dokumenta. Kasnije će upravljanje tim dokumentima biti noćna mora. Kako biste izbjegli ponavljanja, puno je bolje da se jedan dokument referira na drugi.

4. Strukturirajte dokument

Morate također paziti da dokument bude formatiran u skladu s korporativnim pravilima – možda već imate obrazac s unaprijed definiranim fontovima, zaglavljima, podnožjima i sl.

Ako ste već implementirali ISO 27001 ili BS 25999-2 (ili neku drugu upravljačku normu), morat ćete raditi u skladu s procedurom za upravljanje dokumentacijom – takva procedura osim formatiranja dokumenta definira i pravila za njegovo odobravanje, distribuciju, itd.

5. Napišite dokument

Uobičajeno pravilo glasi – što je organizacija manja i što su manji rizici to je dokumentacija manje složena. Uopće nema smisla pisati opširan dokument koji nitko neće čitati – morate razumjeti da čitanje dokumenta oduzima vremena i da je razina koncentracije pri čitanju obrnuto proporcionalna broju redaka u vašem dokumentu.

Dobar način na koji možete savladati otpor zaposlenika prema ovom dokumentu (nitko ne voli promjene, pogotovo ako to podrazumijeva obvezu poput redovitog mijenjanja lozinke) je da ih uključite u pisanje ili komentiranje dokumenta – na taj će način shvatiti zašto je potreban.

6. Tražite odobrenje za vaš dokument

Ovaj korak se podrazumijeva sam po sebi, ali evo zašto je zapravo važan – ako ne pripadate najvišem menadžmentu u svojoj organizaciji, onda obično nemate ovlaštenje za provođenje dokumenta.

Zato ga netko na toj poziciji mora razumjeti, odobriti i aktivno podupirati njegovu implementaciju. Zvuči jednostavno, ali vjerujte – nije. Implementacija najčešće zapne na ovom kao i na sljedećem koraku.

7. Obučavanje i osvješćivanje zaposlenika

Ovaj korak je možda i najvažniji, ali se nažalost vrlo često zanemaruje. Kao što sam prije spomenuo, zaposlenici su zasićeni neprestanim promjenama i sigurno neće poduprijeti još jednu promjenu, pogotovo ako ona donosi još više posla.

Stoga je vrlo važno da zaposlenicima objasnite zašto je potrebna takva politika ili procedura – zašto je to dobro, ne samo za tvrtku, nego i za njih same.

U nekim će slučajevima biti potrebno obučavanje – bilo bi pogrešno misliti da svatko posjeduje vještine za provođenje novih aktivnosti. Vama kao autoru dokumenta možda će to izgledati jednostavno i samo po sebi razumljivo, ali ostalima se može činiti vrlo komplicirano.

Kraj priče?

Ako ste mislili da je to kraj priče o implementaciji vašeg dokumenta, pogriješili ste – avantura tek počinje. Nije dovoljno imati savršenu politiku ili proceduru koju svi obožavaju. Potrebno ju je i održavati.

Netko mora voditi računa o ažuriranju i poboljšavanju dokumenta, inače više nitko neće na njega obraćati pažnju – a taj netko je obično ista osoba koja ga je i napisala. Osim toga netko mora mjeriti je li dokument ispunio svrhu – opet to možete biti vi.

Čitajući ovaj članak možda ste primijetili da nije dovoljno imati dobar predložak za uspješnu politiku ili proceduru – ono što je potrebno je sustavan pristup njihovoj implementaciji. U njegovoj primjeni nemojte zaboraviti najvažniju činjenicu: dokument nije sam sebi svrha – on je samo alat potreban da bi se aktivnosti i procesi glatko odvijali. Stoga ne dozvolite da se dogodi suprotno – da takav dokument otežava odvijanje tih aktivnosti i procesa.

Pogledajte i naš video tutorijal Kako se piše Procedura za upravljanje dokumentacijom prema ISO 27001/ISO 22301 (video uz naplatu).

Ako ste čuli da norma ISO 27001 propisuje mnogo procedura, to nije u potpunosti točno. Zapravo je prema normi potrebno dokumentirati samo četiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz “dokumentirati” znači da se “procedura mora uspostaviti, dokumentirati, implementirati i održavati.” (ISO/IEC 27001  4.3.1 Note 1)

Napomena: u ovom postu neću pisati o ostalim obveznim dokumentima kao što su opseg ISMS-a, politika ISMS-a, metodologija za procjenu rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, plan obrade rizika, itd. – usredotočit ću se samo na procedure.

Procedura za upravljanje dokumentacijom trebala bi odrediti osobu odgovornu za odobravanje i pregled dokumentacije, definirati način na koji se utvrđuje status izmjena i revizije, kako se dokumentacija distribuira i sl. Drugim riječima, ova procedura trebala bi propisati način na koji će funkcionirati krvotok organizacije (protok dokumentacije).

Procedura za interni audit mora propisati odgovornosti za planiranje i provođenje audita, načine izvještavanja o rezultatima audita i vođenje zapisa. To znači da se moraju propisati osnovna pravila za provođenje audita.

Procedura za korektivne mjere trebala bi propisati način na koji će se utvrđivati nesukladnost i njezini uzroci, kako definirati i implementirati potrebne mjere, koji oblik zapisa primjenjivati te kako obavljati pregled mjera. Svrha ove procedure je da definira način na koji će svaka pojedina mjera ukloniti uzrok nesukladnosti, kako se isti ne bi ponovio.

Procedura za preventivne mjere i procedura za korektivne mjere gotovo su iste. Jedina razlika je u tome što je cilj preventivnih mjera ukloniti uzrok nesukladnosti, kako se nesukladnost uopće ne bi pojavila. Budući da su slične, ove se dvije procedure obično spajaju u jednu.

Ali kako to da ISO 27001 propisuje dokumentiranje procedura koje nisu povezane s informacijskom sigurnošću, dok istovremeno sigurnosne procedure nisu obvezne?

Odgovor leži u procjeni rizika – ISO 27001 propisuje da morate provesti procjenu rizika, a ako se tom procjenom rizika utvrdi određen neprihvatljiv rizik, ISO 27001 propisuje  provođenje mjere iz Aneksa A koja će umanjiti rizik(e). Ta mjera može biti tehnička (primjerice anti virusni softver za smanjenje rizika od napada zlonamjernog softvera), ali i organizacijska – provedba politike ili procedure (primjerice, implementacija procedure za sigurnosne kopije). Procedure dakle postaju obvezne samo ako se procjenom rizika utvrde neprihvatljivi rizici.

Važno je napomenuti:  za razliku od četiri obvezne procedure koje moraju biti dokumentirane, procedure koje proizlaze iz mjera u Aneksu A ne moraju biti dokumentirane. Organizacija može samostalno procijeniti je li te procedure potrebno dokumentirati ili ne.

Četiri obvezne procedure (zajedno sa sigurnosnom politikom) možete smatrati stupovima vašeg sustava upravljanja – nakon što ih dobro učvrstite u temelje, možete početi zidati kuću. To je očigledno ako pogledate druge sustava upravljanja – i tamo su obvezne iste četiri procedure – u ISO 9001 (sustavi upravljanja kvalitetom), ISO 14001 (sustavi upravljanja okolišem) i BS 25999-2 (upravljanje kontinuitetom poslovanja). Iz toga slijedi da ove procedure možete koristiti kao glavnu poveznicu između različitih sustava upravljanja ako želite razviti tzv. “integrirani sustav upravljanja”.

Pogledajte i naš video tutorijal Kako se piše Procedura za upravljanje dokumentacijom prema ISO 27001/ISO 22301 (video uz naplatu).

Zašto norme ISO 27001 i BS 25999-2 toliko naglašavaju potrebu za kontrolom dokumentacije? Obje norme vrlo precizno definiraju način na koji treba upravljati dokumentacijom i zahtijevaju od organizacije da posjeduje dokumentiranu proceduru za upravljanje dokumentacijom – a da stvar bude još gora, bez takve procedure ne možete dobiti certifikat.

Dokumenti mogu biti raznovrsni –  u obliku papirnatih dokumenata, tekstualnih datoteka ili tablica, video ili audio datoteka, i sl. Osim  što mora upravljati internim dokumentima (npr., raznim politikama, procedurama, projektnom dokumentacijom, itd.), organizacija mora upravljati i vanjskom dokumentacijom (npr. raznim oblicima korespondencije, dokumentacijom zaprimljenom uz opremu, i sl.). Drugim riječima, upravljanje dokumentacijom prilično je složen i sveobuhvatan zadatak.

Zašto je, dakle, važno upravljati dokumentacijom? Jeste li se, na primjer, ikada našli u situaciji da ne možete pronaći neki važan dokument? Ili ste uočili da vaši zaposlenici koriste krivu (stariju) verziju procedure? Ili da neki zaposlenici uopće nisu dobili važnu proceduru? Ili da možda nije jasno o kojoj se verziji procedure radi? Ili da je neki povjerljivi dokument proslijeđen krivim ljudima? Ako se nikada niste zatekli u takvim problematičnim situacijama, vjerojatno ste doživjeli sljedeće – vaše procedure naprosto nisu ažurirane.

Ako nemate sustavan pristup upravljanju dokumentacijom, vjerojatno ćete se prepoznati u nekim od navedenih situacija – zbog toga ISO 27001 i BS 25999-2 od organizacija traže da uvedu sustavan pristup propisivanjem procedure za upravljanje dokumentacijom.

Takva procedura mora jasno definirati odgovornosti za dokumente – tko ima ovlaštenje za odobravanje dokumenata, kako se distribuiraju i arhiviraju, kako se ažuriraju, koji sustav za verzioniranje se koristi, kako se označavaju promjene na dokumentu, kako se postupa s vanjskim dokumentima, i sl.

Budući da je upravljanje dokumentacijom toliko bitno, možete biti sigurni da certifikacijski auditor neće samo provjeravati postoje li takve procedure nego i upravlja li se dokumentacijom zaista onako kako je to definirano procedurom upravljanja dokumentacijom. Uvođenje ove procedure vjerojatno  znači da ćete morati promijeniti svoj sustav rukovanja dokumentacijom, da ćete dokumente morati pohranjivati na intranetu ili provoditi složeniji sustav upravljanja dokumentacijom, te da ćete morati organizirati arhiv za papirnatu dokumentaciju.

Kad započnete s provedbom norme ISO 27001/BS 25999-2, uvidjet ćete važnost zapisivanja, ali ćete i shvatiti da te zapisane stvari moraju biti organizirane kako ne biste izgubili kontrolu nad njima. Dokumentacija je zapravo krvotok vašeg sustava upravljanja – dobro se brinite za njega ako želite da vaš ostane zdrav.

Pogledajte i naš video tutorijal Kako odrediti i dokumentirati opseg ISMS-a prema ISO 27001 (video uz naplatu).

Već ste uveli normu ISO 9001? Čuli ste da bi možda bilo dobro uvesti i normu ISO 27001? Ali kako vam nešto vezano za kvalitetu može pomoći u provedbi informacijske sigurnosti?

Može, i više nego što mislite. Norma ISO 9001 opisuje kako mora izgledati sustav upravljanja kvalitetom (QMS), dok ISO/IEC 27001 opisuje sustav upravljanja informacijskom sigurnošću (ISMS). Zajedničko im je “sustav upravljanja”  – pa što je to zapravo?

Filozofija sustava upravljanja razvila se iz teorije koju je W. Edwards Deming osmislio u drugoj polovici 20. stoljeća, a temelji se na PDCA krugu (engl. Plan-Do-Check-Act). Taj se krug u osnovi sastoji od sljedećeg: u Fazi planiranja morate odrediti što sustavom upravljanja želite postići, u Fazi implementacije to provodite, u Fazi pregledavanja konstantno pratite jeste li planirano ostvarili, a u Fazi poboljšavanja popravljate tj. zatvarate raskorak između onoga što ste planirali i što je ostvareno.

Iako je ovaj krug osmišljen u kontekstu upravljanja kvalitetom, postao je temelj za sve druge sustave upravljanja – informacijsku sigurnost (ISO/IEC 27001), okoliš (ISO 14001), kontinuitet poslovanja (BS 25999-2), itd. To znači da neke od elemenata koje ste uveli kao dio sustava za upravljanje kvalitetom prema ISO 9001 možete također iskoristiti u sustavu upravljanja informacijskom sigurnošću – ovdje je popis:

• Upravljanje dokumentacijom  – postupak koji se koristi za upravljanje dokumentacijom u QMS-u može se u istu svrhu koristiti u ISMS-u, samo s manjim prilagodbama
• Interni audit – isti se postupak može koristiti i za QMS i za ISMS, iako bi sam interni audit trebale provesti različite osobe jer je mala vjerojatnost da jedna osoba posjeduje dovoljno znanja i o informacijskoj sigurnosti i o kvaliteti
• Popravne i preventivne mjere – postupak koji se koristi u QMS-u može se koristiti u iste svrhe i u ISMS-u, iako će vjerojatno različiti ljudi rješavati pitanja vezana za QMS ili ISMS
• Upravljanje ljudskim resursima – isti krug planiranja, obuke i evaluacije ljudskih resursa koristi se u oba sustava upravljanja; naravno, razlika je u profilu potrebnih vještina i znanja
• Pregled od strane menadžmenta – princip pregleda od strane menadžmenta isti je za oba sustava upravljanja; iako se ne preporučuje paralelno provođenje oba pregleda, menadžment će već biti naučen na donošenje odluka vezanih za QMS pa će bolje razumjeti kako se odluke donose u kontekstu ISMS-a.
• Postavljanje poslovnih ciljeva i praćenje jesu li postignuti – obje norme sadrže isti mehanizam, pa će menadžment biti naviknut na takvo sustavno planiranje

Stoga, ako ste već uveli ISO 9001, bit će vam lakše provoditi normu ISO 27001 (i obratno) – možete uštedjeti do 30% vremena. Također, certifikacijski auditi bit će jeftiniji jer certifikacijska tijela nude tzv. “integrirane audite”, što znači da u istom auditu mogu obuhvatiti norme ISO 9001 i ISO 27001, i naplatiti manje nego za odvojene audite.

Ako vaš QMS dobro funkcionira i projekt ISMS-a će se odvijati glatko – menadžment će bolje razumjeti potencijalnu korist za poslovanje dok će sve organizacijske jedinice biti naučene na potrebu definiranja jasnih procedura, odgovornosti i dokumentacije.

Već uveden sustav upravljanja kvalitetom zaista pruža dobru osnovu za informacijsku sigurnost – ako ste već uveli normu ISO 9001, ozbiljno razmislite o normi ISO 27001.

Pogledajte i naš besplatni webinar Implementacija ISO 27001: Kako si olakšati posao pomoću norme ISO 9001.