Dejan Kosutic Ако току що сте решили да приложите ISO 27001 във вашата компания/фирма, Вие навярно сте в дилема за това колко документа е необходимо да имате и дали да пишете определени политики и процедури или не.
Критерии за да решите какво да документирате
Добре, първата стъпка е лесна – Вие може да проверите дали документа се изисква от ISO 27001. За тази цел вижте тази статия : Списък със задължителните документи изискуеми от ISO 27001 (2013 версия). Ако документа е задължителен Вие няма за какво да мислите – трябва да го напишете, ако искате да бъдете съвместим с този стандарт. (Виж също: Седем стъпки за прилагане на политики и процедури.)
Понякога, когато документа не е задължителен, може да се озадачите дали е необходимо да го напишете или не – например, необходима ли ви е политика за възстановяване след срив (Backup Policy)? Или може би за политика за класификация (Classification Policy)? Или BYOD политика?
Тук има няколко критерия, които ще Ви помогнат:
Риск. Вие трябва да оцените риска за да разберете дали има необходимост от такъв контрол като цяло (виж също: Основната логика на ISO 27001: Как работи информационната сигурност?). Ако няма риск, тогава навярно няма да се нуждаете от документ за риска; ако има риск, това все още не означава, че трябва да пишете документ, но поне трябва да разрешите дилемата дали е необходимо да има контроли или не.
Съответствие. В някои случаи може да има регламент (закон или друг документ) или изискване в контракт/договор да се изготви документ – например регламент може да изисква да напишете политика за класификация (Classification Policy) или ваш клиент може да изисква да подписвате съгласие за неразгласяване (Non Disclosure Agreement или NDAs) с вашите служители/работници.
Големина на Вашата компания/фирма/организация. По-малките компании/фирми ще имат по-малко документи, така че трябва да се опитате да избегнете написването на процедура за всеки малък процес – например, ако имате 20 служители не е нужно 50 документи за вашата система за управление на информационната сигурност (ISMS – Information Security Management System) . Разбира се, ако сте многонационална компания/фирма с 10000 служителя, пишейки политики, където всеки има съответно няколко процедури и всяка процедура има няколко работни инструкции – този подход няма смисъл.
Важност. Колкото по-важен e процеса или дейността, толкова по-вероятно е да искате да пишете политика или процедура за да я опишете. Това е така, защото Вие бихте искали да сте сигурни, че всеки разбира как се извършва процеса или дейността, така, че да не се прекъснат дейностите/операциите.
Брой на привлечените хора. Колкото повече хора извършват дейността или участват в процеса, толкова по-вероятно е Вие да искате да документирате процеса. Например ако 100 човека са включени в процес, тогава ще е много трудно да представите устно на всички тези хора как да извършат даден процес – много по-лесно е да напишете процедура, която да опише в детайли всичко за процеса. От друга страна, ако имате пет човека включени в дейност или процес, може би бихте могли да обясните как работи целия процес на една среща, така, че може да не ви се наложи да пишете процедури. Тук има едно изключение, все пак: ако имате един човек, който участва в процеса или извършва дейността Вие може да искате да го документирате, защото никой друг не знае как се извършва дейността – така, че ако този човек го няма, Вие да може да продължите да функционирате (да е възможно да се осъществяват процесите или дейностите).
Комплексност. Колкото по-комплексен е процеса, толкова по вероятно е да е необходимо да напишете документ за него. (поне във формата на контролен списък) – просто не е възможно да се помнят наизуст например 100 стъпки, които трябва да се изпълнят в точна последователност.
Зрялост. Ако процеса или дейността са ясно създадени, ако те се извършват от години и всеки знае как да ги извършва, ако процеса или дейността са изчистени от грешки и добре настроени, тогава навярно няма да има необходимост да ги документирате.
Честота. Ако извършате някои дейности рядко, Вие може да искате да ги опишете за да не забравите как да ги извършвате.
Намерете точния баланс
Колкото повече документи имате и колкото по-детайлни са те, ще бъде по-трудно да ги подържате и да накарате служителите си да ги прегледат. От друга страна , малкия брой документи , които са много кратки не биха могли да опишат точно какво е необходимо да се прави.
В много от случаите, аз препоръчвам на моите клиенти да не бъдат много амбициозни – ако няма абсолютна необходимост да се съставят някои документи, не го правете; ако няма необходимост да се описва даден процес в големи детайли, направете описанието по-кратко.
И запомнете – ненужните документи ще ви донесат нищо повече от проблеми.
Виж тук един пример за Процедура за контрол на документи.
Благодарим на Йордан Първанов за превода на български език.