Imate izvrsnu ideju da bi vam norma ISO 27001 mogla pomoći u postizanju sukladnosti, privlačenju novih klijenata, smanjenju troškova incidenata i povećanju učinkovitosti temeljnih IT procesa? Ideja je dobra, ali kad se radi o implementaciji, stvari se kompliciraju.
Prvo biste trebali uvjeriti menadžment (ako sami niste dio višeg menadžmenta) da je ISO 27001 zaista ono što vašoj tvrtki treba. Menadžment je obično preopterećen drugim obvezama i rokovima, te se vjerojatno ne želi upuštati u još jedan projekt o kojem mora voditi brigu.
Čak i ako je menadžment spreman učiniti nešto za informacijsku sigurnost, postavlja se drugo pitanje – kako to financirati? Na prvi vam se pogled čini da ta “papirologija ne bi trebala biti preskupa”, ali ubrzo shvatite da morate platiti konzultante, kupiti literaturu, educirati zaposlenike, investirati u nabavku softvera i opreme, platiti certifikaciju itd.
Ali recimo da nekim čudom pronađete potreban novac za sve to, nameće se treće pitanje: tko će to zapravo raditi? Ako imate konzultanta koji je iskren, reći će vam da nije dovoljno da vas konzultant samo opskrbi predlošcima dokumentacije, nego i da se morate potruditi da tu dokumentaciju prilagodite svojoj situaciji. No ni tu nije kraj – konzultant će vam također kazati da zaista morate postupati prema dokumentaciji (i normi). Pri tom se ne radi samo o jednokratnom poslu nego o trajnoj obvezi.
Pristupate zatim svojim kolegama i pitate ih kako podijeliti poslove oko provedbe i vođenja norme ISO 27001, a oni odjednom promijene temu. Još gore, mogli biste od menadžmenta zatražiti da angažira Voditelja informacijske sigurnosti koji, zbog nedostatka ljudi tog profila na tržištu, ne radi za sitne novce.
I tako vas na kraju imenuju voditeljem projekta za uvođenje norme ISO 27001, s time da morate raditi s malim ili gotovo nikakvim budžetom, s timom koji se ustvari ne želi baviti informacijskom sigurnošću, te menadžmentom, koji nakon pokretanja projekta certifikat želi dobiti u što kraćem roku.
Jeste li još uvijek zainteresirani za normu ISO 27001?
Da biste prevladali najčešće probleme s implementacijom ISO 27001, pogledajte Conformio softver za sukladnost.