• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Sličnosti i razlike između norme ISO 27001 i BS 25999-2

    Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

    Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

    Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

    No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

    Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima – dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

    Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste proceduremožete koristiti i za BS 25999-2 (uz manje prilagodbe).

    U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

    Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

    Pogledajte i naš besplatni webinar ISO 27001 & ISO 22301: Why is it better to implement them together?

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan posjeduje brojne certifikate, uključujući Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor i Associate Business Continuity Professional. Dejan rukovodi našim timom u uređivanju nekoliko internet stranica koje su specijalizirane za pružanje potpore ISO i IT stručnjacima u razumijevanju i uspješnom implementiranju vrhunskih svjetskih standarda. Dejan je magistrirao na Henley Management College, i posjeduje veliko iskustvo u području investicija, osiguranja i bankarstva. Poznat je po svojoj stručnosti na polju međunarodnih standarda za kontinuitet poslovanja i informacijsku sigurnost – ISO 27001 & ISO 22301 – i kao autor brojnih video tutorijala, paketa dokumentacije i knjiga.