Sličnosti i razlike između norme ISO 27001 i BS 25999-2

Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima – dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste procedure možete koristiti i za BS 25999-2 (uz manje prilagodbe).

U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

Pogledajte i naš besplatni webinar ISO 27001 & ISO 22301: Why is it better to implement them together?

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.