Uporaba norme ISO 9001 za provedbu ISO 27001

Već ste uveli normu ISO 9001? Čuli ste da bi možda bilo dobro uvesti i normu ISO 27001? Ali kako vam nešto vezano za kvalitetu može pomoći u provedbi informacijske sigurnosti?

Može, i više nego što mislite. Norma ISO 9001 opisuje kako mora izgledati sustav upravljanja kvalitetom (QMS), dok ISO/IEC 27001 opisuje sustav upravljanja informacijskom sigurnošću (ISMS). Zajedničko im je “sustav upravljanja” – pa što je to zapravo?

Filozofija sustava upravljanja razvila se iz teorije koju je W. Edwards Deming osmislio u drugoj polovici 20. stoljeća, a temelji se na PDCA krugu (engl. Plan-Do-Check-Act). Taj se krug u osnovi sastoji od sljedećeg: u Fazi planiranja morate odrediti što sustavom upravljanja želite postići, u Fazi implementacije to provodite, u Fazi pregledavanja konstantno pratite jeste li planirano ostvarili, a u Fazi poboljšavanja popravljate tj. zatvarate raskorak između onoga što ste planirali i što je ostvareno.

Iako je ovaj krug osmišljen u kontekstu upravljanja kvalitetom, postao je temelj za sve druge sustave upravljanja – informacijsku sigurnost (ISO/IEC 27001), okoliš (ISO 14001), kontinuitet poslovanja (BS 25999-2), itd. To znači da neke od elemenata koje ste uveli kao dio sustava za upravljanje kvalitetom prema ISO 9001 možete također iskoristiti u sustavu upravljanja informacijskom sigurnošću – ovdje je popis:

  • Upravljanje dokumentacijom – postupak koji se koristi za upravljanje dokumentacijom u QMS-u može se u istu svrhu koristiti u ISMS-u, samo s manjim prilagodbama
  • Interni audit – isti se postupak može koristiti i za QMS i za ISMS, iako bi sam interni audit trebale provesti različite osobe jer je mala vjerojatnost da jedna osoba posjeduje dovoljno znanja i o informacijskoj sigurnosti i o kvaliteti
  • Popravne i preventivne mjere – postupak koji se koristi u QMS-u može se koristiti u iste svrhe i u ISMS-u, iako će vjerojatno različiti ljudi rješavati pitanja vezana za QMS ili ISMS
  • Upravljanje ljudskim resursima – isti krug planiranja, obuke i evaluacije ljudskih resursa koristi se u oba sustava upravljanja; naravno, razlika je u profilu potrebnih vještina i znanja
  • Pregled od strane menadžmenta – princip pregleda od strane menadžmenta isti je za oba sustava upravljanja; iako se ne preporučuje paralelno provođenje oba pregleda, menadžment će već biti naučen na donošenje odluka vezanih za QMS pa će bolje razumjeti kako se odluke donose u kontekstu ISMS-a.
  • Postavljanje poslovnih ciljeva i praćenje jesu li postignuti – obje norme sadrže isti mehanizam, pa će menadžment biti naviknut na takvo sustavno planiranje

Stoga, ako ste već uveli ISO 9001, bit će vam lakše provoditi normu ISO 27001 (i obratno) – možete uštedjeti do 30% vremena. Također, certifikacijski auditi bit će jeftiniji jer certifikacijska tijela nude tzv. “integrirane audite”, što znači da u istom auditu mogu obuhvatiti norme ISO 9001 i ISO 27001, i naplatiti manje nego za odvojene audite.

Ako vaš QMS dobro funkcionira i projekt ISMS-a će se odvijati glatko – menadžment će bolje razumjeti potencijalnu korist za poslovanje dok će sve organizacijske jedinice biti naučene na potrebu definiranja jasnih procedura, odgovornosti i dokumentacije.

Već uveden sustav upravljanja kvalitetom zaista pruža dobru osnovu za informacijsku sigurnost – ako ste već uveli normu ISO 9001, ozbiljno razmislite o normi ISO 27001.

Ovaj besplatni webinar će Vam također pomoći: ISO 27001 implementation: How to make it easier using ISO 9001.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.