Dejan Kosutic Već ste uveli normu ISO 9001? Čuli ste da bi možda bilo dobro uvesti i normu ISO 27001? Ali kako vam nešto vezano za kvalitetu može pomoći u provedbi informacijske sigurnosti?
Može, i više nego što mislite. Norma ISO 9001 opisuje kako mora izgledati sustav upravljanja kvalitetom (QMS), dok ISO/IEC 27001 opisuje sustav upravljanja informacijskom sigurnošću (ISMS). Zajedničko im je “sustav upravljanja” – pa što je to zapravo?
Filozofija sustava upravljanja razvila se iz teorije koju je W. Edwards Deming osmislio u drugoj polovici 20. stoljeća, a temelji se na PDCA krugu (engl. Plan-Do-Check-Act). Taj se krug u osnovi sastoji od sljedećeg: u Fazi planiranja morate odrediti što sustavom upravljanja želite postići, u Fazi implementacije to provodite, u Fazi pregledavanja konstantno pratite jeste li planirano ostvarili, a u Fazi poboljšavanja popravljate tj. zatvarate raskorak između onoga što ste planirali i što je ostvareno.
Iako je ovaj krug osmišljen u kontekstu upravljanja kvalitetom, postao je temelj za sve druge sustave upravljanja – informacijsku sigurnost (ISO/IEC 27001), okoliš (ISO 14001), kontinuitet poslovanja (BS 25999-2), itd. To znači da neke od elemenata koje ste uveli kao dio sustava za upravljanje kvalitetom prema ISO 9001 možete također iskoristiti u sustavu upravljanja informacijskom sigurnošću – ovdje je popis:
- Upravljanje dokumentacijom – postupak koji se koristi za upravljanje dokumentacijom u QMS-u može se u istu svrhu koristiti u ISMS-u, samo s manjim prilagodbama
- Interni audit – isti se postupak može koristiti i za QMS i za ISMS, iako bi sam interni audit trebale provesti različite osobe jer je mala vjerojatnost da jedna osoba posjeduje dovoljno znanja i o informacijskoj sigurnosti i o kvaliteti
- Popravne i preventivne mjere – postupak koji se koristi u QMS-u može se koristiti u iste svrhe i u ISMS-u, iako će vjerojatno različiti ljudi rješavati pitanja vezana za QMS ili ISMS
- Upravljanje ljudskim resursima – isti krug planiranja, obuke i evaluacije ljudskih resursa koristi se u oba sustava upravljanja; naravno, razlika je u profilu potrebnih vještina i znanja
- Pregled od strane menadžmenta – princip pregleda od strane menadžmenta isti je za oba sustava upravljanja; iako se ne preporučuje paralelno provođenje oba pregleda, menadžment će već biti naučen na donošenje odluka vezanih za QMS pa će bolje razumjeti kako se odluke donose u kontekstu ISMS-a.
- Postavljanje poslovnih ciljeva i praćenje jesu li postignuti – obje norme sadrže isti mehanizam, pa će menadžment biti naviknut na takvo sustavno planiranje
Stoga, ako ste već uveli ISO 9001, bit će vam lakše provoditi normu ISO 27001 (i obratno) – možete uštedjeti do 30% vremena. Također, certifikacijski auditi bit će jeftiniji jer certifikacijska tijela nude tzv. “integrirane audite”, što znači da u istom auditu mogu obuhvatiti norme ISO 9001 i ISO 27001, i naplatiti manje nego za odvojene audite.
Ako vaš QMS dobro funkcionira i projekt ISMS-a će se odvijati glatko – menadžment će bolje razumjeti potencijalnu korist za poslovanje dok će sve organizacijske jedinice biti naučene na potrebu definiranja jasnih procedura, odgovornosti i dokumentacije.
Već uveden sustav upravljanja kvalitetom zaista pruža dobru osnovu za informacijsku sigurnost – ako ste već uveli normu ISO 9001, ozbiljno razmislite o normi ISO 27001.
Ovaj besplatni webinar će Vam također pomoći: ISO 27001 implementation: How to make it easier using ISO 9001.
