Take the ISO 27001 course exam and get the
EU GDPR course exam for free
LIMITED-TIME OFFER – ENDS MARCH 30, 2023
ISO-27001-ISO-22301-blog

ISO 27001 i ISO 22301 Blog

Obvezne dokumentirane procedure propisane normom ISO 27001

Ako ste čuli da norma ISO 27001 propisuje mnogo procedura, to nije u potpunosti točno. Zapravo je prema normi potrebno dokumentirati samo četiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz “dokumentirati” znači da se “procedura mora uspostaviti, dokumentirati, implementirati i održavati.” (ISO/IEC 27001 4.3.1 Note 1)

Napomena: u ovom postu neću pisati o ostalim obveznim dokumentima kao što su opseg ISMS-a, politika ISMS-a, metodologija za procjenu rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, plan obrade rizika, itd. – usredotočit ću se samo na procedure.

Procedura za upravljanje dokumentacijom trebala bi odrediti osobu odgovornu za odobravanje i pregled dokumentacije, definirati način na koji se utvrđuje status izmjena i revizije, kako se dokumentacija distribuira i sl. Drugim riječima, ova procedura trebala bi propisati način na koji će funkcionirati krvotok organizacije (protok dokumentacije).

Procedura za interni audit mora propisati odgovornosti za planiranje i provođenje audita, načine izvještavanja o rezultatima audita i vođenje zapisa. To znači da se moraju propisati osnovna pravila za provođenje audita.

Procedura za korektivne mjere trebala bi propisati način na koji će se utvrđivati nesukladnost i njezini uzroci, kako definirati i implementirati potrebne mjere, koji oblik zapisa primjenjivati te kako obavljati pregled mjera. Svrha ove procedure je da definira način na koji će svaka pojedina mjera ukloniti uzrok nesukladnosti, kako se isti ne bi ponovio.

Procedura za preventivne mjere i procedura za korektivne mjere gotovo su iste. Jedina razlika je u tome što je cilj preventivnih mjera ukloniti uzrok nesukladnosti, kako se nesukladnost uopće ne bi pojavila. Budući da su slične, ove se dvije procedure obično spajaju u jednu.

Ali kako to da ISO 27001 propisuje dokumentiranje procedura koje nisu povezane s informacijskom sigurnošću, dok istovremeno sigurnosne procedure nisu obvezne?

Odgovor leži u procjeni rizika – ISO 27001 propisuje da morate provesti procjenu rizika, a ako se tom procjenom rizika utvrdi određen neprihvatljiv rizik, ISO 27001 propisuje provođenje mjere iz Aneksa A koja će umanjiti rizik(e). Ta mjera može biti tehnička (primjerice anti virusni softver za smanjenje rizika od napada zlonamjernog softvera), ali i organizacijska – provedba politike ili procedure (primjerice, implementacija procedure za sigurnosne kopije). Procedure dakle postaju obvezne samo ako se procjenom rizika utvrde neprihvatljivi rizici.

Važno je napomenuti: za razliku od četiri obvezne procedure koje moraju biti dokumentirane, procedure koje proizlaze iz mjera u Aneksu A ne moraju biti dokumentirane. Organizacija može samostalno procijeniti je li te procedure potrebno dokumentirati ili ne.

Četiri obvezne procedure (zajedno sa sigurnosnom politikom) možete smatrati stupovima vašeg sustava upravljanja – nakon što ih dobro učvrstite u temelje, možete početi zidati kuću. To je očigledno ako pogledate druge sustava upravljanja – i tamo su obvezne iste četiri procedure – u ISO 9001 (sustavi upravljanja kvalitetom), ISO 14001 (sustavi upravljanja okolišem) i BS 25999-2 (upravljanje kontinuitetom poslovanja). Iz toga slijedi da ove procedure možete koristiti kao glavnu poveznicu između različitih sustava upravljanja ako želite razviti tzv. “integrirani sustav upravljanja”.

Pogledajte i naš video tutorijal How to Write ISO 27001/ISO 22301 Document Control Procedure.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
Povežite se s Dejan: