Dejan Kosutic Ako ste čuli da norma ISO 27001 propisuje mnogo procedura, to nije u potpunosti točno. Zapravo je prema normi potrebno dokumentirati samo četiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz “dokumentirati” znači da se “procedura mora uspostaviti, dokumentirati, implementirati i održavati.” (ISO/IEC 27001 4.3.1 Note 1)
Napomena: u ovom postu neću pisati o ostalim obveznim dokumentima kao što su opseg ISMS-a, politika ISMS-a, metodologija za procjenu rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, plan obrade rizika, itd. – usredotočit ću se samo na procedure.
Procedura za upravljanje dokumentacijom trebala bi odrediti osobu odgovornu za odobravanje i pregled dokumentacije, definirati način na koji se utvrđuje status izmjena i revizije, kako se dokumentacija distribuira i sl. Drugim riječima, ova procedura trebala bi propisati način na koji će funkcionirati krvotok organizacije (protok dokumentacije).
Procedura za interni audit mora propisati odgovornosti za planiranje i provođenje audita, načine izvještavanja o rezultatima audita i vođenje zapisa. To znači da se moraju propisati osnovna pravila za provođenje audita.
Procedura za korektivne mjere trebala bi propisati način na koji će se utvrđivati nesukladnost i njezini uzroci, kako definirati i implementirati potrebne mjere, koji oblik zapisa primjenjivati te kako obavljati pregled mjera. Svrha ove procedure je da definira način na koji će svaka pojedina mjera ukloniti uzrok nesukladnosti, kako se isti ne bi ponovio.
Procedura za preventivne mjere i procedura za korektivne mjere gotovo su iste. Jedina razlika je u tome što je cilj preventivnih mjera ukloniti uzrok nesukladnosti, kako se nesukladnost uopće ne bi pojavila. Budući da su slične, ove se dvije procedure obično spajaju u jednu.
Ali kako to da ISO 27001 propisuje dokumentiranje procedura koje nisu povezane s informacijskom sigurnošću, dok istovremeno sigurnosne procedure nisu obvezne?
Odgovor leži u procjeni rizika – ISO 27001 propisuje da morate provesti procjenu rizika, a ako se tom procjenom rizika utvrdi određen neprihvatljiv rizik, ISO 27001 propisuje provođenje mjere iz Aneksa A koja će umanjiti rizik(e). Ta mjera može biti tehnička (primjerice anti virusni softver za smanjenje rizika od napada zlonamjernog softvera), ali i organizacijska – provedba politike ili procedure (primjerice, implementacija procedure za sigurnosne kopije). Procedure dakle postaju obvezne samo ako se procjenom rizika utvrde neprihvatljivi rizici.
Važno je napomenuti: za razliku od četiri obvezne procedure koje moraju biti dokumentirane, procedure koje proizlaze iz mjera u Aneksu A ne moraju biti dokumentirane. Organizacija može samostalno procijeniti je li te procedure potrebno dokumentirati ili ne.
Četiri obvezne procedure (zajedno sa sigurnosnom politikom) možete smatrati stupovima vašeg sustava upravljanja – nakon što ih dobro učvrstite u temelje, možete početi zidati kuću. To je očigledno ako pogledate druge sustava upravljanja – i tamo su obvezne iste četiri procedure – u ISO 9001 (sustavi upravljanja kvalitetom), ISO 14001 (sustavi upravljanja okolišem) i BS 25999-2 (upravljanje kontinuitetom poslovanja). Iz toga slijedi da ove procedure možete koristiti kao glavnu poveznicu između različitih sustava upravljanja ako želite razviti tzv. “integrirani sustav upravljanja”.
Pogledajte i naš video tutorijal How to Write ISO 27001/ISO 22301 Document Control Procedure.
