Dejan Kosutic Vjerojatno znate da je prvi korak u implementaciji norme ISO 27001 određivanje opsega. Ono što vjerojatno niste znali je da taj korak, iako se na prvi pogled čini jednostavnim, može ponekad biti problematičan. Naime, mnoge tvrtke sužavanjem opsega pokušavaju smanjiti troškove implementacije, ali se često nađu u situaciji u kojoj im taj isti opseg zadaje glavobolju.
U čemu je dakle problem?
Kada opseg određen prema normi ISO 27001 ne obuhvaća cijelu organizaciju, sustav upravljanja informacijskom sigurnošću (ISMS) mora imati sučelje prema „vanjskom svijetu“ – u tom smislu vanjski svijet ne uključuje samo klijente, partnere, dobavljače i sl., već i odjele u organizaciji koji nisu unutar opsega. Možda će se činiti neobičnim, ali odjel koji nije unutar opsega treba tretirati jednako kao i vanjske dobavljače.
Ako na primjer odlučite da unutar opsega bude samo informatički odjel, a taj odjel koristi usluge odjela za nabavu, informatički bi odjel trebao provesti procjenu rizika vašeg odjela za nabavu kako bi utvrdio postoji li rizik za informacije za čiju sigurnost je odgovoran. Osim toga, ova dva odjela bi trebala potpisati opće uvjete o pružanju usluga.
Zašto je potrebno toliko papirologije? Morate se staviti u poziciju certifikacijskog tijela – ono mora potvrditi da ste unutar opsega u stanju postupati s informacijama na siguran način, a ne može provjeravati odjele koji su izvan opsega. Jedino rješenje u ovom slučaju je da takve odjele tretirate kao vanjske tvrtke. (Napomena: certifikacijski auditori ne vole uski opseg).
Tu problemima nije kraj. Ponekad jednostavno nije moguće uspostaviti uzak opseg jer ne postoji sučelje prema vanjskom svijetu. Ako na primjer i djelatnici unutar opsega i djelatnici izvan opsega sjede u istoj prostoriji, takav opseg je teško izvediv; ako i djelatnici koji jesu dio opsega i oni koji nisu koriste istu lokalnu mrežu (bez segregacije) i imaju pristup raznim mrežnim servisima, tek takav opseg nije izvediv – ne bi bilo moguće kontrolirati protok informacija samo unutar opsega.
Suština je sljedeća – ponekad je nemoguće suziti opseg ISMS-a, a sužavanje vas u većini slučajeva samo opterećuje dodatnom papirologijom. Stoga je ono rješenje koje se u početku nije činilo dobrim u konačnici ipak možda najbolje – pokušajte opseg proširiti na cijelu organizaciju. Nepisano je pravilo, ako vaša organizacija ima samo nekoliko stotina zaposlenika i jednu ili samo nekoliko lokacija, najbolje je da ISMS obuhvaća cijelu organizaciju.
S druge strane, ako opsegom ISMS-a zaista ne možete obuhvatiti cijelu organizaciju, pokušajte ga uspostaviti u organizacijskoj jedinici koja je u dovoljnoj mjeri neovisna; pokušajte urediti odnose s drugim organizacijskim jedinicama izvan opsega određujući njihove usluge kroz interne dokumente (politike, procedure i sl.) koji bi imali funkciju „ugovora“ – obveze organizacijskih jedinica dokumentirane na ovaj način iskoristive su i u svakodnevnom poslovanju.
Eto – riješili ste prvi korak u implementaciji norme ISO 27001.
Saznajte više o definiranju opsega ISMS-a u ovom besplatnom online treningu ISO 27001 Foundations Course.
