Dejan Kosutic Ako ste se susreli s normama ISO 27001 i ISO 27002, vjerojatno ste primijetili da norma ISO 27002 sadrži mnogo više detalja, da je mnogo preciznija. Koji je onda uopće smisao norme ISO 27001?
Prije svega, po normi ISO 27002 se ne možete certificirati jer to nije upravljačka norma. Što to znači upravljačka norma? To znači da se takvom normom određuje način upravljanja sustavom, što se u slučaju norme ISO 27001 odnosi na sustav upravljanja informacijskom sigurnošću (ISMS) – stoga se po normi ISO 27001 možete certificirati.
Ovaj sustav upravljanja znači da se informacijska sigurnost mora planirati, implementirati, nadzirati, pregledavati i poboljšavati; znači da menadžment ima točno određene odgovornosti i da se ciljevi moraju postaviti, mjeriti i pregledavati, da se moraju provoditi interni auditi i sl. Svi su ovi elementi opisani u ISO 27001, ali ne i u ISO 27002.
Sigurnosne mjere u normi ISO 27002 nose iste nazive kao i one u Aneksu A norme ISO 27001 – na primjer, u normi ISO 27002 mjera 6.1.6 nosi naslov Kontakt s državnim službama dok se u normi ISO 27001 zove A.6.1.6 Kontakt s državnim službama. Razlika je ipak u količini detalja – u normi ISO 27002 svakoj je sigurnosnoj mjeri posvećena otprilike jedna cijela stranica, dok je u normi ISO 27001 istoj mjeri posvećena tek jedna rečenica.
Razlika je i u tome što norma ISO 27002 ne razlikuje sigurnosne mjere prema tome jesu li primjenjive u određenoj organizaciji ili ne. S druge strane, norma ISO 27001 propisuje da se mora provesti procjena rizika kako bi se za svaku mjeru utvrdilo je li potrebna za umanjivanje rizika, i ako je, u kojoj mjeri se mora primijeniti.
Postavlja se pitanje zašto te dvije norme postoje zasebno, zašto nisu integrirane kako bi se na jednom mjestu objedinile njihove pozitivne strane? Odgovor je u upotrebljivosti – ako bi tvorile jedinstvenu normu, ona bi bila suviše složena i opsežna za praktičnu upotrebu.
Norme iz serije ISO 27000 osmišljene su tako da svaka na nešto stavlja naglasak – ako u svojoj organizaciji želite postaviti temelje informacijske sigurnosti i odrediti njezine okvire, koristit ćete se normom ISO 27001; ako želite implementirati sigurnosne mjere, koristiti ćete se normom ISO 27002, a ako želite provesti procjenu i obradu rizika, upotrijebit ćete ISO 27005, itd.
Da zaključim: bez detalja koje nudi norma ISO 27002 ne bi bilo moguće provesti mjere navedene u Aneksu A norme ISO 27001; međutim, bez upravljačkog okvira postavljenog u normi ISO 27001 norma ISO 27002 ostala bi samo usamljen primjer nastojanja nekolicine entuzijasta za informacijsku sigurnost, bez podrške top menadžmenta i bez pravog učinka na organizaciju.
Pogledajte i naš webinar ISO 27001 Foundations Part 3: Annex A overview.
