Sedam koraka za implementaciju politika i procedura

Je li vam se ikada dogodilo da ste dobili zadatak napisati sigurnosnu politiku ili proceduru? No ne želite da vaš dokument dijeli sudbinu mnogih drugih – da skuplja prašinu u nekoj zaboravljenoj ladici? Evo nekoliko razmišljanja koja bi vam mogla pomoći…

Koraci koje ću vam predstaviti temelje se na mom iskustvu s raznim klijentima, velikim i malim, državnim ili privatnim, profitnim ili neprofitnim – mislim da se ti koraci mogu primijeniti u svim navedenim slučajevima. Ti su koraci zapravo primjenjivi na bilo koju vrstu politika i procedura, ne samo na one povezane s ISO 27001 ili BS 25999-2.

1. Proučite zahtjeve

Prvo morate vrlo pažljivo proučiti razne zahtjeve – postoje li zakonski propisi koji zahtijevaju da nešto imate napismeno? Imate li sklopljen ugovor s klijentom? Ili možda neku drugu politiku više razine koja je već postoji u vašoj organizaciji (možda korporativni standard)? Proučiti morate i zahtjeve iz ISO 27001 ili BS 25999-2 ako se želite uskladiti s tim normama.

2. Uzmite u obzir rezultate procjene rizika

Procjenom rizika utvrdit ćete na koje se probleme morate osvrnuti u svojem dokumentu, ali i do koje mjere – primjerice, možda ćete morati odlučiti hoćete li informacije klasificirati prema stupnju povjerljivosti i, ako je tako, jesu li vam potrebne dva, tri ili četiri stupnja povjerljivosti.

Ako vaša politika ili procedura nije povezana s informacijskom sigurnošću ili kontinuitetom poslovanja, ovaj korak možda nije relevantan u tom obliku. Međutim, principi upravljanja rizikom primjenjivi su i na sva druga područja – upravljanje kvalitetom (ISO 9001), upravljanje okolišem (ISO 14001), itd. Na primjer, u ISO 9001 morate odrediti do koje je mjere neki proces ključan za upravljanje kvalitetom i prema tome odlučiti hoćete li ga dokumentirati ili ne.

3. Optimizirajte i uskladite svoj(e) dokument(e)

Važno je razmisliti o ukupnom broju dokumenata – hoćete li napisati deset dokumenta od jedne stranice ili jedan dokument od deset stranica? Puno je lakše upravljati jednim dokumentom, pogotovo ako je ciljna skupina čitatelja ista. (Samo nemojte napraviti jedan dokument od 100 stranica.)

Štoviše, morate svakako svoje dokumente uskladiti s drugim dokumentima – pitanja koje definirate možda su djelomično definirani u nekom drugom dokumentu. U tom slučaju možda neće biti potrebno pisati novi dokument, nego samo proširiti postojeći.

Ako pišete novi dokument o pitanju koje je već spomenuto u drugom dokumentu, svakako izbjegavajte suvišno ponavljanje – nemojte istu stvar opisivati u oba dokumenta. Kasnije će upravljanje tim dokumentima biti noćna mora. Kako biste izbjegli ponavljanja, puno je bolje da se jedan dokument referira na drugi.

4. Strukturirajte dokument

Morate također paziti da dokument bude formatiran u skladu s korporativnim pravilima – možda već imate obrazac s unaprijed definiranim fontovima, zaglavljima, podnožjima i sl.

Ako ste već implementirali ISO 27001 ili BS 25999-2 (ili neku drugu upravljačku normu), morat ćete raditi u skladu s procedurom za upravljanje dokumentacijom – takva procedura osim formatiranja dokumenta definira i pravila za njegovo odobravanje, distribuciju, itd.

5. Napišite dokument

Uobičajeno pravilo glasi – što je organizacija manja i što su manji rizici to je dokumentacija manje složena. Uopće nema smisla pisati opširan dokument koji nitko neće čitati – morate razumjeti da čitanje dokumenta oduzima vremena i da je razina koncentracije pri čitanju obrnuto proporcionalna broju redaka u vašem dokumentu.

Dobar način na koji možete savladati otpor zaposlenika prema ovom dokumentu (nitko ne voli promjene, pogotovo ako to podrazumijeva obvezu poput redovitog mijenjanja lozinke) je da ih uključite u pisanje ili komentiranje dokumenta – na taj će način shvatiti zašto je potreban.

6. Tražite odobrenje za vaš dokument

Ovaj korak se podrazumijeva sam po sebi, ali evo zašto je zapravo važan – ako ne pripadate najvišem menadžmentu u svojoj organizaciji, onda obično nemate ovlaštenje za provođenje dokumenta.

Zato ga netko na toj poziciji mora razumjeti, odobriti i aktivno podupirati njegovu implementaciju. Zvuči jednostavno, ali vjerujte – nije. Implementacija najčešće zapne na ovom kao i na sljedećem koraku.

7. Obučavanje i osvješćivanje zaposlenika

Ovaj korak je možda i najvažniji, ali se nažalost vrlo često zanemaruje. Kao što sam prije spomenuo, zaposlenici su zasićeni neprestanim promjenama i sigurno neće poduprijeti još jednu promjenu, pogotovo ako ona donosi još više posla.

Stoga je vrlo važno da zaposlenicima objasnite zašto je potrebna takva politika ili procedura – zašto je to dobro, ne samo za tvrtku, nego i za njih same.

U nekim će slučajevima biti potrebno obučavanje – bilo bi pogrešno misliti da svatko posjeduje vještine za provođenje novih aktivnosti. Vama kao autoru dokumenta možda će to izgledati jednostavno i samo po sebi razumljivo, ali ostalima se može činiti vrlo komplicirano.

Kraj priče?

Ako ste mislili da je to kraj priče o implementaciji vašeg dokumenta, pogriješili ste – avantura tek počinje. Nije dovoljno imati savršenu politiku ili proceduru koju svi obožavaju. Potrebno ju je i održavati.

Netko mora voditi računa o ažuriranju i poboljšavanju dokumenta, inače više nitko neće na njega obraćati pažnju – a taj netko je obično ista osoba koja ga je i napisala. Osim toga netko mora mjeriti je li dokument ispunio svrhu – opet to možete biti vi.

Čitajući ovaj članak možda ste primijetili da nije dovoljno imati dobar predložak za uspješnu politiku ili proceduru – ono što je potrebno je sustavan pristup njihovoj implementaciji. U njegovoj primjeni nemojte zaboraviti najvažniju činjenicu: dokument nije sam sebi svrha – on je samo alat potreban da bi se aktivnosti i procesi glatko odvijali. Stoga ne dozvolite da se dogodi suprotno – da takav dokument otežava odvijanje tih aktivnosti i procesa.

Pogledajte i naš video tutorijal  How To Set Up ISO 27001 Project – Writing the Project Plan.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.