{"id":4728,"date":"2011-04-18T17:33:48","date_gmt":"2011-04-18T17:33:48","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/04\/18\/vaznost-izvjesca-o-primjenjivosti-za-iso-27001\/"},"modified":"2022-07-17T15:26:37","modified_gmt":"2022-07-17T15:26:37","slug":"vaznost-izvjesca-o-primjenjivosti-za-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/hr\/blog\/2011\/04\/18\/vaznost-izvjesca-o-primjenjivosti-za-iso-27001\/","title":{"rendered":"Va\u017enost Izvje\u0161\u0107a o primjenjivosti za ISO 27001"},"content":{"rendered":"<p>Va\u017enost Izvje\u0161\u0107a o primjenjivosti (<em>engl. Statement of Applicability<\/em> &#8211; <em>SoA<\/em>) obi\u010dno se podcjenjuje &#8211; poput Priru\u010dnika kvalitete iz norme <a href=\"https:\/\/advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 9001<\/a>, radi se o sredi\u0161njem dokumentu u kojem je definirano kako \u0107ete implementirati ve\u0107i dio svoje informacijske sigurnosti.<\/p>\n<p>Izvje\u0161\u0107e o primjenjivosti zapravo je glavna poveznica izme\u0111u procjene i obrade rizika te implementacije va\u0161e informacijske sigurnosti. Svrha mu je definirati koje od 133 predlo\u017eene kontrole (sigurnosne mjere) iz Aneksa A norme <a href=\"\/27001academy\/hr\/sto-je-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> \u0107ete primijeniti, te na\u010din na koji \u0107ete ih provesti.<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Za\u0161to je taj dokument potreban?<\/h2>\n<p>Za\u0161to je dakle takav dokument potreban ako ste ve\u0107 napisali Izvje\u0161\u0107e o procjeni rizika (koje je isto obavezno), koje tako\u0111er definira potrebne kontrole? Razlozi su sljede\u0107i:<\/p>\n<ul>\n<li>Prije svega, tijekom obrade rizika utvr\u0111ujete potrebne kontrole jer ste utvrdili koje je rizike potrebno smanjiti. Me\u0111utim, u Izvje\u0161\u0107u o primjenjivosti tako\u0111er odre\u0111ujete potrebne kontrole iz nekih drugih razloga &#8211; zbog propisa, ugovornih obveza, drugih procesa, itd.<\/li>\n<li>Drugo, Izvje\u0161\u0107e o procjeni rizika mo\u017ee biti prili\u010dno duga\u010dko &#8211; u nekim se organizacijama mo\u017ee identificirati i nekoliko tisu\u0107a rizika (ponekad i vi\u0161e), pa takav dokument nije ba\u0161 prikladan za svakodnevnu uporabu. S druge strane, Izvje\u0161\u0107e o primjenjivosti je kra\u0107e &#8211; ima 133 retka (po jedan za svaku kontrolu), \u0161to vam omogu\u0107uje da ga prezentirate menad\u017ementu i da ga lak\u0161e a\u017eurirate.<\/li>\n<li>Tre\u0107e &#8211; i najva\u017enije- u Izvje\u0161\u0107u o primjenjivosti mora se za svaku pojedinu primjenjivu kontrolu dokumentirati provodili li se ona ve\u0107 ili ne. Dobra praksa (a ve\u0107ina auditora \u0107e upravo to provjeravati) uklju\u010duje i opisivanje na\u010dina na koji se pojedina primjenjiva kontrola provodi &#8211; npr. referiranjem na neki dokument (politiku\/proceduru\/upute i sl.) ili kratkim opisom uspostavljene procedure ili opreme koja se upotrebljava.<\/li>\n<\/ul>\n<p>Ako se \u017eelite certificirati prema ISO 27001, certifikacijski auditor \u0107e uzeti va\u0161e Izvje\u0161\u0107e o primjenjivosti i obilaziti tvrtku da bi provjerio jeste li proveli mjere na na\u010din na koji su opisane u Izvje\u0161\u0107u o primjenjivosti. To je glavni dokument za provedbu on-site audita.<\/p>\n<p>Vrlo mali broj tvrtki shva\u0107a da pisanjem dobrog Izvje\u0161\u0107a o primjenjivosti mo\u017ee smanjiti broj ostalih dokumenata &#8211; na primjer, \u017eelite li dokumentirati odre\u0111enu kontrolu, a opis procedure za tu kontrolu prili\u010dno je kratak, mo\u017eete je opisati u Izvje\u0161\u0107u o primjenjivosti. Na taj na\u010din izbjegavate pisanje dodatnih dokumenata.<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Za\u0161to je taj dokument koristan?<\/h2>\n<p>Iz vlastitog iskustva znam da ve\u0107ina tvrtki koje provode sustav upravljanja informacijskom sigurno\u0161\u0107u prema ISO 27001 utro\u0161e puno vi\u0161e vremena na pisanje ovog dokumenta nego \u0161to su o\u010dekivali jer moraju razmi\u0161ljati o tome kako provesti kontrole: Ho\u0107e li nabavljati novu opremu? Ili promijeniti proceduru? Ili zaposliti novu osobu? Radi se o odlukama koje su prili\u010dno va\u017ene (a ponekad i skupe), tako da ne iznena\u0111uje da ih je te\u0161ko donijeti. Dobra strana Izvje\u0161\u0107a o primjenjivosti je da organizaciju prisiljava da ovaj posao obavi na sustavan na\u010din.<\/p>\n<p>Stoga ovaj dokument ne biste trebali smatrati samo suvi\u0161nim dokumentom koji vam ne koristi u redovitom poslovanju &#8211; smatrajte ga glavnim dokumentom u kojem definirate kako \u017eelite da va\u0161 sustav informacijske sigurnosti izgleda. Ako se napi\u0161e kako treba, Izvje\u0161\u0107e o primjenjivosti predstavlja izvrstan pregled onoga \u0161to treba u\u010diniti u sklopu informacijske sigurnosti, za\u0161to je to potrebno i kako to treba provesti.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Va\u017enost Izvje\u0161\u0107a o primjenjivosti (engl. Statement of Applicability &#8211; SoA) obi\u010dno se podcjenjuje &#8211; poput Priru\u010dnika kvalitete iz norme ISO 9001, radi se o sredi\u0161njem dokumentu u kojem je definirano kako \u0107ete implementirati ve\u0107i dio svoje informacijske sigurnosti. Izvje\u0161\u0107e o primjenjivosti zapravo je glavna poveznica izme\u0111u procjene i obrade rizika te implementacije va\u0161e informacijske sigurnosti. &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[1261,1298,1336,1365],"class_list":["post-4728","post","type-post","status-publish","format-standard","hentry","category-blog-hr","tag-izvjesce-o-primjenjivosti","tag-obrada-rizika","tag-procjena-rizika","tag-sigurnosne-mjere"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4728"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4728\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}