{"id":4813,"date":"2010-06-29T20:15:28","date_gmt":"2010-06-29T20:15:28","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/06\/29\/problemi-s-odredivanjem-opsega-prema-normi-iso-27001\/"},"modified":"2022-07-17T15:26:41","modified_gmt":"2022-07-17T15:26:41","slug":"problemi-s-odredivanjem-opsega-prema-normi-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/hr\/blog\/2010\/06\/29\/problemi-s-odredivanjem-opsega-prema-normi-iso-27001\/","title":{"rendered":"Problemi s odre\u0111ivanjem opsega prema normi ISO 27001"},"content":{"rendered":"

Vjerojatno znate da je prvi korak u implementaciji norme\u00a0ISO 27001<\/a> odre\u0111ivanje opsega. Ono \u0161to vjerojatno niste znali je da taj korak, iako se na prvi pogled \u010dini jednostavnim, mo\u017ee ponekad biti problemati\u010dan. Naime, mnoge tvrtke su\u017eavanjem opsega poku\u0161avaju smanjiti tro\u0161kove implementacije, ali se \u010desto na\u0111u u situaciji u kojoj im taj isti opseg zadaje glavobolju.<\/p>\n

U \u010demu je dakle problem?<\/p>\n

Kada opseg odre\u0111en prema normi ISO 27001 ne obuhva\u0107a cijelu organizaciju, sustav upravljanja informacijskom sigurno\u0161\u0107u (ISMS) mora imati su\u010delje prema \u201evanjskom svijetu\u201c \u2013 u tom smislu vanjski svijet ne uklju\u010duje samo klijente, partnere, dobavlja\u010de i sl., ve\u0107 i odjele u organizaciji koji nisu unutar opsega. Mo\u017eda \u0107e se \u010diniti neobi\u010dnim, ali odjel koji nije unutar opsega treba tretirati jednako kao i vanjske dobavlja\u010de.<\/p>\n

Ako na primjer odlu\u010dite da unutar opsega bude samo informati\u010dki odjel, a taj odjel koristi usluge odjela za nabavu, informati\u010dki bi odjel trebao provesti procjenu rizika va\u0161eg odjela za nabavu kako bi utvrdio postoji li rizik za informacije za \u010diju sigurnost je odgovoran. Osim toga, ova dva odjela bi trebala potpisati op\u0107e uvjete o pru\u017eanju usluga.<\/p>\n

Za\u0161to je potrebno toliko papirologije? Morate se staviti u poziciju certifikacijskog tijela \u2013 ono mora potvrditi da ste unutar opsega u stanju postupati s informacijama na siguran na\u010din, a ne mo\u017ee provjeravati odjele koji su izvan opsega. Jedino rje\u0161enje u ovom slu\u010daju je da takve odjele tretirate kao vanjske tvrtke. (Napomena: certifikacijski auditori ne vole uski opseg).<\/p>\n

Tu problemima nije kraj. Ponekad jednostavno nije mogu\u0107e uspostaviti uzak opseg jer ne postoji su\u010delje prema vanjskom svijetu. Ako na primjer i djelatnici unutar opsega i djelatnici izvan opsega sjede u istoj prostoriji, takav opseg je te\u0161ko izvediv; ako i djelatnici koji jesu dio opsega i oni koji nisu koriste istu lokalnu mre\u017eu (bez segregacije) i imaju pristup raznim mre\u017enim servisima, tek takav opseg nije izvediv \u2013 ne bi bilo mogu\u0107e kontrolirati protok informacija samo unutar opsega.<\/p>\n

Su\u0161tina je sljede\u0107a \u2013 ponekad je nemogu\u0107e suziti opseg ISMS-a, a su\u017eavanje vas u ve\u0107ini slu\u010dajeva samo optere\u0107uje dodatnom papirologijom. Stoga je ono rje\u0161enje koje se u po\u010detku nije \u010dinilo dobrim u kona\u010dnici ipak mo\u017eda najbolje – poku\u0161ajte opseg pro\u0161iriti na cijelu organizaciju. Nepisano je pravilo, ako va\u0161a organizacija ima samo nekoliko stotina zaposlenika i jednu ili samo nekoliko lokacija, najbolje je da ISMS obuhva\u0107a cijelu organizaciju.<\/p>\n

S druge strane, ako opsegom ISMS-a zaista ne mo\u017eete obuhvatiti cijelu organizaciju, poku\u0161ajte ga uspostaviti u organizacijskoj jedinici koja je u dovoljnoj mjeri neovisna; poku\u0161ajte urediti odnose s drugim organizacijskim jedinicama izvan opsega odre\u0111uju\u0107i njihove usluge kroz interne dokumente (politike, procedure i sl.) koji bi imali funkciju \u201eugovora\u201c – obveze organizacijskih jedinica dokumentirane na ovaj na\u010din iskoristive su i u svakodnevnom poslovanju.<\/p>\n

Eto \u2013 rije\u0161ili ste prvi korak u implementaciji norme ISO 27001.<\/p>\n

Saznajte vi\u0161e o definiranju opsega ISMS-a u ovom besplatnom online treningu <\/em>ISO 27001 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Vjerojatno znate da je prvi korak u implementaciji norme\u00a0ISO 27001 odre\u0111ivanje opsega. Ono \u0161to vjerojatno niste znali je da taj korak, iako se na prvi pogled \u010dini jednostavnim, mo\u017ee ponekad biti problemati\u010dan. Naime, mnoge tvrtke su\u017eavanjem opsega poku\u0161avaju smanjiti tro\u0161kove implementacije, ali se \u010desto na\u0111u u situaciji u kojoj im taj isti opseg zadaje glavobolju. …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[],"class_list":["post-4813","post","type-post","status-publish","format-standard","hentry","category-blog-hr"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4813","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4813"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4813\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4813"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4813"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4813"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}