{"id":4831,"date":"2010-05-04T15:27:46","date_gmt":"2010-05-04T15:27:46","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/05\/04\/obvezne-dokumentirane-procedure-propisane-normom-iso-27001\/"},"modified":"2022-07-17T15:26:41","modified_gmt":"2022-07-17T15:26:41","slug":"obvezne-dokumentirane-procedure-propisane-normom-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/hr\/blog\/2010\/05\/04\/obvezne-dokumentirane-procedure-propisane-normom-iso-27001\/","title":{"rendered":"Obvezne dokumentirane procedure propisane normom ISO 27001"},"content":{"rendered":"<p>Ako ste \u010duli da norma <a href=\"\/27001academy\/hr\/sto-je-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> propisuje mnogo procedura, to nije u potpunosti to\u010dno. Zapravo je prema normi potrebno dokumentirati samo \u010detiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz \u201cdokumentirati\u201d zna\u010di da se \u201cprocedura mora uspostaviti, dokumentirati, implementirati i odr\u017eavati.\u201d (ISO\/IEC 27001 4.3.1 Note 1)<\/p>\n<p>Napomena: u ovom postu ne\u0107u pisati o ostalim obveznim dokumentima kao \u0161to su opseg ISMS-a, politika ISMS-a, metodologija za procjenu rizika, Izvje\u0161\u0107e o procjeni rizika, Izvje\u0161\u0107e o primjenjivosti, plan obrade rizika, itd. \u2013 usredoto\u010dit \u0107u se samo na procedure.<\/p>\n<p>Procedura za upravljanje dokumentacijom trebala bi odrediti osobu odgovornu za odobravanje i pregled dokumentacije, definirati na\u010din na koji se utvr\u0111uje status izmjena i revizije, kako se dokumentacija distribuira i sl. Drugim rije\u010dima, ova procedura trebala bi propisati na\u010din na koji \u0107e funkcionirati krvotok organizacije (protok dokumentacije).<\/p>\n<p>Procedura za interni audit mora propisati odgovornosti za planiranje i provo\u0111enje audita, na\u010dine izvje\u0161tavanja o rezultatima audita i vo\u0111enje zapisa. To zna\u010di da se moraju propisati osnovna pravila za provo\u0111enje audita.<\/p>\n<p>Procedura za korektivne mjere trebala bi propisati na\u010din na koji \u0107e se utvr\u0111ivati nesukladnost i njezini uzroci, kako definirati i implementirati potrebne mjere, koji oblik zapisa primjenjivati te kako obavljati pregled mjera. Svrha ove procedure je da definira na\u010din na koji \u0107e svaka pojedina mjera ukloniti uzrok nesukladnosti, kako se isti ne bi ponovio.<\/p>\n<p>Procedura za preventivne mjere i procedura za korektivne mjere gotovo su iste. Jedina razlika je u tome \u0161to je cilj preventivnih mjera ukloniti uzrok nesukladnosti, kako se nesukladnost uop\u0107e ne bi pojavila. Budu\u0107i da su sli\u010dne, ove se dvije procedure obi\u010dno spajaju u jednu.<\/p>\n<p>Ali kako to da ISO 27001 propisuje dokumentiranje procedura koje nisu povezane s informacijskom sigurno\u0161\u0107u, dok istovremeno sigurnosne procedure nisu obvezne?<\/p>\n<p>Odgovor le\u017ei u procjeni rizika \u2013 ISO 27001 propisuje da morate provesti procjenu rizika, a ako se tom procjenom rizika utvrdi odre\u0111en neprihvatljiv rizik, ISO 27001 propisuje provo\u0111enje mjere iz Aneksa A koja \u0107e umanjiti rizik(e). Ta mjera mo\u017ee biti tehni\u010dka (primjerice anti virusni softver za smanjenje rizika od napada zlonamjernog softvera), ali i organizacijska \u2013 provedba politike ili procedure (primjerice, implementacija procedure za sigurnosne kopije). Procedure dakle postaju obvezne samo ako se procjenom rizika utvrde neprihvatljivi rizici.<\/p>\n<p>Va\u017eno je napomenuti: za razliku od \u010detiri obvezne procedure koje moraju biti dokumentirane, procedure koje proizlaze iz mjera u Aneksu A ne moraju biti dokumentirane. Organizacija mo\u017ee samostalno procijeniti je li te procedure potrebno dokumentirati ili ne.<\/p>\n<p>\u010cetiri obvezne procedure (zajedno sa sigurnosnom politikom) mo\u017eete smatrati stupovima va\u0161eg sustava upravljanja \u2013 nakon \u0161to ih dobro u\u010dvrstite u temelje, mo\u017eete po\u010deti zidati ku\u0107u. To je o\u010digledno ako pogledate druge sustava upravljanja \u2013 i tamo su obvezne iste \u010detiri procedure \u2013 u <a href=\"https:\/\/advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 9001<\/a> (sustavi upravljanja kvalitetom), <a href=\"https:\/\/advisera.com\/14001academy\/what-is-iso-14001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 14001<\/a> (sustavi upravljanja okoli\u0161em) i <a href=\"https:\/\/advisera.com\/27001academy\/hr\/sto-je-bs-25999\/\" target=\"_blank\" rel=\"noopener noreferrer\">BS 25999-2<\/a> (upravljanje kontinuitetom poslovanja). Iz toga slijedi da ove procedure mo\u017eete koristiti kao glavnu poveznicu izme\u0111u razli\u010ditih sustava upravljanja ako \u017eelite razviti tzv. \u201cintegrirani sustav upravljanja\u201d.<\/p>\n<p><em>Pogledajte i na\u0161 video tutorijal <\/em><a href=\"\/27001academy\/tutorial\/free-tutorial-how-to-write-iso-27001iso-22301-document-control-procedure\/\" target=\"_blank\" rel=\"noopener noreferrer\">How to Write ISO 27001\/ISO 22301 Document Control Procedure<\/a><em>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ako ste \u010duli da norma ISO 27001 propisuje mnogo procedura, to nije u potpunosti to\u010dno. Zapravo je prema normi potrebno dokumentirati samo \u010detiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz \u201cdokumentirati\u201d zna\u010di da se \u201cprocedura mora uspostaviti, dokumentirati, implementirati i odr\u017eavati.\u201d (ISO\/IEC &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[1210,1212,1264,1384],"class_list":["post-4831","post","type-post","status-publish","format-standard","hentry","category-blog-hr","tag-intergrirani-sustav-upravljanja","tag-interni-audit","tag-korektivne-i-preventivne-mjere","tag-upravljanje-dokumentima"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4831"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4831\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}