Implementacija ISMS kao i bilo kojeg sistema upravljanja prema zahtjevima ISO standarda uvijek predstavlja ozbiljan projekt u kompaniji. Ozbiljnost implementacija značajno raste sa potrebama i željama uprave da od implementiranog sistema upravljanja imaju i objektivne koristi, a ne samo eventualno pravo učešća na nekom tenderu – natječaju. Za svaki sistem upravljanja može se navoditi niz razloga zašto ga implementirati. Bez obzira na područje djelovanja bilo kojeg sistema upravljanja, uvijek je jedan od razloga implementacije prisutan: učešće implementiranog sistema upravljanja u stvaranju viška vrijednosti za kompaniju. Ponekad je teško dokazati kako i koliko neki sistem upravljanja učestvuje u stvaranju viška vrijednosti, ali je isto tako teško, odnosno nemoguće dokazati da ne učestvuje.

Komplikacije unutar kompanije pri implementaciji sistema upravljanja nastaju i zbog toga što u pravilu treba implementirati više od jednog sistema upravljanja prema formalnim specifikacijama zahtjeva ISO standarda. S jedne strane, ni jedan takav sistem upravljanja  ne može raditi unutar kompanije potpuno samostalno, bez interaktivnog utjecaja prema drugim sistemima upravljanja, kao što drugi sistemi upravljanja utječu na njega. To dovodi do činjenice da treba u fazi donošenja odluke o implementaciji nekog sistema upravljanja voditi računa i o integraciji novog sistema s ostalim, već postojećim.

Struktura standarda ISO/IEC 27001:2013

Međunarodni standard ISO/IEC 27001:2013 predstavlja specifikaciju zahtjeva koje se mora ispuniti ako se želi steći pravo na certifikat uspostavljenog sistema za upravljanje informacijskom sigurnošću. Svi zahtjevi koje se mora ispuniti strukturirani su i prikazani u sadržaju kako slijedi:

Predgovor
0 Uvod
1 Opseg
2 Normativne reference
3 Pojmovi i definicije
4 Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta
4.2 Razumijevanje potreba i očekivanja zainteresiranih strana
4.3 Određivanje opsega sustava za upravljanje informacijskom sigurnošću
4.4 Sustav za upravljanje informacijskom sigurnošću
5 Rukovođenje
5.1 Rukovođenje i predanost
5.2 Politika
5.3 Organizacijske uloge, odgovornosti i ovlasti
6 Planiranje
6.1 Akcije za rješavanje rizika i prilika
6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje
7 Podrška
7.1 Resursi
7.2 Kompetencije
7.3 Svjesnost
7.4 Komunikacija
7.5 Dokumentirane informacije
8 Operacije
8.1 Operativno planiranje i kontrola
8.2 Procjena rizika informacijske sigurnosti
8.3 Obrada rizika informacijske sigurnosti
9 Ocjenjivanje uspješnosti
9.1 Nadzor, mjerenje, analiza i ocjena
9.2 Unutarnji audit
9.3 Upravina ocjena
10 Poboljšanje
10.1 Nesukladnost i korektivne akcije
10.2 Kontinuirano poboljšanje
Aneks A (normativni) Referenca ciljeva kontrola i kontrola
Bibliografija

PDCA i ISO/IEC 27001:2013

Kao i za ostale sisteme upravljanja na temelju ISO standarda, ISO/IEC 27001 potiče da se upravljanje provodi primjenom PDCA kruga. Ključni nedostatak nove revizije ISO/IEC 27001:2013 u odnosu na ISO/IEC 27001:2005 je u tome što je prethodna revizija imala eksplicitno definirane aktivnosti koje se provode unutar PDCA kruga procesa upravljanja informacijskom sigurnošću. U novoj reviziji to nije tako navedeno, što može posebno kod nedovoljno iskusnih implementatora ISMS-a izazvati nedoumice, kako stvarno provesti implementaciju. Ostale novosti koje donosi revizija 2013 su mogućnosti isključenja nekih stvari iz skupa zahtjeva. To je značajni napredak. U svakom slučaju, potiče se primjena slijedeće sheme implementacije kroz PDCA krug prikazan na slici 1. Koraci u pojedinim fazama implementacije PDCA kruga za ISMS sadržavaju slijedeće:

ISMS PDCA Model prema ISO/IEC 27001:2013PLAN: Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.

DO: Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure.

CHECK: Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere.

ACT: Poduzeti eventualne korektivne akcije zasnivane na rezultatima internog ISMS audita i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a.

Implementacija ISMS i značajke

Kada se govori o implementaciji ISMS-a, za razliku od ostali sistema upravljanja postoji veliki broj dodatnih smjernica kojima se pomaže i upućuje kako određene dijelove sistema implementirati ili određene zahtjeve iz ISO/IEC 27001. Posebno su interesantni slijedeći standardi – smjernice:

  1. ISO/IEC 27002:2013 Code of practice for information security management – harmonizirana sa ISO/IEC 27001:2013.
  2. ISO/IEC 27003:2010 Information security management system implementation guidance – dijelom se može koristiti, jer je u potpunosti usklađena sa starom revizijom, ali ima niz detaljnih i korisnih uputa za implementaciju, naročito za zahtjeve koji su ostali iz stare u novoj reviziji.
  3. ISO/IEC 27004:2009 Information security management – Measurement – u potpunosti se može primijeniti i preporuka je da se koristi jer se odnosi na pitanja mjerenja učinkovitosti procesa ISMS-a i primijenjenih kontrola.
  4. ISO/IEC 27005:2008 Information security risk management – smjernica koja je opisivala upravljanje rizicima za potrebe ISMS-a. Nova revizija ISO/IEC 27001:2013 se ne referencira više na ISO/IEC 27005, već na ISO 31000 po pitanjima upravljanja rizicima. Međutim, u njoj ima niz priloga u kojima se daju praktični savjeti vezani za klasifikaciju informacijske imovine, kao i nekih drugih tema.

Ostale smjernice iz serije ISO 27k ne treba tu nabrajati jer sve i dalje jednako vrijede i uputno ih je koristiti u ovisnosti od područja djelatnosti implementacije ISMS-a ili određenih zahtjeva iz ISO/IEC 27001.

Obvezni dokumenti – minimum

Značajna terminološka promjena je i u tome da se više ne spominje dokumentacija, već dokumentirana informacija. U kontekstu informacijskog sistema to odgovara, a i za druge sisteme upravljanja ne bi trebao biti nikakav problem, osim navike korisnika.

Analizom zahtjeva u standardu i traženjem koje su to dokumentirane informacije obvezne, može se utvrditi da su to slijedeće:

  1. Opseg ISMS-a (4.3)
  2. Politika informacijske sigurnosti (5.2)
  3. Procedura za procjenu informacijskih rizika (6.1.2)
  4. Procedura za obradu rizika (6.1.3)
  5. Izjava o primjenljivosti (6.1.3 d)
  6. Ciljevi informacijske sigurnosti (6.2)
  7. Evidencija kompetencija (7.2 d)
  8. Dokumentirane informacije definirane od kompanije za ostvarenje učinkovitosti ISMS-a (7.5.1 b)
  9. Operativno planiranje i kontrole (8.1)
  10. Rezultati procjene informacijskih rizika (8.2)
  11. Rezultati obrade informacijskih rizika (8.3)
  12. Zapisi nadzora i rezultata mjerenja (9.1)
  13. Zapisi o audit programima i rezultatima audita (9.2 g)
  14. Zapisi o upravinoj ocjeni (9.3)
  15. Zapisi o prirodi nesukladnosti i svim poduzetim akcijama (10.1 f)
  16. Zapisi o korektivnim akcijama (10.1 g).

U principu se dokumentirane informacije mogu nalaziti u štampanoj formi, mada se ipak očekuje da budu u elektronskom obliku.

Nezaobilazni elementi dokumentiranih informacija

Koliko god da se dozvoljava određena sloboda u smislu dokumentiranja ISMS-a, dvije stvari nisu u domeni slobodnog izbora. To su obavezna procjena rizika za sve polovne procese i utjecaj na njihovo ostvarenje ciljeva, te dokumentiranje mjerenja učinkovitosti procesa. To znači, ne mora se dokumentirati procedura npr. za interni audit. Međutim, za taj proces mora se raditi i dokumentirati procjena rizika i mjerenje učinkovitosti.

Implementacija ISMS je u biti znatno olakšana ako postoje predlošci dokumentavije, odnosno dokumentiranih informacija. Radeći na niz instalacija razvijen je niz predložaka za reviziju iz 2005 godine. Objavljivanjem nove revizije 2013 godine i uspoređivanjem zahtjeva iz nje i stare dokumentacije, najjednostavnije je bilo razviti potpuno novi set dokumenta koji mogu služiti kao predlošci. Posebno zato što dokumenti koji se odnose na zahtjeve poglavlja 4-7, te 9-10 standarda ISO/IEC 27001:2013. Naime, dokumente za te zahtjeve treba napraviti tako da odgovaraju za sve sisteme upravljanja koji budu ili jesu svoje specifikacije zahtjeva definirali prema Annex-u SL. Razlog za to je u činjenici da svi standardi temeljeni na Annex-u SL imati ta poglavlja potpuno jednaka (isti tekst, isti zahtjevi).

Temeljem te činjenice može se reći da svaki tako implementirani sistem upravljanja u sebi sadrži imanentno integraciju sa ostalim sistemima upravljanja. Naime, svi zajednički dokumentirani zahtjevi (poglavlja 4-7, 9-10) kada se napravi u okviru jednog sistema upravljanja automatski vrijede i za sve ostale. Time se ostvaruje ne samo integracija, već i dramatično smanjenje aktivnosti implementacije drugog, trećeg i daljnjih sistema upravljanja.

Poslovnik informacijske sigurnosti

Prema reviziji iz 2005 godine za ISMS Poslovnik (ili priručnik) nije bio definiran kao zahtjev i auditori ga nisu niti zahtijevaju. Osobno smatram da je dobro imati Poslovnik koji je bio obvezan npr. za sisteme upravljanja kvalitetom prema ISO 9001. Kada se u ostale standarde koji su specifikacija zahtjeva primjeni princip Annex-a SL, i kod njih neće Poslovnik više biti obvezan. Radeći kao konzultant i dalje bi zagovarao Poslovnik, i ne vidim problem što više nije zahtjev.

Ono što je značajno za ISO/IEC 27001:2013 više se ne poziva na ISO 9001 kao temeljni standard. Za sve ISO standarde koji su specifikacija zahtjeva temeljni standard je postao ISO 31000, jer prema Annex-u SL za stvaranje proaktivnog okruženja je nužan zahtjev za prihvatljivo funkcionira sistema upravljanja u uvjetima neizvjesnosti i entropije. Takvo proaktivno okruženje se može postići jedino procjenom, odnosno upravljanjem rizicima.

Organizacija ISMS-a i povezanost s upravom

Implementacija ISMS ima niz poteškoća. Jedna od njih je ostala još iz prethodne. Naime, nova revizija ne govori o tome da li mora netko biti član uprave, odnosno predstavnik za ISMS-a u upravi. Prema poglavlju 5 standarda ostaje na tome da kompanija sama tokom implementacije definira organizaciju i vezu između uprave i ISMS-a. Objektivno to je jedna od ozbiljnih teškoća implementacije ISMS-a jer netko mora preuzeti funkciju veze ISMS-a i uprave. Ta osoba bi trebala biti visoko pozicionirana što obično nije lako postići, kako u malim, tako i u velikim kompanija, mada razlozi nisu isti, ponekad ni slični.

Kada se u nekoj kompaniji uvede više sistema upravljanja, sigurno da bi svi sistemi trebali na neki način biti zastupljeni u upravi. Formalno to se neće događati, jer postojeće uprave se neće zbog toga proširivati, a postojeći članovi vjerojatno neće ili vrlo teško prihvaćati nove obveze i odgovornosti.

Implementacija ISMS-a ima za razliku od drugih sistema upravljanja i obaveznu provedbu kontrola definiranih u Annex-u A standarda ISO/IEC 27001. To je bilo isto u prethodnoj verziji, međutim aktualna revizija je drugačije grupirala kontrola. U tekućoj reviziji ima 14 sigurnosnih područja sa 35 sigurnosnih ciljeva i 114 kontrola. Tu je došlo do praktičnog i opravdanog čišćenja kontrola na temelju višegodišnje iskustva.

Projekt implementacije ISMS-a prema ISO/IEC 27001:2013

Praktična implementacija ISMS-a u kompaniju prema zahtjevima u ISO/IEC 27001:2013 provodi se kroz niz koraka. Ti se koraci mogu prikazati kroz slijedeću tablicu:

Ovi koraci implementacije su logični i funkcionalno se nastavljaju jedan na drugoga što značajno olakšava implementaciju.

Zaključak

Implementacija ISMS prema standardu ISO/IEC 27001:2013 u biti je jednostavnija od implementacije prema prethodnoj reviziji. To naravno zavisi od veličine kompanije, odnosno opsega ISMS-a, ali je u svakom slučaju racionalnija.

Opseg dokumentacije se objektivno smanjuje, ali prvenstveno boljom raspodjelom kontrola, odnosno sigurnosnih područja, ciljeva i samih kontrola. Time se može više kontrola dokumentirati u jednom dokumentiranoj informaciji, a da i dalje bude praktično upotrebljivo. Uz to, nova revizija ima manje obveznih dokumentiranih informacija u usporedbi s prethodnom revizijom. Kod većih kompanija broj dokumentiranih informacije normalno će biti veći nego kod malih. Prirodom njihovog djelovanja i poslovnih politika one će i dalje trebati više dokumentirati svoje procedura, što kod malih kompanija u pravilu nije potrebno.

Ono što i dalje ostaje kao nužnost implementacije ISMS-a je visoka stručnost i iskustvo onih koji pripremaju i provode implementaciju.

Literatura

  1. ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary
  2. ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems – Requirements
  3. ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls
  4. ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance
  5. ISO/IEC 27004:2009 Information technology — Security techniques — Information security management – Measurement
  6. ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management
  7. ISO 31000:2009 Risk management — Principles and guidelines

 

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest