{"id":4740,"date":"2011-03-21T22:46:58","date_gmt":"2011-03-21T22:46:58","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/21\/najveci-nedostaci-norme-iso-27001\/"},"modified":"2022-07-17T15:26:38","modified_gmt":"2022-07-17T15:26:38","slug":"najveci-nedostaci-norme-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/hr\/blog\/2011\/03\/21\/najveci-nedostaci-norme-iso-27001\/","title":{"rendered":"Najve\u0107i nedostaci norme ISO 27001"},"content":{"rendered":"<p>Ako pratite moj blog, vjerojatno mislite da sam uvjeren da je norma <a href=\"\/27001academy\/hr\/sto-je-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> najsavr\u0161eniji dokument koji je ikad napisan. To zapravo nije istina. U radu s klijentima i kad predajem na tu temu, obi\u010dno nailazim na iste nedostatke ove norme. Ovdje \u0107u ih navesti nekoliko zajedno s prijedlozima kako ih rije\u0161iti:<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Nejasni izrazi<\/h2>\n<p>Neki zahtjevi norme prili\u010dno su nejasni:<\/p>\n<ul>\n<li>To\u010dka 4.3.1 c) zahtjeva da <a href=\"\/27001academy\/hr\/iso-27001-paket-dokumentacije\/\" target=\"_blank\" rel=\"noopener\">ISMS dokumentacija<\/a> uklju\u010duje &#8230;&#8221;<strong>procedure i kontrole koje podr\u017eavaju ISMS<\/strong>&#8221; &#8211; zna\u010di li to da se za svaku kontrolu koja se primjenjuje (Aneks A sadr\u017ei 133 kontrole) mora napisati poseban dokument ? Mislim da to nije potrebno. Obi\u010dno klijentima savjetujem da pi\u0161u samo one politike i procedure koje su potrebne iz operativnih razloga i za smanjenje rizika. Sve ostale mjere mogu se ukratko opisati u Izvje\u0161\u0107u o primjenjivosti budu\u0107i da ono mora sadr\u017eavati opis svih kontrola koje se implementiraju.<\/li>\n<li><strong>(Ne)dokumentirane politike i procedure<\/strong> &#8211; mnoge kontrole iz Aneksa A, politike i procedure spominju se bez rije\u010di &#8220;dokumentirati&#8221;. To zapravo zna\u010di da se takve politike i procedure ne moraju zapisati, ali to 95% \u010ditatelja ne razumije.<\/li>\n<li><strong>Vanjske strane \/ tre\u0107e strane<\/strong> &#8211; ti su pojmovi me\u0111usobno zamjenjivi \u0161to mo\u017ee biti zbunjuju\u0107e. Bilo bi puno bolje upotrebljavati samo jedan pojam.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px; padding-bottom: 10px;\">Organizacija norme<\/h2>\n<p>Neki zahtjevi norme se ili nalaze na nekoliko mjesta ili se nepotrebno ponavljaju:<\/p>\n<ul>\n<li>Neke se mjere jednostavno nalaze na <strong>krivom mjestu<\/strong> &#8211; na primjer, A.11.7 Mobilno ra\u010dunarstvo i rad na daljinu nalazi se u poglavlju A.11 Kontrola pristupa. Iako pri bavljenju mobilnim ra\u010dunarstvom treba voditi ra\u010duna i o kontroli pristupa, poglavlje A.11 nije najlogi\u010dnije mjesto na kojem bi trebalo definirati probleme povezane s mobilnim ra\u010dunarstvom i radom na daljinu.<\/li>\n<li><strong>Pitanja vezana za vanjske strane<\/strong> razbacana su na vi\u0161e mjesta u normi &#8211; u A.6.2 Vanjske strane, A.8 Sigurnost vezana uz ljudske resurse i A.10.2 Upravljanje uslugama tre\u0107ih strana. Pojavom <em>cloud computinga<\/em> (prevodi se i kao ra\u010dunarstvo u oblaku) i drugih oblika outsourcinga, preporu\u010dljivo je prikupiti sva ta pravila u jednom dokumentu ili jednom skupu dokumenata koji bi se bavio tre\u0107im stranama.<\/li>\n<li><strong>Osvje\u0161\u0107ivanje i obu\u010davanje zaposlenika<\/strong> tra\u017ei se i u to\u010dki 5.2.2 glavnog dijela norme, i u mjeri A.8.2.2. Osim \u0161to je ovakvo ponavljanje nepotrebno, ono unosi dodatnu zbrku &#8211; u teoriji bi se svaka mjera iz aneksa A mogla izostaviti, tako da se na kraju mo\u017ee dogoditi da izostavite zahtjev koji se zapravo ne smije izostaviti jer je propisan u glavnom dijelu norme. Isto se doga\u0111a i s internim auditom (to\u010dka 6 glavnog dijela norme) i kontrolom A.6.1.8 Neovisan pregled informacijske sigurnosti.<\/li>\n<li>Neke kontrole iz Aneksa A imaju <strong>\u0161irok spektar primjene i mogu uklju\u010divati druge kontrole<\/strong> &#8211; primjerice, kontrola A.7.1.3 Prihvatljiva uporaba resursa toliko je op\u0107enita da mo\u017ee obuhvatiti npr. A.7.2.2. (Rukovanje klasificiranim podacima), A.8.3.2 (Povrat informacijskih resursa prilikom prestanka rada), A.9.2.1 (Za\u0161tita opreme), A.10.7.1 (Upravljanje zamjenjivim medijima), A.10.7.2 (Rashodovanje medija), A.10.7.3 (Procedure postupanja sa informacijama) itd. Klijentima obi\u010dno savjetujem da napi\u0161u jedan dokument koji obuhva\u0107a sve te mjere.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px; padding-bottom: 10px;\">Problemi koji to nisu<\/h2>\n<p>Evo nekoliko stvari koja se obi\u010dno smatraju problemati\u010dnima, iako se s tim ne bih slo\u017eio:<\/p>\n<ul>\n<li><strong>Norma je previ\u0161e neodre\u0111ena, nije dovoljno detaljna<\/strong> &#8211; ako bi sadr\u017eavala vi\u0161e detalja o potrebnoj tehnologiji, onda bi ubrzo zastarjela. Ako bi sadr\u017eavala vi\u0161e detalja o metodama i\/ili organizacijskim rje\u0161enjima, ne bi bila primjenjiva na sve veli\u010dine i vrste organizacija. Na primjer, veliku je banku potrebno druga\u010dije organizirati nego malu marketin\u0161ku agenciju &#8211; li i jedna i druga bi trebale biti u stanju implementirati ISO 27001.<\/li>\n<li><strong>Norma ostavlja previ\u0161e slobodnog prostora<\/strong> &#8211; kriti\u010dari tu misle na koncept procjene rizika gdje se odre\u0111ene sigurnosne kontrole mogu izostaviti ako nema povezanih rizika. Zato pitaju: &#8220;Kako je mogu\u0107e isklju\u010diti izradu sigurnosnih kopija ili antivirusnu za\u0161titu?&#8221; Zapravo, napretkom tehnologije i pojavama poput <em>cloud computinga<\/em> za ovu vrstu za\u0161tite mo\u017eda ne\u0107e biti odgovorna organizacija koja provodi ISO 27001. (Me\u0111utim, u tom bi slu\u010daju rizik outsourcinga bio prili\u010dno visok tako da bi bile potrebne druge vrste sigurnosnih kontrola.)<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px; padding-bottom: 10px;\">I \u0161to sada?<\/h2>\n<p>Norma \u0107e se sigurno morati mijenjati. Trenutna verzija norme ISO\/IEC 27001:2005 stara je ve\u0107 \u0161est godina i mo\u017eemo se nadati da \u0107e se sljede\u0107a revizija (koja se o\u010dekuje 2012. ili 2013.) pozabaviti ve\u0107inom navedenih pitanja.<\/p>\n<p>Iako ovi nedostaci \u010desto izazivaju zbrku, smatram da norma ima mnogo vi\u0161e pozitivnih nego negativnih strana. I to\u010dno, stvarno sam uvjeren da ova norma pru\u017ea najbolji okvir za upravljanje informacijskom sigurno\u0161\u0107u.<\/p>\n<p><em>Mo\u017eete pogledati i ovu e-knjigu <\/em><a href=\"\/books\/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own\/\" target=\"_blank\" rel=\"noopener\">Secure &amp; Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own<\/a> <em>koja obja\u0161njava svaki korak u implementaciji ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ako pratite moj blog, vjerojatno mislite da sam uvjeren da je norma ISO 27001 najsavr\u0161eniji dokument koji je ikad napisan. To zapravo nije istina. U radu s klijentima i kad predajem na tu temu, obi\u010dno nailazim na iste nedostatke ove norme. Ovdje \u0107u ih navesti nekoliko zajedno s prijedlozima kako ih rije\u0161iti: Nejasni izrazi Neki &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[],"class_list":["post-4740","post","type-post","status-publish","format-standard","hentry","category-blog-hr"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4740"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4740\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}