Je li vam se ikada dogodilo da ste dobili zadatak napisati sigurnosnu politiku ili proceduru? No ne \u017eelite da va\u0161 dokument dijeli sudbinu mnogih drugih – da skuplja pra\u0161inu u nekoj zaboravljenoj ladici? Evo nekoliko razmi\u0161ljanja koja bi vam mogla pomo\u0107i…<\/p>\n
Koraci koje \u0107u vam predstaviti temelje se na mom iskustvu s raznim klijentima, velikim i malim, dr\u017eavnim ili privatnim, profitnim ili neprofitnim – mislim da se ti koraci mogu primijeniti u svim navedenim slu\u010dajevima. Ti su koraci zapravo primjenjivi na bilo koju vrstu politika i procedura, ne samo na one povezane s ISO 27001<\/a> ili BS 25999-2<\/a>.<\/p>\n Prvo morate vrlo pa\u017eljivo prou\u010diti razne zahtjeve – postoje li zakonski propisi koji zahtijevaju da ne\u0161to imate napismeno? Imate li sklopljen ugovor s klijentom? Ili mo\u017eda neku drugu politiku vi\u0161e razine koja je ve\u0107 postoji u va\u0161oj organizaciji (mo\u017eda korporativni standard)? Prou\u010diti morate i zahtjeve iz ISO 27001 ili BS 25999-2 ako se \u017eelite uskladiti s tim normama.<\/p>\n Procjenom rizika utvrdit \u0107ete na koje se probleme morate osvrnuti u svojem dokumentu, ali i do koje mjere – primjerice, mo\u017eda \u0107ete morati odlu\u010diti ho\u0107ete li informacije klasificirati prema stupnju povjerljivosti i, ako je tako, jesu li vam potrebne dva, tri ili \u010detiri stupnja povjerljivosti.<\/p>\n Ako va\u0161a politika ili procedura nije povezana s informacijskom sigurno\u0161\u0107u ili kontinuitetom poslovanja, ovaj korak mo\u017eda nije relevantan u tom obliku. Me\u0111utim, principi upravljanja rizikom primjenjivi su i na sva druga podru\u010dja – upravljanje kvalitetom (ISO 9001<\/a>), upravljanje okoli\u0161em (ISO 14001<\/a>), itd. Na primjer, u ISO 9001 morate odrediti do koje je mjere neki proces klju\u010dan za upravljanje kvalitetom i prema tome odlu\u010diti ho\u0107ete li ga dokumentirati ili ne.<\/p>\n Va\u017eno je razmisliti o ukupnom broju dokumenata – ho\u0107ete li napisati deset dokumenta od jedne stranice ili jedan dokument od deset stranica? Puno je lak\u0161e upravljati jednim dokumentom, pogotovo ako je ciljna skupina \u010ditatelja ista. (Samo nemojte napraviti jedan dokument od 100 stranica.)<\/p>\n \u0160tovi\u0161e, morate svakako svoje dokumente uskladiti s drugim dokumentima – pitanja koje definirate mo\u017eda su djelomi\u010dno definirani u nekom drugom dokumentu. U tom slu\u010daju mo\u017eda ne\u0107e biti potrebno pisati novi dokument, nego samo pro\u0161iriti postoje\u0107i.<\/p>\n Ako pi\u0161ete novi dokument o pitanju koje je ve\u0107 spomenuto u drugom dokumentu, svakako izbjegavajte suvi\u0161no ponavljanje – nemojte istu stvar opisivati u oba dokumenta. Kasnije \u0107e upravljanje tim dokumentima biti no\u0107na mora. Kako biste izbjegli ponavljanja, puno je bolje da se jedan dokument referira na drugi.<\/p>\n Morate tako\u0111er paziti da dokument bude formatiran u skladu s korporativnim pravilima – mo\u017eda ve\u0107 imate obrazac s unaprijed definiranim fontovima, zaglavljima, podno\u017ejima i sl.<\/p>\n Ako ste ve\u0107 implementirali ISO 27001 ili BS 25999-2 (ili neku drugu upravlja\u010dku normu), morat \u0107ete raditi u skladu s procedurom za upravljanje dokumentacijom<\/a> – takva procedura osim formatiranja dokumenta definira i pravila za njegovo odobravanje, distribuciju, itd.<\/p>\n Uobi\u010dajeno pravilo glasi – \u0161to je organizacija manja i \u0161to su manji rizici to je dokumentacija manje slo\u017eena. Uop\u0107e nema smisla pisati op\u0161iran dokument koji nitko ne\u0107e \u010ditati – morate razumjeti da \u010ditanje dokumenta oduzima vremena i da je razina koncentracije pri \u010ditanju obrnuto proporcionalna broju redaka u va\u0161em dokumentu.<\/p>\n Dobar na\u010din na koji mo\u017eete savladati otpor zaposlenika prema ovom dokumentu (nitko ne voli promjene, pogotovo ako to podrazumijeva obvezu poput redovitog mijenjanja lozinke) je da ih uklju\u010dite u pisanje ili komentiranje dokumenta – na taj \u0107e na\u010din shvatiti za\u0161to je potreban.<\/p>\n Ovaj korak se podrazumijeva sam po sebi, ali evo za\u0161to je zapravo va\u017ean – ako ne pripadate najvi\u0161em menad\u017ementu u svojoj organizaciji, onda obi\u010dno nemate ovla\u0161tenje za provo\u0111enje dokumenta.<\/p>\n Zato ga netko na toj poziciji mora razumjeti, odobriti i aktivno podupirati njegovu implementaciju. Zvu\u010di jednostavno, ali vjerujte – nije. Implementacija naj\u010de\u0161\u0107e zapne na ovom kao i na sljede\u0107em koraku.<\/p>\n Ovaj korak je mo\u017eda i najva\u017eniji, ali se na\u017ealost vrlo \u010desto zanemaruje. Kao \u0161to sam prije spomenuo, zaposlenici su zasi\u0107eni neprestanim promjenama i sigurno ne\u0107e poduprijeti jo\u0161 jednu promjenu, pogotovo ako ona donosi jo\u0161 vi\u0161e posla.<\/p>\n Stoga je vrlo va\u017eno da zaposlenicima objasnite za\u0161to je potrebna takva politika ili procedura – za\u0161to je to dobro, ne samo za tvrtku, nego i za njih same.<\/p>\n U nekim \u0107e slu\u010dajevima biti potrebno obu\u010davanje – bilo bi pogre\u0161no misliti da svatko posjeduje vje\u0161tine za provo\u0111enje novih aktivnosti. Vama kao autoru dokumenta mo\u017eda \u0107e to izgledati jednostavno i samo po sebi razumljivo, ali ostalima se mo\u017ee \u010diniti vrlo komplicirano.<\/p>\n Ako ste mislili da je to kraj pri\u010de o implementaciji va\u0161eg dokumenta, pogrije\u0161ili ste – avantura tek po\u010dinje. Nije dovoljno imati savr\u0161enu politiku ili proceduru koju svi obo\u017eavaju. Potrebno ju je i odr\u017eavati.<\/p>\n Netko mora voditi ra\u010duna o a\u017euriranju i pobolj\u0161avanju dokumenta, ina\u010de vi\u0161e nitko ne\u0107e na njega obra\u0107ati pa\u017enju – a taj netko je obi\u010dno ista osoba koja ga je i napisala. Osim toga netko mora mjeriti je li dokument ispunio svrhu – opet to mo\u017eete biti vi.<\/p>\n \u010citaju\u0107i ovaj \u010dlanak mo\u017eda ste primijetili da nije dovoljno imati dobar predlo\u017eak<\/a> za uspje\u0161nu politiku ili proceduru – ono \u0161to je potrebno je sustavan pristup njihovoj implementaciji. U njegovoj primjeni nemojte zaboraviti najva\u017eniju \u010dinjenicu: dokument nije sam sebi svrha – on je samo alat potreban da bi se aktivnosti i procesi glatko odvijali. Stoga ne dozvolite da se dogodi suprotno – da takav dokument ote\u017eava odvijanje tih aktivnosti i procesa.<\/p>\n1. Prou\u010dite zahtjeve<\/h2>\n
2. Uzmite u obzir rezultate procjene rizika<\/h2>\n
3. Optimizirajte i uskladite svoj(e) dokument(e)<\/h2>\n
4. Strukturirajte dokument<\/h2>\n
5. Napi\u0161ite dokument<\/h2>\n
6. Tra\u017eite odobrenje za va\u0161 dokument<\/h2>\n
7. Obu\u010davanje i osvje\u0161\u0107ivanje zaposlenika<\/h2>\n
Kraj pri\u010de?<\/h2>\n