{"id":4795,"date":"2010-09-28T13:12:30","date_gmt":"2010-09-28T13:12:30","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/09\/28\/pregled-koraka-u-implementaciji-norme-iso-27001\/"},"modified":"2022-07-17T15:26:40","modified_gmt":"2022-07-17T15:26:40","slug":"pregled-koraka-u-implementaciji-norme-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/hr\/blog\/2010\/09\/28\/pregled-koraka-u-implementaciji-norme-iso-27001\/","title":{"rendered":"Pregled koraka u implementaciji norme ISO 27001"},"content":{"rendered":"

Ako tek zapo\u010dinjete s provedbom norme ISO 27001<\/a>, vjerojatno to \u017eelite u\u010diniti na \u0161to lak\u0161i na\u010din. Tu vas moram razo\u010darati: ovakva provedba nije lak posao. Me\u0111utim, poku\u0161at \u0107u vam ga olak\u0161ati tako \u0161to \u0107u vam opisati 16 koraka koje morate odraditi ako \u017eelite dobiti certifikat ISO 27001.<\/p>\n

1. Osigurajte podr\u0161ku menad\u017ementa<\/h2>\n

Iako se doima o\u010dito, ovom se koraku obi\u010dno olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata \u2013kada menad\u017ement za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U \u010dlanku \u010cetiri klju\u010dne koristi implementacije norme ISO 27001<\/a> pro\u010ditajte ideje kako projekt prezentirati menad\u017ementu.)<\/p>\n

2. Primijenite projektni pristup<\/h2>\n

Kao \u0161to je ve\u0107 re\u010deno, implementacija norme ISO 27001 je kompleksna i uklju\u010duje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate \u0161to se treba u\u010diniti, tko to treba u\u010diniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.<\/p>\n

3. Odredite opseg<\/h2>\n

Ako se radi o ve\u0107oj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako mo\u017eete znatno smanjiti rizike svojeg projekta. (Problemi s odre\u0111ivanjem opsega prema normi ISO 27001<\/a>)<\/p>\n

4. Napi\u0161ite Politiku ISMS-a<\/h2>\n

Politika ISMS-a krovni je dokument u va\u0161em ISMS-u \u2013 ona ne bi trebala sadr\u017eavati previ\u0161e detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u va\u0161oj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menad\u017ement odredi \u0161to \u017eeli posti\u0107i i kako \u0107e to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?<\/a>)<\/p>\n

5. Definirajte metodologiju procjene rizika<\/h2>\n

Procjena rizika najslo\u017eeniji je zadatak u projektu implementacije ISO 27001. Metodologijom odre\u0111ujete pravila za utvr\u0111ivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama<\/a>)<\/p>\n

6. Provedite procjenu i obradu rizika<\/h2>\n

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti \u2013 u ve\u0107im organizacijama to mo\u017ee potrajati i nekoliko mjeseci, pa biste trebali pa\u017eljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogu\u0107ih izvora opasnosti za informacije va\u0161e organizacije.<\/p>\n

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika \u2013 to se obi\u010dno provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvje\u0161\u0107e o procjeni rizika u kojem \u0107ete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Tako\u0111er morate dobiti i odobrenje za preostale rizike \u2013 ili u obliku zasebnog dokumenta ili kao dio Izvje\u0161\u0107a o primjenjivosti.<\/p>\n

7. Napi\u0161ite Izvje\u0161\u0107e o primjenjivosti<\/h2>\n

Po zavr\u0161etku postupka obrade rizika znat \u0107ete to\u010dno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno ne\u0107e trebati sve). Svrha ovog dokumenta (<\/em>engl. SoA \u2013 Statement of Applicability)<\/em> je da prika\u017ee sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama \u017eeli posti\u0107i i opis kako se provode. Izvje\u0161\u0107e o primjenjivosti je i najprikladniji dokument kojim od menad\u017ementa mo\u017eete tra\u017eiti odobrenje za implementaciju ISMS-a.<\/p>\n

8. Napi\u0161ite Plan obrade rizika<\/h2>\n

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je to\u010dno odrediti na\u010din na koji \u0107e se mjere iz SoA provoditi – tko \u0107e ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe va\u0161ih sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.<\/p>\n

9. Utvrdite na\u010din mjerenja u\u010dinkovitosti sigurnosnih mjera<\/h2>\n

Ovo je jo\u0161 jedan od zadataka koji su obi\u010dno podcijenjeni. A stvar je zapravo u ovome – ako ne mo\u017eete izmjeriti napravljeno kako mo\u017eete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte na\u010din na koji \u0107ete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvje\u0161\u0107u o primjenjivosti.<\/p>\n

10. Provodite sigurnosne mjere i obvezne procedure<\/h2>\n

Ovo izgleda lagano, ali ovdje morate provesti \u010detiri obvezne procedure<\/a> i primjenjive kontrole iz Aneksa A.<\/p>\n

Ovo je obi\u010dno najrizi\u010dniji zadatak u projektu \u2013 \u010desto uklju\u010duje primjenu novih tehnologija, ali prije svega provedbu novog na\u010dina pona\u0161anja u va\u0161oj organizaciji. \u010cesto je potrebno napisati nove politike i procedure (\u0161to zna\u010di da je potrebno ne\u0161to promijeniti), me\u0111utim ljudi se obi\u010dno odupiru promjenama. Zato je sljede\u0107i zadatak (obu\u010davanje i osvje\u0161\u0107ivanje) klju\u010dan u sprje\u010davanju rizika.<\/p>\n

11. Provodite programe obu\u010davanja i osvje\u0161\u0107ivanja<\/h2>\n

Ako \u017eelite da va\u0161e osoblje provodi sve nove politike i procedure, prvo im morate objasniti za\u0161to su potrebne i obu\u010diti ih da mogu proizvesti o\u010dekivani u\u010dinak. Neprovo\u0111enje ovih aktivnosti drugi je naj\u010de\u0161\u0107i razlog za\u0161to projekti implementacije norme ISO 27001 ne uspijevaju.<\/p>\n

12. Upravljajte ISMS-om<\/h2>\n

U ovoj fazi ISO 27001 postaje dio rutine u va\u0161oj organizaciji. Ovdje klju\u010dna rije\u010d glasi: \u201czapisi\u201d. Auditori obo\u017eavaju zapise \u2013 bez zapisa \u0107ete te\u0161ko dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomo\u0107i vama \u2013 pomo\u0107u njih mo\u017eete pratiti \u0161to se doga\u0111a i mo\u017eete sa sigurno\u0161\u0107u znati provode li va\u0161i zaposlenici (i dobavlja\u010di) svoje zadatke u skladu sa zahtjevima.<\/p>\n

13. Pratite ISMS<\/h2>\n

\u0160to se doga\u0111a u va\u0161em ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?<\/p>\n

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja \u2013 morate provjeriti posti\u017eete li ostvarenim rezultatima ono \u0161to ste si postavili kao cilj. Ako ne, znate da ne\u0161to nije u redu i da morate provesti korektivne i\/ili preventivne mjere.<\/p>\n

14. Interni audit<\/h2>\n

Ljudi \u010desto nisu ni svjesni da \u010dine ne\u0161to krivo (s druge strane, ponekad jesu, ali ne \u017eele da to itko sazna), a Va\u0161oj organizaciji mo\u017ee \u0161tetiti \u010dinjenica da niste svjesni postoje\u0107ih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i\/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2<\/a>)<\/p>\n

15. Pregled od strane menad\u017ementa<\/h2>\n

Menad\u017ement ne mora konfigurirati va\u0161 vatrozid, ali mora znati \u0161to se doga\u0111a u ISMS-u, tj. jesu li svi izvr\u0161ili svoje du\u017enosti, posti\u017ee li ISMS \u017eeljene rezultate, i sl. Na temelju toga menad\u017ement mora donositi klju\u010dne odluke.<\/p>\n

16. Korektivne i preventivne mjere<\/h2>\n

Sustav upravljanja treba osigurati da se sve \u0161to nije u redu (tzv. “nesukladnost”) ispravi, ili jo\u0161 i bolje, sprije\u010di. Stoga norma ISO 27001 tra\u017ei da se korektivne i preventivne mjere provode sustavno, \u0161to zna\u010di da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora rije\u0161iti i provjeriti.<\/p>\n

Nadam se da vam je nakon \u010ditanja ovog \u010dlanka jasnije \u0161to trebate u\u010diniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nu\u017eno biti i jako kompliciran. Jednostavno morate svaki korak pa\u017eljivo planirati i ne brinite – dobit \u0107ete certifikat.<\/p>\n

Ovdje mo\u017eete preuzeti dijagram <\/em>Proces implementacije norme ISO 27001<\/a> u kojem su svi ovi koraci grafi\u010dki prikazani zajedno s potrebnom dokumentacijom.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Ako tek zapo\u010dinjete s provedbom norme ISO 27001, vjerojatno to \u017eelite u\u010diniti na \u0161to lak\u0161i na\u010din. Tu vas moram razo\u010darati: ovakva provedba nije lak posao. Me\u0111utim, poku\u0161at \u0107u vam ga olak\u0161ati tako \u0161to \u0107u vam opisati 16 koraka koje morate odraditi ako \u017eelite dobiti certifikat ISO 27001. 1. Osigurajte podr\u0161ku menad\u017ementa Iako se doima o\u010dito, …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[1365,1122,1392,1204,1212,1261,1283,1298,1299,1300,1304,1313,1328,1330,1331,1336,1339],"class_list":["post-4795","post","type-post","status-publish","format-standard","hentry","category-blog-hr","tag-sigurnosne-mjere","tag-aneks-a","tag-zapisi","tag-informacijska-sigurnost","tag-interni-audit","tag-izvjesce-o-primjenjivosti","tag-mjerenje","tag-obrada-rizika","tag-obucavanje-i-osvjescivanje","tag-obvezne-procedure","tag-opseg","tag-plan-obrade-rizika","tag-politika-informacijske-sigurnosti","tag-pregled-od-strane-menadzmenta","tag-prijetnje","tag-procjena-rizika","tag-ranjivosti"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4795"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4795\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}