{"id":4825,"date":"2010-05-26T08:38:53","date_gmt":"2010-05-26T08:38:53","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/05\/26\/koliko-detaljna-treba-biti-politika-informacijske-sigurnosti\/"},"modified":"2022-07-17T15:26:41","modified_gmt":"2022-07-17T15:26:41","slug":"koliko-detaljna-treba-biti-politika-informacijske-sigurnosti","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/hr\/blog\/2010\/05\/26\/koliko-detaljna-treba-biti-politika-informacijske-sigurnosti\/","title":{"rendered":"Koliko detaljna treba biti politika informacijske sigurnosti?"},"content":{"rendered":"<p>\u010cesto imam priliku vidjeti politike informacijske sigurnosti koje, poku\u0161avaju\u0107i obuhvatiti sve, od strate\u0161kih ciljeva do toga koliko numeri\u010dkih znakova treba sadr\u017eavati lozinka, sadr\u017ee suvi\u0161e detalja. Problem kod takvih politika je taj \u0161to imaju preko 50 stranica &#8211; i nitko ih u stvari ne shva\u0107a ozbiljno. Na kraju su to samo umjetni dokumenti \u010dija je isklju\u010diva svrha zadovoljiti auditora.<\/p>\n<p>Za\u0161to je takve politike izuzetno te\u0161ko implementirati? Jer su preambiciozne \u2013 poku\u0161avaju obuhvatiti previ\u0161e podru\u010dja i namijenjene su pre\u0161irokom krugu ljudi.<\/p>\n<p>Zbog toga <a href=\"https:\/\/staging.advisera.com\/27001academy\/hr\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, vode\u0107a norma za informacijsku sigurnost, definira razli\u010dite razine politika informacijske sigurnosti:<\/p>\n<ul>\n<li>politike visoke razine, poput Politike sustava upravljanja informacijskom sigurno\u0161\u0107u \u2013 takve politike visoke razine obi\u010dno definiraju strate\u0161ke namjere, ciljeve i sl.<\/li>\n<li>detaljne politike (u hrvatskom jeziku \u010desto nazivane kao \u201epravilnici\u201c) \u2013 politike ove vrste obi\u010dno detaljnije opisuju odre\u0111eno podru\u010dje informacijske sigurnosti, preciziraju\u0107i odgovornosti i sl.<\/li>\n<\/ul>\n<p>Norma ISO 27001 propisuje da Politika sustava upravljanja informacijskom sigurno\u0161\u0107u kao dokument najvi\u0161e razine mora sadr\u017eavati okvir za postavljanje ciljeva, uzimaju\u0107i u obzir razne zahtjeve i obveze, da mora pratiti kontekst u kojem organizacija provodi strate\u0161ko upravljanje rizicima i da mora postaviti kriterije za ocjenu rizika. Takva politika bi zapravo trebala biti vrlo kratka (imati mo\u017eda stranicu-dvije) jer joj je glavna svrha da pomo\u0107u nje najvi\u0161i menad\u017ement mo\u017ee upravljati ISMS-om.<\/p>\n<p>S druge strane, detaljne politike (pravilnici) trebale bi imati operativnu namjenu i biti usredoto\u010dene na u\u017ee podru\u010dje sigurnosnih aktivnosti. Primjeri takvih politika su: politika o klasifikaciji informacija, politika o prihvatljivoj uporabi informacijskih resursa, politika za izradu sigurnosnih kopija, politika kontrole pristupa, politika uporabe lozinki, politika \u010distog stola i \u010distog ekrana, politika uporabe mre\u017enih servisa, politika za mobilno ra\u010dunarstvo, politika uporabe kriptografskih kontrola, itd. Napomena: ISO 27001 ne propisuje da sve ove politike moraju biti implementirane ili dokumentirane, jer odluka jesu li takve kontrole primjenjive i u kojoj mjeri ovisi o rezultatima procjene rizika.<\/p>\n<p>Budu\u0107i da takve politike propisuju mnogo vi\u0161e detalja, obi\u010dno su du\u017ee \u2013 do deset stranica. Ako bi bile du\u017ee od toga, bilo bi ih jako te\u0161ko implementirati i odr\u017eavati.<\/p>\n<p>Drugim rije\u010dima, informacijska sigurnost je previ\u0161e slo\u017eena da bi se mogla definirati jednom politikom \u2013 za razli\u010dite aspekte ISMS-a i razli\u010dite \u201cciljne skupine\u201d trebale bi postojati razli\u010dite politike. Srednje velike organizacije za svoj ISMS obi\u010dno uspostave do petnaest politika\/pravilnika.<\/p>\n<p>Moglo bi se tvrditi da toliki broj politika za organizaciju predstavlja samo dodatni tro\u0161ak bez neke vidljive koristi \u2013 sa time se dakako sla\u017eem u slu\u010dajevima gdje su te politike napisane imaju\u0107i u vidu samo certifikacijski audit, jer \u0107e takve politike samo \u0107e jo\u0161 pove\u0107ati birokraciju. Ako je pak politika napisana s ciljem da se stvarno smanje rizici, onda \u0107e se njezina prava korist ipak pokazati \u2013 ako ne odmah, onda vjerojatno za dvije do tri godine, kada se smanji broj incidenata.<\/p>\n<p><em>Pogledajte ovaj besplatni online trening\u00a0<\/em><a href=\"https:\/\/staging.advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Course<\/a> <em>da saznate vi\u0161e o Politici informacijske sigurnosti, i drugim politikama potrebnim za sukladnost s ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u010cesto imam priliku vidjeti politike informacijske sigurnosti koje, poku\u0161avaju\u0107i obuhvatiti sve, od strate\u0161kih ciljeva do toga koliko numeri\u010dkih znakova treba sadr\u017eavati lozinka, sadr\u017ee suvi\u0161e detalja. Problem kod takvih politika je taj \u0161to imaju preko 50 stranica &#8211; i nitko ih u stvari ne shva\u0107a ozbiljno. Na kraju su to samo umjetni dokumenti \u010dija je isklju\u010diva &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[],"class_list":["post-4825","post","type-post","status-publish","format-standard","hentry","category-blog-hr"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4825"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4825\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}