Skip to content 
Coś dla MSP z ISO.org
Zwykle w ramach kolekcji „Dobra książka” publikujemy coś co wyraźnie wpisuje się w taką rekomendację ze względu na unikalne treści i przydatność biznesową. Dzisiaj jednak pozwoliliśmy sobie w ramach tej podkategorii zaanonsować poradnik dla MŚP w wykonaniu ISO.org. Można rzec najnowsze opracowanie, bo ukazało się w końcówce kwietnia br. Dotyczy ono najnowszej normy w zakresie bezpieczeństwa informacji – „ISO/IEC 27001:2022 Information Security Management Systems. A practical guide for SMEs. Advice from ISO/IEC JTC 1/SC 27”. Podobnie jak to było w odniesieniu do innych opracowań tego typu – np. ISO 37001, ISO 45001, odpowiednio: „ISO 37001:2016 Anti-bribery management systems. A practical guide”, oraz “ISO 45001:2018 – Occupational health and safety management systems – A practical guide for small organizations”, tak i tym razem może być bardzo przydatne w odpowiednim zrozumieniu standardu, którego dotyczy wśród MŚP.
Male jest piękne i elastyczne, ale często bywa tak, że organizacje sektora MŚP mające ograniczone zasoby zmuszone są w łańcuchu dostaw do wdrożenia tej normy jako dowód ich dojrzałości i umiejętności zabezpieczenia aktywów informacyjnych, którymi zarządzają, bądź które są im powierzone. Niestety czasami muszą dla spełnienia zasady rozliczalności być certyfikowani. Dla nas „woda n młyn” ale tym razem byłem mimowolnym świadkiem negatywnej roli certyfikatora, gdzie jeden z audytorów uparł się żeby audytowanej organizacji wystawić niezgodność w ramach artykułu .9.1 – Monitorowanie, pomiar, analiza i ocena. W tamach tego wymagania w normie napisano „…Organizacja określa:
- co musi być monitorowane i mierzone, w tym procesy i kontrole bezpieczeństwa informacji;
- metody monitorowania, pomiaru, analizy i oceny, w zależności od przypadku, w celu zapewnienia ważnych wyników. Wybrane metody powinny dawać porównywalne i powtarzalne wyniki, aby można je było uznać za ważne;
- kiedy należy przeprowadzić monitoring i pomiary;
- który monitoruje i dokonuje pomiarów;
- kiedy wyniki monitorowania i pomiarów będą analizowane i oceniane;
- kto będzie analizował i oceniał te wyniki.
Na potwierdzenie wyników dostępne są udokumentowane informacje. Organizacja ocenia wyniki w zakresie bezpieczeństwa informacji oraz skuteczność systemu zarządzania bezpieczeństwem informacji…”
Audytor oczekiwał od organizacji, że ta przedstawi w tym zakresie udokumentowaną informację do wszystkich zabezpieczeń w formule wskaźnikowej. Zadzwonił do mnie niezwykle doświadczony, mądry i otwarty na dyskusję konsultant z zapytaniem „czy takie podejście nie wykracza poza interpretację standardu, a jest raczej nadinterpretacją audytora”. Zasada rozliczalności do której odwoływał się audytor zapisana jako udokumentowana informacja nie oznacza, że wszystko ma być opomiarowane poprzez wskaźniki. Albowiem to organizacja decyduje o tym w ramach w/w punktów biorąc pod uwagę np. analizę ryzyka, analizę zdarzeń i incydentów, informacje o podatnościach, wyniki audytów, etc. Przyjąć niezgodność, czy też nie. Nie za bardzo mogę rozwijać myśl aby nie zdradzać szczegółów sprawy. Ale gwoli zrozumienia specyfiki MŚP audytorzy powinni umieć zrozumieć z jednej strony swoją rolę, z drugiej zaś wolę odpowiedniego podejścia do wymagań aby system zgodnie z zapisem we wstępie do normy – art. 0.1 Postanowienia ogólne „…Oczekuje się, że wdrożenie systemu zarządzania bezpieczeństwem informacji będzie skalowane zgodnie z potrzebami organizacji.
Podsumowanie
Ten wspomniany na początku przewodnik jest taką beletrystyczną formą przedstawienia standardu tak, aby był on należycie zrozumiany przez beneficjentów, ale jak pokazuje w/w przypadek także przez audytorów. Osobiście zwykle korzystam z norm pomocniczych, w tym przypadku – ISO/IEC 27004:2016 Information technology Security techniques Information security management. Monitoring, measurement, analysis and evaluation, ale ona nie odnosi się jeszcze do nowej edycji normy zasadniczej. Warto jednak w polemice z audytorami gdy dojdzie do takie sytuacji posługiwać się zapisami normowymi jeżeli chodzi o interpretację.
Zespół Centre of Excellence &QSCert
Zapraszamy do współpracy
Bibliografia:
ISO/IEC 27001:2022 – Information Security Management Systems – A practical guide for SMEs – https://www.iso.org/publication/PUB100484.html;
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection. Information security management systems. Requirements – https://www.iso.org/standard/27001;
ISO/IEC 27004:2016 Information technology. Security techniques. Information security management. Monitoring, measurement, analysis and evaluation – https://www.iso.org/standard/64120.html