Važnost Izvješća o primjenjivosti (engl. Statement of Applicability – SoA) obično se podcjenjuje – poput Priručnika kvalitete iz norme ISO 9001, radi se o središnjem dokumentu u kojem je definirano kako ćete implementirati veći dio svoje informacijske sigurnosti.
Izvješće o primjenjivosti zapravo je glavna poveznica između procjene i obrade rizika te implementacije vaše informacijske sigurnosti. Svrha mu je definirati koje od 133 predložene kontrole (sigurnosne mjere) iz Aneksa A norme ISO 27001 ćete primijeniti, te način na koji ćete ih provesti.
Zašto je taj dokument potreban?
Zašto je dakle takav dokument potreban ako ste već napisali Izvješće o procjeni rizika (koje je isto obavezno), koje također definira potrebne kontrole? Razlozi su sljedeći:
- Prije svega, tijekom obrade rizika utvrđujete potrebne kontrole jer ste utvrdili koje je rizike potrebno smanjiti. Međutim, u Izvješću o primjenjivosti također određujete potrebne kontrole iz nekih drugih razloga – zbog propisa, ugovornih obveza, drugih procesa, itd.
- Drugo, Izvješće o procjeni rizika može biti prilično dugačko – u nekim se organizacijama može identificirati i nekoliko tisuća rizika (ponekad i više), pa takav dokument nije baš prikladan za svakodnevnu uporabu. S druge strane, Izvješće o primjenjivosti je kraće – ima 133 retka (po jedan za svaku kontrolu), što vam omogućuje da ga prezentirate menadžmentu i da ga lakše ažurirate.
- Treće – i najvažnije- u Izvješću o primjenjivosti mora se za svaku pojedinu primjenjivu kontrolu dokumentirati provodili li se ona već ili ne. Dobra praksa (a većina auditora će upravo to provjeravati) uključuje i opisivanje načina na koji se pojedina primjenjiva kontrola provodi – npr. referiranjem na neki dokument (politiku/proceduru/upute i sl.) ili kratkim opisom uspostavljene procedure ili opreme koja se upotrebljava.
Ako se želite certificirati prema ISO 27001, certifikacijski auditor će uzeti vaše Izvješće o primjenjivosti i obilaziti tvrtku da bi provjerio jeste li proveli mjere na način na koji su opisane u Izvješću o primjenjivosti. To je glavni dokument za provedbu on-site audita.
Vrlo mali broj tvrtki shvaća da pisanjem dobrog Izvješća o primjenjivosti može smanjiti broj ostalih dokumenata – na primjer, želite li dokumentirati određenu kontrolu, a opis procedure za tu kontrolu prilično je kratak, možete je opisati u Izvješću o primjenjivosti. Na taj način izbjegavate pisanje dodatnih dokumenata.
Zašto je taj dokument koristan?
Iz vlastitog iskustva znam da većina tvrtki koje provode sustav upravljanja informacijskom sigurnošću prema ISO 27001 utroše puno više vremena na pisanje ovog dokumenta nego što su očekivali jer moraju razmišljati o tome kako provesti kontrole: Hoće li nabavljati novu opremu? Ili promijeniti proceduru? Ili zaposliti novu osobu? Radi se o odlukama koje su prilično važne (a ponekad i skupe), tako da ne iznenađuje da ih je teško donijeti. Dobra strana Izvješća o primjenjivosti je da organizaciju prisiljava da ovaj posao obavi na sustavan način.
Stoga ovaj dokument ne biste trebali smatrati samo suvišnim dokumentom koji vam ne koristi u redovitom poslovanju – smatrajte ga glavnim dokumentom u kojem definirate kako želite da vaš sustav informacijske sigurnosti izgleda. Ako se napiše kako treba, Izvješće o primjenjivosti predstavlja izvrstan pregled onoga što treba učiniti u sklopu informacijske sigurnosti, zašto je to potrebno i kako to treba provesti.