Često imam priliku vidjeti politike informacijske sigurnosti koje, pokušavajući obuhvatiti sve, od strateških ciljeva do toga koliko numeričkih znakova treba sadržavati lozinka, sadrže suviše detalja. Problem kod takvih politika je taj što imaju preko 50 stranica – i nitko ih u stvari ne shvaća ozbiljno. Na kraju su to samo umjetni dokumenti čija je isključiva svrha zadovoljiti auditora.
Zašto je takve politike izuzetno teško implementirati? Jer su preambiciozne – pokušavaju obuhvatiti previše područja i namijenjene su preširokom krugu ljudi.
Zbog toga ISO 27001, vodeća norma za informacijsku sigurnost, definira različite razine politika informacijske sigurnosti:
- politike visoke razine, poput Politike sustava upravljanja informacijskom sigurnošću – takve politike visoke razine obično definiraju strateške namjere, ciljeve i sl.
- detaljne politike (u hrvatskom jeziku često nazivane kao „pravilnici“) – politike ove vrste obično detaljnije opisuju određeno područje informacijske sigurnosti, precizirajući odgovornosti i sl.
Norma ISO 27001 propisuje da Politika sustava upravljanja informacijskom sigurnošću kao dokument najviše razine mora sadržavati okvir za postavljanje ciljeva, uzimajući u obzir razne zahtjeve i obveze, da mora pratiti kontekst u kojem organizacija provodi strateško upravljanje rizicima i da mora postaviti kriterije za ocjenu rizika. Takva politika bi zapravo trebala biti vrlo kratka (imati možda stranicu-dvije) jer joj je glavna svrha da pomoću nje najviši menadžment može upravljati ISMS-om.
S druge strane, detaljne politike (pravilnici) trebale bi imati operativnu namjenu i biti usredotočene na uže područje sigurnosnih aktivnosti. Primjeri takvih politika su: politika o klasifikaciji informacija, politika o prihvatljivoj uporabi informacijskih resursa, politika za izradu sigurnosnih kopija, politika kontrole pristupa, politika uporabe lozinki, politika čistog stola i čistog ekrana, politika uporabe mrežnih servisa, politika za mobilno računarstvo, politika uporabe kriptografskih kontrola, itd. Napomena: ISO 27001 ne propisuje da sve ove politike moraju biti implementirane ili dokumentirane, jer odluka jesu li takve kontrole primjenjive i u kojoj mjeri ovisi o rezultatima procjene rizika.
Budući da takve politike propisuju mnogo više detalja, obično su duže – do deset stranica. Ako bi bile duže od toga, bilo bi ih jako teško implementirati i održavati.
Drugim riječima, informacijska sigurnost je previše složena da bi se mogla definirati jednom politikom – za različite aspekte ISMS-a i različite “ciljne skupine” trebale bi postojati različite politike. Srednje velike organizacije za svoj ISMS obično uspostave do petnaest politika/pravilnika.
Moglo bi se tvrditi da toliki broj politika za organizaciju predstavlja samo dodatni trošak bez neke vidljive koristi – sa time se dakako slažem u slučajevima gdje su te politike napisane imajući u vidu samo certifikacijski audit, jer će takve politike samo će još povećati birokraciju. Ako je pak politika napisana s ciljem da se stvarno smanje rizici, onda će se njezina prava korist ipak pokazati – ako ne odmah, onda vjerojatno za dvije do tri godine, kada se smanji broj incidenata.
Pogledajte ovaj besplatni online trening ISO 27001 Foundations Course da saznate više o Politici informacijske sigurnosti, i drugim politikama potrebnim za sukladnost s ISO 27001.