ISMS dokumentacija za ISO 27001 — šta je obavezno a šta nije

Postoji raširen mit da ISO 27001 zahteva stotine stranica dokumentacije. Ne zahteva. Zahteva pravu dokumentaciju — onu koja dokazuje da ISMS postoji, funkcioniše i da se kontinuirano poboljšava. Revizori ne broje stranice; oni proveravaju da li dokumenti reflektuju stvarno stanje organizacije i da li je osoblje svesno njihovog sadržaja.

Obavezna dokumentacija po standardu uključuje: opseg ISMS-a (Scope statement), politiku informacione bezbednosti, ciljeve bezbednosti, risk assessment metodologiju, risk register, Statement of Applicability (SoA), risk treatment plan, evidenciju o kompetentnosti i obukama, evidenciju o monitoring aktivnostima, rezultate internih audita, nalaze menadžment revizije i registar korektivnih mera.

Šta nije obavezno ali mnogi pišu nepotrebno: detaljna IT procedura za svaki softver koji koristite, posebne politike za svih 93 kontrole iz Annexa A, evidencije koje niko ne koristi i ne ažurira. Revizor koji nađe dokumentovanu proceduru koja nije primenjena u praksi — to je major non-conformity, gore od nedostatka procedure.

Praktičan princip: dokumentujte ono što zaista radite, a ne ono što biste idealno trebali da radite. Ako vaša password politika kaže 'svake 90 dana' a niko zapravo ne menja lozinke svake 90 dana — promenite politiku da reflektuje realnost, ili implementirajte enforcement koji tu politiku čini realnom.

ISO Toolbox koji koristimo u okviru naše vCISO usluge sadrži predloške za sve obavezne dokumente, prilagođene tipu i veličini organizacije. Nisu generički šabloni preuzeti s interneta — prilagođavaju se specifičnom kontekstu: industrija, veličina tima, tip podataka koji se obrađuju.

Ako nemate jasnu sliku šta imate a šta nedostaje u dokumentaciji, počnite s gap analizom. Pogledajte vCISO i ISO 27001 stranicu i zakažite razgovor za besplatnu procenu polaznog stanja.