ISO 27001 procena rizika — zašto je to najteži i najvažniji deo

Kada firme kažu da im je ISO 27001 implementacija 'pošla po zlu', skoro uvek je razlog isti: loša procena rizika na početku. Ostatak ISMS-a — politike, kontrole, procedure — gradi se na toj osnovi. Ako je osnova pogrešna, godinu dana rada se svodi na dokumentaciju koja ne reflektuje stvarno stanje.

Procena rizika po ISO 27001 nije jednokratni zadatak koji se uradi i zaboravi. Standard zahteva redovnu reviziju — tipično jednom godišnje ili posle značajne promene (novi sistem, novi dobavljač, nova usluga, incident). Mnoge firme urade odličnu prvu procenu, dobiju sertifikat, a onda dozvole da risk register zastari. To je uobičajen razlog za major non-conformity na recertifikacionom auditu.

Metodologija ne mora biti komplikovana. ISO 27001 ne propisuje specifičnu metodu — propisuje da metoda bude dokumentovana, konzistentna i da pokriva sve relevantne informacione imovine. Popularne metode su jednostavna matrica verovatnoće × uticaja (5×5 ili 3×3), OCTAVE Allegro i FAIR za kvantitativni pristup. Za većinu SME organizacija, dobra 5×5 matrica s jasno definisanim kriterijumima je potpuno dovoljna.

Šta se najčešće propušta: cloud dobavljači i SaaS alati koje firma koristi (Google Workspace, CRM, računovodstveni softver), pristup bivših zaposlenih koji nije deaktiviran, nedokumentovani shadow IT sistemi, fizička bezbednost prostorija i oprema za uništavanje dokumenata.

Risk treatment plan (RTP) je jednako važan kao sama procena. Za svaki identifikovani rizik treba odrediti: prihvatamo ga, smanjujemo kontrolom, transferišemo (osiguranje, ugovor s dobavljačem) ili izbegavamo (gasimo aktivnost). Annex A ISO 27001 daje 93 kontrole — ne morate sve primeniti, ali za svaku koju preskočite, SoA mora dokumentovati zašto.

Naš vCISO vodi procenu rizika kao deo implementacione usluge — uključujući radionice s ključnim stakeholderima, dokumentaciju risk register-a, SoA i RTP. Ako ste u sredini implementacije i zapeli na ovom koraku, zakažite razgovor.