Osvrt na tekst "Mane ISO sustava upravljanja kvalitetom"

Na portalu http://vjestak-informatika.com/ iza kojeg stoji gsp. Saša Aksentijević korektno je prenešen članak s izvornika, a koji govori o manama ISO sustava upravljanja kvalitetom. Kako sam ja dugo vremena (od 1996) uključen u aktivnosti vezane za implementaciju i autidiranje ISO sustava kvalitete i to kao EOQ menadžer, konzultant i EOQ auditor, smatram potrebnim dati ne komentar na članak, već svoj cjeloviti osvrt. To je nužno zbog toga što bi čitatelji izvornog članka mogli doći do pogrešnih zaključaka. U tom smislu, prvo ću citirati članak, a kojeg možete pročitati i na portalu Saše Aksentijevića ovdje.

Citat članka:
"Temeljna zamjerka većini ISO sustava upravljanja kvalitetom je pretjerana egocentričnost - sve organizacije koje su prošle kroz proces ISO certifikacije znaju koliko resursa (novca i vremena) ‘gutaju’ prije uvođenja i osobito nakon procesa certifikacije. Nadalje, vrlo često dolazi do pojave ‘pretjerane reguliranosti’ gdje se čak i najbanalnije situacije i procesi pokušavaju podvesti pod formalne procedure, uključujući i one koje nemaju ama baš nikakav potencijalni ili realni mogući utjecaj na poslovni rezultat. 

Većina ISO sustava upravljanja u sebi sadrži tvrdnju kako njihovo uvođenje povećava konkurentnost, profitabilnost i percepciju organizacije od strane okoline. No, da li je to baš tako? Na čemu se točno temelji ta izjava, sveprisutna u klauzulama većine ISO sustava upravljanja kvalitetom? Ovdje možete pročitati jedan vrlo zanimljivi članak u kojemu je objašnjeno na primjeru jednog izvedenog i dobro dokumentiranog istraživanja kako ISO 9001 certifikacija nije pokazala značajnije povećanje profitabilnosti u odnosu na konkurenciju branše koja nema taj certifikat, uz objašnjena ograničenja izvedenog istraživanja. Pritom ne treba zaboraviti kako neuvođenje sustava ISO certifikacije nije isto što i izostanak sustavnog rukovođenja poslovnim procesima i vođenje jasnog registra aktualnih procedura tamo gdje je to nužno i potrebno! 

U svakom slučaju, ozbiljan rukovoditelj ili direktor uvijek će potražiti mišljenja s više strana a kada je uvođenje nekog ISO sustava u igri, ovakva istraživanja su valjan putokaz prema “drugoj strani medalje” koji treba uzeti u obzir pri odlučivanju."

Kraj citata.

Kao prvo, ovakvi stavovi su ili tendenciozni ili napisani od strane onih koji ne uvažavaju neke elementarne postavke u filozofiji sustava kvalitete prema ISO normama. Zato treba navesti koji su postulati sustava kvalitete prema ISO.

Nigdje u ISO dokumentima ili normama ne stoji da se uvođenjem ISO certifikata povećava dobit. To je izmišljotina do bezobrazluka kompromitiranih certifikacijskih kuća koje obećavaju nešto, zbog svog interesa,  za čega ne postoji nigdje nikakav dokaz. No, tu bi ja ipak dodao jedan detalj: uvođenjem sustava upravljanja MORA se postići STVARANJE VIŠKA VRIJEDNOSTI. To je ipak znatno širi pojam od dobiti. U koliko niste u stanju dokazati da će doći do povećanja viška vrijednosti, tada vam u organizaciji stvarno ne treba sustav upravljanja, pa tako ni ISO certifikat. Zato, investicija u uvođenje sustava upravljanje kvalitetom ima opravdanja samo ako je konačna korist pozitivna. Da li je to puno novaca? Pa nije pitanje u količini novaca koji se investira, već je pitanje "Da li je dara veća nego ćar?". Pa zar se vlasnici i direktori firmi ne pitaju koliko će koštati uvođenje nove tehnološke linije i da li će ta investicija biti pokrivena povećanim prihodom. Ja sam siguran da se pitaju. Oni to dokazuju provođenjem Cost Benefit analize. Zašto se ne pitaju to isto i u slučaju uvođenja nekog sustava upravljanja, pa bio on i sustav upravljanja kvalitetom? Ako je netko slučajno čuo da su konzultanti nudili provođenje Cost Benefit analize i dokazivanje isplativosti prije uvođenja sustava upravljanja kvalitetom, molim javite nam da napišemo jedan veliki tekst hvale i stručnosti takvog konzultanta. Gospodo direktori, na vama je u ovom slučaju problem što ste spremni plaćati nešto, a neznate da li vam to stvarno treba. "Upecali" ste se na reklamu i slatkorječivost propagande, a zaboravili ste elementarnu funkciju menadžera da se odluka donosi na temelju dokaza o opravdanosti, naravno uzimajući u obzir i prihvatljiv stupanj rizika. Ja bi rekao ovako: ozbiljni rukovoditelj ili direktor neće tražiti mišljenje na više strana, već će od svog konzultantskog tima tražiti Cost Benefit analizu. U svim ostalim slučajevima to je šarlatanizam ili demagogija. Evo jednog primjera: nikada nam nije prošla ponuda u kojoj smo nudili da konzultantski posao ne košta ništa, ali hoćemo 10% od dokazane povećane vrijednosti. Šta mislite šta je bio odgovor? Pa to bi moglo biti puno novaca !!!  


Nigdje u ISO dokumentima i normama ne stoji, niti se naslućuje da će te stjecanjem certifikata za sustav upravljanja kvalitetom postati bolji od firmi koje ga nemaju, a rade u istoj branši. To je, ako se negdje pojave takve tvrdnje rezultat neznanja i nepoštene reklame. U praksi se može pokazati da stvarno postoje firme koje nemaju ISO certifikat, a bolje rade od nekih firme koje ga imaju. Kako to? Sustav upravljanja kvalitetom, kakav danas poznajemo počeo se stvarati početkom 50-tih godina prošlog stoljeća, a početkom 90-tih je došlo do ozbiljne normizacije i stvaranja međunarodnih normi. Da li je prije toga bilo firmi koje su dobro radile? Pa naravno da je bilo. Da li danas sve firme imaju ISO certifikat, odnosno uveden sustav upravljanja kvalitetom? Naravno da nemaju. Pa u čemu je stvar? Ni jedna norma (ISO 9001, ISO 14001, ISO 22000, ISO 27001, itd) nikoga ništa na ovom svijetu ne obvezuje i one sve su dobrovoljne, barem što se tiče ISO organizacije. Međutim, kada firma odluči da primjeni neku normu zbog nekog razloga, onda ta norma postaje ZAKON u toj organizaciji i ako se želi certifikat po toj normi firma MORA ispuniti SVE zahtjeve koji su navedeni u dotičnoj normi.
 
Zašto bi neka firma odabrala uvođenje sustava kvalitete (ISO 9001) kada se može pokazati da se može dobro raditi s velikom dobiti i ako nemate takav certifikat? Prvo razjasnimo odakle je potekla potreba za normom, uvođenjem sustava upravljanja kvalitetom i u konačnici certifikacija. To nije izmislila niti jedna vlada, niti jedna država (one su tome kasnije davale i daju potporu). To je u jednom trenutku postala glavna potreba firmi, kao jedan od glavnih zahtjeva opstanka i razvoja. Evo jedan od niza aspekata: ako ne sve, ali ipak većina firmi imaju svoje partnere koji na neki način učestvuju u konačnom proizvodu u obliku usluge ili komponente. Šta je za firmu u tom slučaju važno? Mora imati dokaz da će partner i u budućnosti biti jednako dobar i da se mogu osloniti na njega. Ako on "zabrlja", znači da će i moj proizvod u većoj ili manjoj mjeri biti zabrljan, pa ću imati gubitke, a možda i egistencijalne probleme. To je nemoguće riješiti samo ugovorima. Pored toga, ne samo da želim dobiti dokaz da će partner dobro raditi, želim i mogućnost provjere da li je u organizaciji sve dobro što ima veze s mojim proizvodom. Kao rezultat takvih zahtjeva stvoren je sustav upravljanja kvalitetom, ali i ostali kao što su ISMS, EMS, OHSAS, FSMS, itd.
 
U ni jednoj ISO normi prema kojoj se vrši certifikacija nekog sustava, pa tako i ISO 9001 za sustav upravljanja kvalitetom ne nalazi se ništa što govori o tome KAKO treba nešto napraviti. U svim ISO normama stoji ŠTO se treba napraviti. Što to znači? Svaka klauzula govori ŠTO se mora napraviti, a vi gospodo menadžeri uz pomoć konzultanata to realizirajte na svoj način kako vama odgovara u vašoj firmi – odnosno kako vam je optimalno. Ako nešto nije dobro napravljeno, nije za to kriva norma ISO 9001, već nestručnost i glupost onih koji uvode sustav. Objasnimo to samo na dva primjera koji imaju veze sa izvornim člankom.
 
Prvo o procesima. ISO 9001:2000 uveo je obvezu procesnog pristupa, a revizija ISO 9001:2008 čak zahtjeva i mapiranje procesa. Izvor problema u praksi počinje i završava na činjenici da su konzultanti kao i menadžeri kvalitete nedovoljno (ili nikako) obrazovani. To je moje uvjerenje nakon niza seminara i kontakata s njima, ali i prisustva na simpozijima i čitanja niza stručnih radova iz tog područja. Konzultanti u većini slučajeva nemaju pojma o sustavima i mogućnostima upravljanja s njima. Poznato je da se sa sustavima može upravljati na dva načina: procesnim ili PDCA pristupom. Zato što iz norme ISO 9001 loše pročitaju i još lošije shvate smisao teksta konzultanti u velikom broju slučajeva tumače da sve treba podvesti pod procesni pristup. To je vulgarizacija i besmislenost. Postoje procesi u organizacijama koje je teško ili nemoguće dobro riješiti procesnim pristupom, ali se zato jako dobro mogu riješiti PDCA pristupom. I jedan i drugi pristup su apsolutno prihvatljivi za ISO 9001 i kao takvi u normi preporučeni. Kada loše obrazovani konzultant tvrdi da se sve aktivnosti u firmi treba provesti kroz procesni pristup, dolazi se do besmislenosti a onda i do onakvih komentara kao što je u izvornom članku.
 
Drugi primjer je u izvornom članku “Prenormiranost”. Taj pojam prenormiranosti se uzima u smislu da se sve propisuje kako će se raditi. Nevjerojatno, ali istinito. Takve slučajeve sam sretao tijekom certifikacijskih audita. Apsolutna je činjenica: NEMOGUĆE JE SVE NORMIRATI - PROPISATI. Da li je za to kriva norma ISO 9001. Ni najmanje. U normi SIO 9001 ne postoji ništa što obvezuje na količinu normiranja. Jedan primjer: u jednoj poznatoj zagrebačkoj firmi sam bio na certifikacijskom auditu. Imali su proceduru za nabavu na 17 stranica papira. Čisto iz radoznalosti sam ju čitao. Moram priznati da nisam na kraju znao šta bi trebao raditi prema njoj. Kakvo će vam iskutvo prenijeti zaposlenici u takvom sustavu kvalitete? Ili recimo, u drugoj velikoj firmi koja zapošljava cca 5.000 ljudi imali su oko 370 identificiranih procesa. To slobodno možete staviti u ladicu na kojoj se nalazi naljepnica: "Vulgalizirana primjena ISO 9001". Šta mislite kakvo je iskustvo te firme vezano za sustav kvalitete?
 
Tako bi mogao navoditi još niz primjera. No, kome i ovo nije dosta, neće mu pomoći ni dodatni.
 
U čemu ja vidim problem? Moj osnovni stav je da za uspjeh presudnu ulogu igra obrazovanje. A to je rak rana u ovom području. Obrazovanje koga? Prvenstveno, s jedne strane mendžera kvalitete koji trebaju da uvedu sustav u firmu i kasnije da ga održavaju, te s druge strane konzultanata bez kojih se u pravilu to ne radi. Evo vam jednostavno pitanje: da li bi išli na operaciju slijepog crijeva kod mesara koji je prošao 5-dnevni tečaj kirurgije? Vjerojatno nebi. A da li ste spremni dati sustav vrijedan milijune u ruke neobrazovanom menadžeru kvalitete ili konzultantu? Praksa pokazuje da su direktori i uprava spremni na to. Zašto se čuditi da imate u praksi niz sustava kvalitete u firmama od kojih nema nikakve koristi, a često puta su i štetni.
 
Na kraju, ovo nije problem samo sa sustavom za upravljanje kvalitetom koji se temelji na normi ISO 9001. Stvar je apsolutno jednaka i kod upravljanja informacijskom sigurnošću – ISMS (ISO 27001), upravljanja okolišem – EMS (ISO 14001), ispravnošću hrane i pića (ISO 22000), itd, itd. Samo u gornjem tekstu zamijenite pojam upravljanje kvalitetom i stavite npr, upravljanje informacijskom sigurnošću, ili upravljanje okolišem, dobit ćete jednaku situaciju.
 
Ipak, na kraju ne mogu amnestirati direktore ili vrhovnu upravu firme. Naime, sustav upravljanja kvalitetom je njihov alat i sredstvo kojim bi morali moći uspješnije upravljati s organizacijom. Ako se to ne postiže, tada nešto ne štima. Smatram da bi problem trebali prvenstveno tražiti u samim sebima, a onda u okolici i podređenima, a tek na kraju, kada iscrpite sve, posumnjajte u ISO normu.
 
Mislim da bi se na mane ISO sustava upravljanja kvalitetom trebalo gledati isto kao i na manu automobila da povremeno gazi pješake ili se sudara s drugim automobilima.

Osvrt na tekst „Zašto ISO 27001 (možda) nije dovoljan?“

Nedavno sam na web stranici www.vjestak-informatika.com našao jedan članak pod naslovom „Zašto ISO 27001 (možda) nije dovoljan ?“. Naravno da me je sam naslov jako zainteresirao jer se intenzivno bavim tim područjem. Odmah sam ga pročitao. Prva rekcija je bila: što je poanta teksta? Ta reakcija nema veze s portalom „vjestak-informatika“ na kojem je objavljen tekst, niti s autorom portala. On je korektno preneo glavne stavove iz članka „Why ISO 27001 is not enough“ objavljenog na web stranici ovdje. Taj me tekst nije ostavio ravnodušnim i osjetio sam potrebu da reagiram na njegov sadržaj. Naime, o svemu se može kritički pisati, pa tako i o ISO 27001, čak smatram da je to izuzetno važno i korisno, ali nije dobro kada je prikaz jednostran ili polovično izrečena misao, pa se može dovesti u ozbiljnu nedoumicu ili zbunjenost prosječnog poznavaoca te problematike, a nekoga tko slabo to zna, potpuno „raspametiti“. Pri tome sam se kratko dvoumio da li da za osnovu uzmem skraćenu verziju članka ili original. Kako je skraćena verzija korektna i u potpunosti oslikava sadržaj originala, a i manje je veličine, odlučio sam se da temelj mog komentara bude upravo skraćeni članak s portala „vjestak-informatika“. Koga zanima, može izvorni tekst pročitati na gore ponuđenom linku. Skaćena verzija članka objavljenog na portalu „vjestak-informatika“ je kako slijedi:

Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu. Naglasci iz članka su na sljedećem:

1.    ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)

2.    ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom

3.    ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)

4.    Organizacije same odabiru kontrole koje se odnose na njih

5.    ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)

6.    Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti

7.    Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.

8.    ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Ja ću dati komentar za svaku točku posebno:

1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”). To baš i nije točno. Izvorni puni naziv standarda je: ” Information technology — Security techniques — Information security management systems — Requirements”. To bi značilo da je standard ISO 27001 skup zahtjeva koje se mora ispuniti ako se želi dobiti certifikat za sustav upravljanja informacijskom sigurnošću.
   
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom. Točno je da je to standard koji definira okvir za upravljanje informacijskom sigurnošću. Ali što bi to trebalo značiti da sam po sebi nije “zlatni standard” za upravljanje istom. To mi stvarno nije jasno što treba značiti “zlatni standard”. Koliko je meni poznato ne postoji kategorija “zlatni standard”, pa prema tome ni ISO 27001 sigurno nije “zlatni standard” ma što god to značilo. On je samo ono što piše u njegovom nazivu i definiciji namjene. Nije potrebno od nekog standard očekivati nešto drugo od onoga za čega je namjenjen.
   
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu. To je dijelom točno, a dijelom potpuno pogrešno. Točno je da je procjena rizika temelj za uspostavu sustava za upravljanje informacijskom sigurnošću (ISMS). To je zahtjev koji nalaže standard ISO 27001. Točno je i da svaka organizacija sama određuje u skladu sa svojim potrebama i mogućnostima razine prihvatljivog rizika. E to ne samo da je točno, to je izvanredno ispravno i jedino moguće. Pa tko može propisati nivo rizika s kojim će se raditi u svim organizacijama svijeta. Autori ISO 27001 to jako dobro znaju i nisu upali u zamku da propisuju takvu stvar. Čak nije ni metodologija procjene, bolje rečeno validacije rizika propisana, već ju organizacija sama odabire prema svojim potrebama i primjerenosti. No, netočno je u gornoj tezi da rukovodstvo donosi nerealne procjene rizika koje objektivno mogu dovesti do nesigurnosti. To nije u skladu sa zahtjevima standarda ISO 27001 i prema tome to je netočno. U čemu je stvar? Tim eksperata koji su verzirani za procjene rizika naprave procjenu i obradu rizika koja rezultira sa dva dokumenta SoA (izjava o primjenljivosti) i izjava o prihvaćanju preostalog rizika. Rukovodstvo treba prihvatiti te dokumente i eksplicitno ih potpisati. No, tu je mogući ozbiljni problem u praksi. Dokumenti SoA i izjava o preostalom riziku u sebi sadrže i novčane iznose koje je potrebno investirati u sigurnosne mjere da bi se ostvario željeni nivo rizika. Tu rukovodstvo nemora uvjek imati sluha, jer je moguća po njihovom mišljenju prevelika investicija u sigurnosne mjere, pa traže reviziju procjene rizika da bi se smanjili troškovi. To povlači u pravilu promjenu sigurnosne politike, možda ćak i opsega informacijskog sustava, ali i kriterija prihvaćanja rizika. Taj kompromis između nivoa sigurnosti i investicija u sigurnost je po principu: koliko para toliko muzike. No to nije problem standarda.
   
4. Organizacije same odabiru kontrole koje se odnose na njih (napomena: kontrola = sigurnosna mjera). Točno, i jedino moguće. Koje će se kontrole koristiti određuje se prvo nacionalnom zakonskom regulativom, internim pravilima rada organizacije ili strukovnih organizacija, a ostale procjenom rizika. Ako procjena rizika pokaže da neka kontrola ne treba, pa zašto ju provoditi?
   
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju). Točno ali loše objašnjeno i zbunjujuće za nestručnjaka, jer može pomisliti da je to nešto loše, a u biti je jako dobro. Prvo, u ISO 27001 se nalazi Anex A u kojem je predložena sistematizirana lista kontrola (sigurnosnih mjera). Sve te kontrole ili samo neke od njih se mogu koristiti ako je to opravdano za organizaciju. Za sve kontrole prikazane u Anexu A u ISO 27001 detaljni opis ciljeva i prijedloga njihove implementacije po principu najbolje prakse prikazan je u standardu ISO 27002. Ukupan broj tako predloženih kontrola je 133 (za reviziju iz 2005 god). Da li je to sve što treba u praksi za sve organizacije svijeta? Naravno da nije. To je prijedlog najčešće i najšire predloženih kontrola koje su bile poznate u trenutku izdavanja standarda. Ako nekome treba neka drugačija kontrola, ili hoće svoj način implementacije kontrole tada si može sam dodati svoje. To nije neka proizvoljna sloboda, već eksplicitni savjet i zahtjev standarda ISO 27001: ako nekome fali kontrola zato što je njegova firma specifična u prostoru i vremenu, dodajte si sami. Potrebno ju je samo dokumentirati. Jedini način da se osigura univerzalnost i višegodišnja primjenljivost standarda u praksi.
   
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti. E tu je katastrofalno tendenciozni prikaz zahtjeva ISO 27001 ili totalno nepoznavanje strukture uspostavljenog sustava ISMS. Cijeli sustav ISMS koji se uspostavlja prema ISO 27001 ima četiri nivoa: prvi nivo su politika (ako ne spominjemo viziju i misiju), opseg, elementi analize rizika (metodologija procjene, kriteriji, itd), drugi nivo čine procesi odnosno procedure, treći nivo su uputstva, te četvrti nivo zapisi. Prvi nivo rješava tim specijalista za procjene rizika te rukovodstvo firme koje prihvaća razne dokumente uz koordinaciju menadžera informacijske sigurnosti. Drugi nivo su procedure koje se koriste u svakodnevnoj funkciji ISMS, a koje se po principu najbolje prakse mogu koristiti iz svjetske baze znanja. Tu glavnu riječ vode menadžeri informacijske sigurnosti u susradnji s izvršiocima posla u organizaciji. Treći nivo – uputstva, u pravilu rade eksperti iz pojedinih područja. To su u pravilu problemi vezani za tehnički aspekt sigurnosti – ne za organizacioni. Tu je nemoguće bilo što napraviti bez učešća eksperata iz pojedinih područja. Četvrti nivo su zapisi kojima se dokazuje da je ISMS radio u skladu s definiranim pravilima onako kako je to organizacija uspostavila. No jedna mala digresija: analizom incidenata u svijetu vezano za informacijsku sigurnost pokazuje se da je oko 20% sve nesigurnosti u sferi tehnologije, a ostalih 80% u sferi organizacije. Kad bi tehnologija za sigurnost bila tako moćna da rješava sve ili barem većinu problema, onda bi to bilo sjajno. No, dok su ljudi sastavni dio ISMS, zaboravite sigurnost bez savršene organizacije. Zbog toga upravo i postoji ISO 27001. Ja bih u svakom slučaju to i ovako naglasio: onaj tko ne shvaća da je dobra organizacija i provođenje te organizacije u skladu s dogovorenim pravilima ako ne najvažnija, onda jednako važna kao i tehničko-tehnološke mjere zaštite, sigurno nije dorastao problemu integralne zaštite informacijskog sustava.
   
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu. Sada je pitanje kakve zaključke čitatelji trebaju donijeti. Ima raznih čitatelja. Ako su kao ja, onda je moj zaključak: točno ali nedorečeno s namjerom da se da negativna konotacija. Mogu li dati odgovor s drugim pitanjem? Znam da to nije pristojno, ali evo pitanja: ako ugradite protuprovalna vrata na stan, da li to znači da vas lopov neće moći pokrasti? Da li ta protuprovalna vrata garantiraju 100% sigurnost stana? Ili recimo, kada položite vozački ispit i dobijete dozvolu u skladu s nacionalnim zakonom o saobračaju, znači da imate certifikat da ste vozač. Da li je to garancija da nećete napraviti nikada saobraćajni prekršaj ili udes? Kada završite medicinski faktultet i dobijete diplomu (certifikat) da ste liječnik, da li je to bilo kojem pacijentu garncija da ćete svakog liječiti bez greške. U ostalom, što certifikat znači: upravo ono što je zapisano – u jednom trenutku (kada se vrši audit - provjera) dokazali ste da ste zadovoljili neke kriterije koje je društvo propisalo. Ništa drugo certifikat ne znači niti garantira. Da li će se kasnije raditi u skladu s time što certifikat znači, nije problem niti standarda niti certifikata. No, ima jedna mala tajna: toliko je jednostavno utvrditi da netko ne poštuje uspostavljeni sustav ISMS, odnosno da je sustav neefikasan, tako da se uprava nebi nikada trebala žaliti na njegovu neefikasnost, odnosno nezadovoljavanje osnovna tri aspekta informacijske sigurnosti: tajnost, dostupnost i cjelovitost informacije. Na kraju krajeva, sami hoće (vjerojatno nesvjesno) neefikasanu sigurnost informacijskog sustava, jer dozvoljavaju da tako bude.
   
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti. Dakle, prvo ISO 27001 nemože biti ni efikasan ni neefikasan. Može biti samo ISMS koji se uspostavi na temelju njega efikasan ili neefikasan. Drugo, što znači nezavisna procjena rizika? Postoji stručna i nestručna procjena rizika. Posvećenost rukovodstva, vlasništvo nad procesima i informacijskom imovinom, dovoljno visoka svjesnost o informacijskoj sigurnosti svih u sustavu ISMS, ali i još mnogo, mnogo drugih stvari su osnovni zahtjevi koje se prema ISO 27001 mora zadovoljiti. To zadovoljavanje se dokazuje auditom i tek onda dodjeljuje certifikat. Ako neka organizacija ima ISMS certifikat na temelju ISO 27001 a nezadovoljava sve te zahtjeve, nije u biti kriva organizacija, već certifikacijska kuća čiji su kriteriji poštivanja zahtjeva standarda ispod svake razine razuma i poslovnosti. U ostalom, razmislite o efikasnosti ISMS na temelju jednog slučaja iz prakse: u jednoj zagrebačkoj firmi se hvale da su uspostavili ISMS i dobili certifikat prema ISO 27001, a u biti proveli su certifikaciju, pazite ovo, ne cijele organizacije, čak ni recimo IT sektora, već samo jedne aktivnosti firme. To je vrhunac besmislenosti i neefikasnosti, ali „life is life“.
   

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti. E sa ovime se u potpunosti slažem, osim što to nije alat nego okruženje i zahtjevi koje se mora ispuniti ako se želi certificirani ISMS.

Ipak, na kraju želim reći, kada sam pročitao naslov izvornog teksta pomislio sam da ću dalje u tekstu naći objašnjenje da ISO 27001 nije dovoljan za implementaciju ISMS za dodjelu certifikata. No, kao što se iz gore navedenog vidi, smatram da su objašnja o nedovoljnosti u izvornom članku promašena. Ipak, ja bi postavio isto pitanje: 

Da li je ISO 27001 dovoljan za implementaciju i certifikaciju ISMS?

Moj odgovor je: APSOLUTNO NIKADA NIJE DOVOLJAN !

Razlog? Više nego banalan: nemoguće je uspostaviti ISMS samo na temelju ISO 27001. Postoji još niz standarda koje se u većoj ili manjoj mjeri mora/treba konzultirati i primjenjivati. Tu se stvaraju teškoće i traži prilično velika širina znanja i iskustva pri implementaciji. Uz niz dodatnih standarda nužno je koristiti nacionalnu legislativu, strukovna pravila, zahtjeve pojedinih agencija (ovisno o djelatnosti firme), te već postojeće pravilnike unutar organizacije, a ponekad i ugovorne elemente s poslovnim partnerima.

Ovdje ću samo u kratkim crtama nabrojati jedan manji dio dodatnih standarda koje bi se moralo koristiti ako se želi stvarna efikasna uspostava ISMS i certifikat prema ISO 27001.

Osnovni – nezaobilazni skup standarda koje je nužno koristiti su: ISO 27000, ISO 27001, ISO 27002, ISO 27005, (ISO 27003 i ISO 27004 za sada nisu još objavljeni, ali su izuzetno važni), ISO 9001, ISO 19011, te ISO/TR 10017:2003. Za specijalne fime tu su još standardi: ISO/IEC 27011, ISO/IEC 27779. Familija standarda serije 27k i međusobni odnosi prikazani su na donjoj slici (standardi označeni crnom bojom koriste se za certifikaciju):

Pored toga postoji još niz drugih standarda koje od slučaja do slučaja treba također primjenjivati pri implementaciji ISMS: ISO/IEC TR 13335 (1-5), ISO/IEC TR 18044, BS 25999. Uz to, veliki broj tehničkih standarda koji se propisuju za neke specifične aktivnosti unutar ISMS, a koriste se na nivou uputstava, kao npr: ISO/IEC 7816-4, ISO/TR 9564-4, ISO/TR 13569, ISO/IEC 18033-2, ISO/IEC 24759, ISO/IEC TR 15443-3, ISO/IEC 14888-3, ISO/IEC 21827, itd, itd, itd. Ta lista sigurno nije ni blizu konačna. Izbor standarda koji će se stvarno koristiti, od ovih gore navedenih, kao i nekih drugih dodatnih, isključivo zavisi od djelatnosti organizacije i tehnološke opremljenosti informacijskog sustava, ali i nivoa zahtjeva i želje uprave za kvalitetom uspostavljenog ISMS.

Na žalos nekih “stručnjaka” ni to nije sve. Ako se u organizaciji koristi pored ISMS i više drugih menadžment sustava (npr. QMS, EMS, FSMS, OHSAS, HACCP, ITIL, Service Managemen, itd), mora se razmišljati, pripremati i provoditi integraciju svih tih sustava upravljanja na temelju ISO 9001 ili još bolje prema PAS 99.

Kada se uzmu u obzir svi ti standardi, ili barem nužni skup standarda, onda se stvarno može reći da samo ISO 27001 nije dovoljan za implementaciju, certifikaciju, održavanje i poboljšanje ISMS. Ali, nemojmo biti nepošteni i da ne kažemo da je ista situacija ako želite implementirati i neki drugi menadžment sustav, kao npr: QMS, EMS, OHAS, FSMS, ITIL, BASEL II, itd.

Na kraju, umjesto zaključka, važno je napomenuti: ne postoji menadžment standard u ni jednom području koji je sam po sebi dovoljan za implementaciju i certifikaciju !!!