VELEUČILIŠTE U RIJECIPOSLOVNI ODJEL

DAVID KRNJAK

UPRAVLJANJE KONTINUITETOM POSLOVANJA

SEMINARSKI RAD

Rijeka, 2009.

VELEUČILIŠTE U RIJECIPOSLOVNI ODJEL

UPRAVLJANJE KONTINUITETOM POSLOVANJA

SEMINARSKI RAD

Predmet: Upravljanje kvalitetom informacijskih sustavaMentor: Miro FrančićStudenti: David Krnjak, MB 2422023492/06

Rijeka, svibanj, 2009.

Sadržaj

SADRŽAJ........................................................................................................................................................ 2

1 UVOD.................................................................................................................................................... 3

2 UPRAVLJANJE KONTINUITETOM POSLOVANJA.......................................................................................4

2.1 EVOLUCIJA KA BCM -U...............................................................................................................................42.2 UTJECAJ Y2K NA BCM...............................................................................................................................52.3 POVEZANOST SA ANALIZOM RIZIKA................................................................................................................6

3 KVALITETA INFORMACIJSKIH SUSTAVA I SIGURNOST.............................................................................7

3.1 STANDARDNI I NORME................................................................................................................................73.1.1 Control objectives for information and related technology (CobiT)..................................................73.1.2 IT infrastructure library (ITIL)............................................................................................................93.1.3 International Standards Organization (ISO)....................................................................................103.1.4 Disaster recovery institut (DRII)......................................................................................................113.1.5 British Standards Institution (BSI)...................................................................................................12

4 ZAKLJUČAK.......................................................................................................................................... 14

LITERATURA................................................................................................................................................ 15

2

1 UvodU današnje vrijeme svjedoci smo revolucionarnih tehnoloških postignuća. S tehnološko-znanstvenog pogleda tehnologija koju danas koristimo sutra je već zastarjela. Sva ta postignuća promijenila su spoznaju vrijednosti informacija kao primarni resurs daljnjeg razvoja, što organizacije, što društva pa možemo reći čitavog svijeta. Komunikacijske tehnologije potpuno su izbrisale geografske granice. Ljudi, usluge i informacije dostupne su pokretu, kod kuće, na poslu, u bilo kome trenu. Podjela koju smo nekada poznavali kao bogati i siromašni danas je poprimila oblik na one koji posjeduju te na one koji ne posjeduju informacije. U novije vrijeme pismenost zamjenjuje informatička pismenost, kompanije se otvaraju u virtualnim okruženjima, a ulaganja u cjelokupnu informatičko-tehnološku domenu nikad nisu bila veća. Sama činjenica da smo u relativno kratkome roku napredovali od računala prve generacije do današnjih minijaturnih računala koja ulaze u petu generaciju inteligentnih sistema, govori o naglom i kontinuiranome razvoju. U bliskoj budućnosti automatizacija svakodnevnih ljudskih poslova koja je već odavno započela biti će završena. Industrijska automatizacija odavno je na visokom nivou. Sve ovo pokazuje koliko nam je u ovome trenu, a koliko će nam u budućnosti tehnologija biti važna za normalno odvijanje privatnog i poslovnog života.

U konkurentnom okruženju kao što je danas, zahtjevi svih strana za kvalitetnijih proizvodima i uslugama konstantno raste. Paralelno s time potrebe za informacijama i pristupom tim informacijama također rastu. Pristup cjelovitim, raspoložljivim, povjerljivim informacijama postaje od presudne važnosti u poslovnome svijetu. S povećanjem ovisnosti o informacijskih tehnologijama rastu rizici, prijetnje te ranjivosti kojima su izloženi izvori informacija.

Sustav upravljanja informacijskom sigurnošću pokušava prepoznati te rizike, te donijeti određene planove za njihovo uklanjane. Jedan dio informacijske sigurnosti odnosi se i na kontinuirano poslovanje, koje će ovaj rad pobliže opisati, kao osnova raspložljivosti informacija.

3

2 Upravljanje kontinuitetom poslovanjaOd najranijih dana naše povijesti vladari i vojskovođe shvaćali su važnost postojanja određenog mehanizma zaštite dokumenata. Postoje tragovi prvih kamenih pečata već oko 2000 godina p.n.e. 1, dok se prvi vladar koji je počeo koristiti određenu vrstu kriptografije spominje Julije Cezar. On je 50 godina p.n.e.2 oformio način kriptiranja ne bi li spriječio širenje informacija neželjenim smjerovima.

Sa dolaskom svjetskih ratova počinje i profesionalizacija informacijske sigurnosti, od kriptografije do fizičkih zaštita te klasifikacije podataka. U novije vrijeme razvojem komunikacijskih tehnologija te nakraju i interneta dolazi do sasvim drugih pogleda na sigurnost. Privreda koja je potpuno ovisna o elektroničkim medijima, pojava globalnoga terorizma te galopirajući rast računalnog kriminala doveo je do hitne potrebe za sistematizacijom informacijske sigurnosti.

Govoriti o kvalitetnom informacijskome sustavu, a ne osigurati ga od mogućih sigurnosnih rizika, u današnjem je okruženju praktički nemoguće. U slučaju povrede povjerljivosti podataka, može doći do propuštene dobiti, nedostupnost informacija vrla nas lako može koštati ugleda, dok nas prirodna katastrofa bez plana kontinuiteta poslovanja može koštati bankrota.

Upravljanje kontinuitetom poslovanja predstavlja postupak predviđanja incidenata koji mogu utjecati na kritične poslovne funkcije i procese te pripremanja odgovora na incidente kroz planirani i detaljno istraženi način.

Možemo reći da je BCM3 proces predviđanja i pripremanja na moguće incidente, u svrhu što boljeg odgovora na njih ako se oni i ostvare. Ako je plan, koji je nastao kao rezultat analize rizika dobro pripremljen, testiran, prezentiran osoblju, te ako je ključno osoblje dobro obučeno za provedbu tog plana, u slučaju katastrofe, organizacija će nastaviti raditi sa što manjim prekidom i sa što manjom razlikom od standardnog poslovanja. Ovdje se mora naglasiti da BCM ne predstavlja samo postupak izrade plana, već je on kontinuirani proces koji osigurava da su same mjere predstavljene i implementirane.

2.1 Evolucija ka BCM -uBCM je nastao kao rezultat procesa, započetog početkom 1970. godine u računalnim granama, znanog kao „Planiranje oporavka od katastrofe“ (Disaster recovery planning – DRP). U to je vrijeme shvaćeno da koncentracija podataka i sistema predstavlja rizik sam po sebi. Računalni su manageri tada predstavili danas dobro znane procedure kao izrada sigurnosne kopije (back-up) i povrat podataka iz sigurnosnih kopija (recovery), ograničenje pristupa, fizička sigurnost. Također tu se pojavljuju redundantna napajanja te arhive promjena. Tih se godina, u slučaju velikih incidenata, vrijeme za ponovnu uspostavu poslovanja mjerilo u danima. No unatoč tome, banke su od najranijih dana bile u nezavidnome položaju. Upravo njihove težnje i nemala ulaganja u instalacije i testiranje računalnih sistema na alternativnim lokacijama, te premještanje sistema za izradu sigurnosnih kopija na veće udaljenosti od samog sistema koji on štiti je doveo do velikog porasta sličnih komercijalnih usluga u 1980. –ima.

1 http://www.thebakken.org/artifacts/cylinder-seal.htm (15.04.2009)2 http://www.secretcodebreaker.com/history2.html (15.04.2009)3 Business Continuity Management

4

Bilo kako bilo, i dalje se uglavnom sve svodilo na IT. Planovi oporavka od katastrofe dokumentirali su akcije potrebne da bi se sačuvali i povratili računalni sustavi, podatci i sam informacijski sustav u globalu. Ono što se tada nije ticalo ovakvih planova je recimo kamo smjestiti ljude koji će nastaviti raditi sa tim sustavom. Tek tokom 1990. Te još više 2000. DRP se polako prebacio u BCP4 te se tako i udaljio od striktno IT voda. Danas BCP se pak promijenio u BCM te tako stavlja naglasak na upravljanje, za razliku od planiranja, a ujedno i označava kontinuirani pristup ovome problemu.

Nakon svima poznatoga 11. Rujna, rušenja WTC tornjeva u New Yorku, BCM poprima novu razinu ukupnog utjecaja na planiranje poslovnog procesa u mnogim kompanijama diljem svijeta. Taj je primjer pokazao kao se u času firme prestaju boriti sa dnevnim poslovima i počinju boriti za čisto preživljavanje. BCM se ubrzo počeo adresirati u samim zahtjevima poslovanja pri početku projekta za razliku od ranije kada se njemu pristupalo tek nakon završetka, što je naravno uvelike povećavalo troškove.

2.2 Utjecaj Y2K na BCMCijela ta zbrka, strka, hitno izdavanje zakrpa, planovi za nepredvidivi slučaj koji su okruživali Y2K 5 je imao ogromne implikacije na BCM. Na samome početku Y2K bio je strah od nepredvidivog, nepoznatog događaja koji se ticao prelaska datuma na 2000. Godinu. To je nagnalo mnoge firme da se po prvi puta zapitaju i razmisle nad svojim BCM. Ovaj je problem jedan od prvih koji je masovno podigao osviještenost o mogućim prekidima poslovanja, pomogao je u boljem shvaćanju kritičnih procesa i njihovih ranjivosti te je poboljšao komunikaciju privatnog i poslovnog sektora na hitnim i gorućim problemima.

Posao koji je tada napravljen ne bi li se osiguralo točno sistemsko adresiranje datuma dovelo je do osjetno bolje kontrole sistema u globalu, dokumentiranost sistema se poboljšala dok su neke firme po prvi put organizirale inventure podataka i podsistema. Većina organizacija do tada nije nikada shvaćala koliko su zapravo njihovi procesi i oprema ovisne o računalnome čipu. Uz samu brigu o vlastitim organizacijama, Y2K je pokazao važnost kriznog komuniciranja kod BCM –a. Nesigurnost sisteme zbog već spomenutog buga bio je globalan, pa je problem postojao i u organizacijama o kojima su ovisile druge. Tako je zabrinutost zbog mogućih gubitka struje, plina, vode, transportnih i komunikacijskih usluga nagnala je organizacije na masivnu korespondenciju te razmjenu informacija između njih isključivo vezanih uz taj zajednički problem.

Nerijetko, nakon što je Y2K prošao, ljudima koji su radili na njegovom rješavanju ponuđeno je da nastave raditi na potpunome korporativnome planu kontinuiteta poslovanja.

4 Business Continuity Planning5 Year 2000 problem

5

2.3 Povezanost sa analizom rizikaBCM je vrlo usko vezan uz analizu rizika. U mnogim organizacijama BCM se smatra dijelom ukopnog upravljanja rizikom. Ovo je osobito slučaj u financijskim institucijama gdje je analiza rizika odavno poznata, postavljena i organizirana te odgovara i izvještava sam vrh rukovodstva.

Upravljanje rizikom je proces identifikacije rizika, evaluacije njihovih mogućih posljedica te određivanje najefikasnijih rješenja kontrole tih rizika ili odgovora na njih. Cilj je smanjiti ponavljanje rizičnih događaja kada god je to moguće, a također i minimizirati težinu njihovih posljedica ako se ipak dogode. Upravljanje rizikom danas je gotovo dnevna rutina bilo kojem manageru, kako na strateškoj tako i na projektnoj ili operacijskoj razini.

Slika 1 - Ciklus upravljanja rizikom

6

3 Kvaliteta informacijskih sustava i sigurnost Polje BCM tek se prije kratko vrijeme počelo detaljno razrađivati unutar određenih preporuka, smjernica ili standarda. Do tada se uglavnom spominjao kao manji dio nekih provjera, u pravilu ne toliko detaljno opisan. Jedan od prvih važniji naglasaka na BCM dan je u standardima za informacijsku sigurnost pošto se oni direktno tiču dostupnosti informacija i podataka. Sa dolaskom danas vrlo poznatih BS 7799 te kasnije BS/ISO 17799 i ISO 27001 BCM je postao i nužan za dobivanje tih prestižnih i na tržištu traženih certifikata.

3.1 Standardni i normeRazlikujemo standarde na svjetskim razinama (ISO, IEC), regionalne (CEN), nacionalne i slično. U polju upravljanja informacijskih tehnologijama, a posredno dakle i informacijskom sigurnošću te zaštitom podataka postoji nekoliko međunarodno priznatih standarda i okvira za upravljanje i procjenu. Svi se oni u većoj ili manjoj mjeri moraju uhvatiti u koštac sa problemom kontinuiranog poslovanja, koji se uglavnom spominje u kontekstu integralnog sustava za upravljanje informacijskom sigurnosti.

3.1.1 Control objectives for information and related technology (CobiT)Nastao je 1992. Godine od strane Information Systems Audit and Control Association (ISACA) i IT Governance Institute (ITGI). Predstavlja preporuke sa stajališta revizije i kontrole IS –a. Možemo ga gledati kao skup mjera, procesa i pravila koja nam pomažu u maksimizaciji koristi informacijskog sustava. Kao što možemo vidjeti COBIT se dijelom dotiče sigurnosti i kontinuiteta u manjem broju procesa unutar DS grupe.

COBIT definira 34 IT procesa, podijeljena unutar 4 grupe.

Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podrška (DS) Isporuka i podrška (DS)

1. Planiranje i organizacija (PO) – Opisuje tehnologije i načine korištenja samih

P01 Strateško planiranje ISP02 Definiranje informacijske arhitektureP03 Određivanje tehnoloških smjernicaP04 Definiranje IT procesa, organizacije i odnosaP05 Rukovođenje IT investicijamaP06 Komuniciranje cilja i smjera rukovodstvaP07 Upravljanje ljudskim resursimaP08 Upravljanje kvalitetomP09 Procjena i upravljanje IT rizicimaP010 Upravljanje projektima

7

2. Akvizicija i implementacija (AI)– Definira zahtjeva za informacijskim tehnologijama, nabavu, primjenu te samo održavanje.

AI1 Identifikacija rješenjaAI2 Nabava i održavanje aplikacijskog softveraAI3 Nabava i održavanje tehnološke infrastruktureAI4 Korištenje i funkcionalnost radaAI5 Nabava IT resursaAI6 Upravljanje promjenamaAI7 Instalacija rješenja i promjena

3. Isporuka i podrška (DS) – Opisuje primjenu i upravljanje aplikativnim rješenjima, obuku ali se djelom bavi i sigurnošću te kontinuitetom usluga.

DS1 Definiranje i rukovođenje nivoima usluga DS2 Upravljanje vanjskim uslugamaDS3 Rukovođenje kapacitetom i performansama sustavaDS4 Osiguravanje kontinuiteta uslugaDS5 Osiguravanje sigurnosti sistemaDS6 Identifikacija i određivanje troškovaDS7 Edukacija i trening korisnikaDS8 Podrška korisnicimaDS9 Upravljanje konfiguracijomDS10 Upravljanje problemima i incidentimaDS11 Upravljanje podacimaDS12 Upravljanje pomoćnom opremomDS13 Upravljanje operativom

4. Nadzor i procjena (ME) – Opisuje postojeći sustav te njegovu usklađenost sa strategijom i ciljevima poduzeća. Također opisuje „nadzor onoga tko nadzire“ odnosno evaluaciju efikasnosti kontrola koje su na snazi.

ME1 Nadzor i procjena IT performansiME2 Nadzor i procjena internih kontrolaME3 Osiguravanje sukladnosti sa zakonskim propisimaME4 Korporativno upravljanjem IT-om

8

3.1.2 IT infrastructure library (ITIL)Predstavlja jedan od najraširenijih pristupa upravljanju IT uslugama. To je zapravo set tehnika za rukovođenje IT infrastrukturom dobivenih i prihvaćenih u poslovnom i javnom sektoru. On uključuje incidenti, promjene, kapacitet, određivanje i upravljanje razinama usluge - SLA, upravljanje sigurnošću, korisnička podrška, itd.

ITIL v3 najnovije je izdanje izdano 2007. Za razliku od v2 izdanu 2000 sastoji se od 5 kategorija:

Service Strategy Service Design Service Transition Service Operation Continual Service Improvement

Slika 2 - Grafički prikaz ITIL procesa upravljanja 6

Informacijska sigurnost jedan je do procesa koje definira ITIL v3, za razliku od v2 u kojem je ISM7 bio manje važan proces ovaj je ipak osjetno unaprijeđen. Ono što mu se često zamjera je to što su ITIL kontrole u najvećem broju orijentirane ka fizičkoj sigurnosti podataka ne toliko logičkoj i aplikacijskoj.

6 Izvor: www.algebra.hr7 Information Security Management

9

Kao prednosti ITIL –a često se navode vrlo zrele, dobro definirane detaljne upute koje se tiču same primjene IT –a te kvalitete isporučene usluge. ITIL je sam po sebi kompatibilan sa drugim standardima te se može koristiti u sprezi sa njima.

3.1.3 International Standards Organization (ISO)ISO predstavlja skup korisnički orijentiranih standarda koji pomažu razvoju i upravljanju sustava. Oni omogućavaju vrlo viski stupanj kontrole i dokumentiranosti procesa koji se odvijaju unutar organizacija. Postoji veliki broj samih ISO standarda koji se tiču različitih strukovnih grana, onaj najvažniji za samu informacijsku sigurnost sigurno je ISO 27001.

Objavljen je u listopadu 2005. godine kao zamjena za dotad dominantni standard informacijske sigurnosti BS7799-2. Ciljevi ovog standarda su ponuditi model za uspostavljanje, implementaciju, operacionalizaciju, nadzor (monitoring), reviziju, održavanje i unapređenje sustava upravljanja informacijskom sigurnošću. Kao i većina današnjih standarda kvalitete strateškog upravljanja informacijskim tehnologijama, opseg ovoga standarda prilično je širok pa tako obuhvaća veći broj detaljno razrađenih skupova kontrolnih ciljeva i smjernica za upravljanje informacijskom sigurnošću. Standard ISO 27001 može se shvatiti i kao iscrpan popis tehnika kojima se u praksi nastoji uspostaviti željena razina informacijske sigurnosti u poduzećima i ostalim organizacijama te upravljanja poslovnim rizicima i sukladnosti s pozitivnom nacionalnom i međunarodnom pravnom regulativom.

ISO 27001 se sastoji od 133 kontrole podijeljene u 11 podskupina:

Sigurnosna informacijska politika Organizacija informacijske sigurnosti Upravljanje informacijskom imovinom Sigurnost zaposlenika Fizička sigurnost i sigurnost okruženja Komunikacije i operativno upravljanje Kontrole pristupa informacijskim resursima Pribavljanje, razvoj i održavanje informacijskih sustava Upravljanje incidentima Upravljanje kontinuitetom poslovanja Sukladnost regulatornim zahtjevima

Također, kao i većina standarda, ISO 27001 ne propisuje konkretne korake i procedure niti precizno definira tehniku implementiranja. Ono što nam on nudi su unaprijed definirane kontrole koje trebaju biti zadovoljene, no ne i način kako ih zadovoljiti.

Vidi se da je cijelo jedno poglavlje dodijeljeno upravo BCM –u, no unatoč tome samo se četiri kontrole nalaze unutar tog poglavlja.

10

3.1.4 Disaster recovery institut (DRII)Donedavno, najpopularnija metodologija za upravljanje kontinuitetom poslovanja bila je upravo DRII metodologija. Ovaj je institut propisao deset smjernica koje je potrebno zadovoljiti, te tak osigurati naše poslovanje od mogućih neželjenih posljedica.

1. Inicijalizacija i upravljanje projektom 2. Procjena rizika3. Analiza utjecaja na poslovanje4. Razvoj strategija oporavka poslovanja5. Plan odziva u slučaju nužde6. Razvoj planova kontinuiteta poslovanja7. Osviještenost i obuka djelatnika8. Održavanje i vježbanje planova kontinuiteta9. Krizno komuniciranje10. Koordinacija sa državnim organima

Institut je predvidio da se prva četiri koraka izvode sekvencijalno, dok se izradi planova može simultano pristupiti. Nakon planova nastupa obuka, osvješćivanje, testiranje, vježbanje i ostali koraci. Ovaj projekt kontinuiranoga poslovanja treba promatrati kao kontinuirani proces, koji nikada nije završen. Sami planovi se moraju dorađivati zavisno o promjenama u organizaciji, obuka se mora kontinuirano provoditi, kadrovi uključeni u planove se mijenjaju, novi rizici na poslovanje se mogu pojaviti itd.

Slika 3 - Kontinuirani proces po DRII –u

11

3.1.5 British Standards Institution (BSI)

BSI grupa osnovana je 1901 8 u Londonu kao povjerenstvo za tehničke standarde, 17 godina kasnije proširuje se u standardizacijsko društvo te joj se nakon dodjele povelje mijenja i ime u današnje. BSI danas predstavlja ključni posao BSI grupe djeluje kao nacionalno standardizacijsko tijelo. Ono dakle objavljuje i priprema britanske standarde te predstavlja Veliku Britaniju u internacionalnim i europskim standardizacijskim tijelima.

BSI 2003. godine izdaje PAS 569 koji postavlja terminologiju, principe i sam proces kontinuiteta poslovanja. Točnije PAS 56 je opisao procese koji sudjeluju te sam ishod postavljanja procesa upravljanja kontinuiranim poslovanjem. Također preporučio je nekoliko praksa vezanih uz sam proces. Ovaj je standard opisao opći okvir za upravljanje rizicima te na odgovaranje na njih. Također je opisao kriterije i tehnike za provođenje evaluacije. Nastao je u suradnji sa mnogim veliki organizacijama / firmi, pa su tako poštanska služba, EDS10, Sainsbury's bili temelj za stvaranje ovoga standarda.

U studenome 2006. Godine BSI izdanje službeni standard kao nasljednik PAS 56, BS 25999-1 – „Sustav za upravljanje kontinuitetom poslovanja“. Ovaj je standard nastao također u suradnji velikih organizacija / firmi, a tokom izrade dodatne firme su bile pozvane za konzultante.

Godinu dana kasnije, u studenome 2007. izdaje se drugi dio standarda, BS 25999-2, koji je isto tako nastao u suradnji grupacije koja sačinjava BCM povjerenstvo unutar samoga BSI -a.

BS 25999 danas dakle sačinjavaju dvije publikacije, BS 25999-1 i BS 25999-2. Prvi predstavlja kodeks prakse dok drugi specificira BCM, definira zahtjeve za implementaciju, provođenje te poboljšanje dokumentiranoga BCMS 11–a. Možemo zaključiti da je prvi dio bio smjernica koja je preporučala određene koraka, dok je drugi dio internacionalna specifikacija koja nalaže određene korake.

8 Robert C McWilliam, „BSI: The first hundred years“9 Publicly Available Specifications10 Electronic Data Systems11 Business Continuity Management System

12

Standard se temelji na Plan-Do-Check-Act (PDCA) odnosno Planiraj-Učini-Provjeri-Primijeni (PUPP) modelu te s time osigurava konzistenciju sa ostalim standardima vezanih uz sisteme upravljanja kao npr. BS EN ISO 9001:2000 (Upravljanje kvalitetom), BS EN ISO 14001:1996 (Upravljanje okolinom), BSI/IEC 27001:2005:2005 (Upravljanje informacijskom sigurnošću), BS ISO/IEC 20000-2:2005 (Upravljanje IT uslugama).

Slika 4 - PDCA ciklus

Imajući na umu PDCA metodu standard se dijeli na šest poglavlja:

1. Domena standarda2. Termini i definicije3. Planiranje BCM sistema (PLAN)4. Implementacija i korištenje (DO)5. Praćenje i revizija (CHECK)6. Održavanje i poboljšanje (ACT)

13

4 ZaključakSvima postaje jasno da se informacijskome sustav budućnosti ne može potpuno vjerovati ako ga jedan interni ili eksterni rizik može u potpunosti onesposobiti. Nedopustivo je da organizacija dođe do ruba bankrota zato što je samo jedan njen krucijalan bio izložen velikoj katastrofi. U prošlosti, nekoliko se puta već cijeli svijet upoznao sa ovakvim scenarijem. Uzmemo li Y2K kao početak masovnog uvođenja i uspostavljanja BCM, a 11. Rujan kao veliki podsjetnik na važnost ovakvih planova, vidimo da se će u novije doba sve više voditi računa o kontinuitetu i kontigenciji. Prije dvije godine pojavljuje se prvi službeni standard koji definira i specificira potrebne radnje ne bi li se organizacija što je moguće bolje osigurala i pripremila na neplanirane incidente. Kroz narednih par godina za pretpostaviti je da će ISO i sam prihvatiti ovaj ili neki sličan standard, a organizacije će se moći i certificirati po njima. Kao što je već napomenuto, iako se organizacija interno pripremi i osigura najboljim mogućim mjerama, njen partner može sa svojim padom povući i sve ostale direktno ovisne o njemu. Tu treba tražiti pravi smisao standarda i potrebe za certifikatom za uspješno uvedenim BCM procesom.

14

Literatura1. Michael Gallagher, „Business Continuity Management: How to protect your company from

danger“, Financial Times Management, 20032. Mark Stamp, „Information security principles and practice“, Wiley-Interscience, 2006. 3. Thomas Norman, „Integrated security systems design: Concepts, Specifications and

Implementation“, Elsevier, 2007. 4. Saša Aksentijević, završni rad "Integralna zaštitna funkcija unutar poduzeća i sustav

upravljanja informacijskom sigurnošću – Saipem Mediteran Usluge d.o.o“ , Sveučilište u Rijeci, 2008

Ostali izvori:

1. Borea RiskManage, http://www.borea.hr/ (24.04.2009)2. Portal za infomacijsku sigurnost, http://www.sigurnost.info/ (20.04.2009)3. BS 25999-2, BSI, 20074. ISO 27001 standard, ISO, 2005

15