SISTEMI MENADŽMENTA

(prema ISO standardima)

Dr Petar Stanojević
Rizici i upravljanje rizicima
 Izvori rizika npr. obezbedjenja
Pretnje: kriminalci

Rizici kriminala
i bezbednosti

Slabosti: manjak čuvara

„Pogodne mete“
i protivmera

Trougao: krimnal, rizik, mogućnosti...

 IDENTIKU
POČETAK: J
HAZARDI (opasnosti) & EFEKTI
menadžment proces OPORAVAK

Koje su opasnosti?
HEMP
IDENTIFIKUJ Da li su ljudi, okruženje, imovina i OCENI
/ ili ugled izloženi potencijalnoj šteti?

Koji su uzroci i posljedice? KONTROLA

OCENI Koliko je verovatan gubitak kontrole?
Koji je rizik i da li je ALARP?
Mogu li uzroci biti eliminisani?

KONTROLIŠI Koje kontrole su potrebne?

Koliko su kontrole efikasne?

Mogu li se ublažiti potencijalne posledice ili posledice?

Koje mere oporavka su potrebne?
OPORAVAK
Da li su mogućnosti oporavka prikladne i dovoljne?
NIS Risk Assessment Matrix
(Matrica za ocenu rizika NIS, primer)

AK
Z
NI IZIK
R IK
Z
I RI
N J
E D K
S R
IZI
R
S OK
VI
Primeri vrednovanja verovatnoće i posledica događaja
Primeri vrednovanja verovatnoće i posledica događaja
Upravljanje rizicima
• Organizacije svih vrsta i veličina suočavaju se sa nizom rizika koji
mogu uticati na postizanje njihovih ciljeva.

• Ovi ciljevi mogu se odnositi na čitav niz aktivnosti organizacije, od

strateških inicijativa do njenih operacija, procesa i projekata, i
ogledaju se u društvenim, ekološkim, tehnološkim i
bezbednosnim ishodima, komercijalnim, finansijskim i
ekonomskim merama, kao i socijalni, kulturni, politički i uticaji na
reputaciju. Sve aktivnosti organizacije uključuju rizike kojima
treba upravljati.

• Proces upravljanja rizikom pomaže u donošenju odluka uzimajući

u obzir neizvesnost i mogućnost budućih događaja ili okolnosti
(nameravanih ili nenamernih) i njihovih efekata na dogovorene
ciljeve.
 Procena rizika i okvir upravljanja rizikom

ISO 31004 standard pretpostavlja da se procena rizika vrši u okviru i proces

upravljanja rizikom opisan u ISO 31000.
Okvir za upravljanje rizicima pruža politike, procedure i organizaciju koji će
integrisati upravljanje rizikom u celoj organizaciji na svim nivoima.
Kao deo ovog okvira, organizacija treba da ima politiku ili strategiju za odlučivanje
kada i kako treba proceniti rizike.
Konkretno, onima koji sprovode procene rizika treba da budu jasni polazni
elementi:

• kontekst i ciljevi organizacije,

• obim i vrsta rizika koji su prihvatljivi i koliko neprihvatljivi moraju biti rizici
tretirani,
• kako se procena rizika integriše u organizacione procese,
• metode i tehnike koje će se koristiti za procenu rizika i njihov doprinos riziku
procesa upravljanja,
• odgovornost i ovlašćenja za sprovođenje procene rizika,
• raspoloživi resursi za sprovođenje procene rizika,
• kako će se izveštavati i razmatrati procena rizika.
Прoцeс оцењивања ризикa у ISO 31000
Procena rizika i proces upravljanja rizikom - Opšte

Procena rizika sadrži ključne elemente procesa upravljanja rizicima koji

su definisani u ISO 31000 i sadrže sledeće elemente:

• komunikacija i konsultacije;
• uspostavljanje konteksta; procena rizika (obuhvata identifikaciju,
analizu i procenu rizika);
• tretiranje rizika;
• praćenje i pregled.

Procena rizika nije samostalna aktivnost i treba je u potpunosti

integrisati u druge komponente u procesu upravljanja rizikom.
 Komunikacije i konsultacije

Uspešna procena rizika zavisi od efikasne komunikacije i konsultacija sa

akterima. Uključivanje zainteresovanih strana u proces upravljanja rizikom
doprineti:

• razvijanju komunikacionog plana,

• odgovarajućem definisanju konteksta,
• osiguravanju da se interesi zainteresovanih strana shvate i razmotre,
• objedinjavanju različitih oblasti stručnosti za identifikovanje i analizu rizika,
• osiguravanju da se različiti stavovi na odgovarajući način uzimaju u obzir pri
proceni rizika,
• osiguravanju da se rizici adekvatno identifikuju,
• obezbeđivanju odobrenja i podrške za plan tretiranja rizika.

Akteri bi trebalo da doprinesu povezivanju procesa procene rizika sa drugim

disciplinama upravljanja, uključujući upravljanje promenama, upravljanje
projektima i programima, a takođe i finansijskom upravljanju.
 Uspostavljanje konteksta
Uspostavljanjem konteksta definišu se osnovni parametri za upravljanje rizikom i
postavlja obim i kriterijumi za ostatak procesa.
Utvrđivanje konteksta uključuje razmatranje unutrašnjih i spoljnih parametara
relevantnih za organizaciju u celini, kao i osnova za pojedine rizike koji se
procenjuju.
U utvrđivanju konteksta, ciljevi procene rizika, kriterijumi rizika i procena rizika
programa utvrđuju se i dogovaraju.
Za određenu procenu rizika, uspostavljanje konteksta trebalo bi da uključuje
definiciju eksterni, interni i kontekst upravljanja rizikom i klasifikacija kriterijuma
rizika:

Uspostavljanje spoljnog konteksta podrazumeva upoznavanje okoline u kojoj se

organizacija i sistem funkcionišu uključujući:

a) kulturno, političko, pravno, regulatorno, finansijsko, ekonomsko i konkurentno

okruženje/faktori, bilo da su međunarodni, nacionalni, regionalni ili lokalni;
b) ključni pokretači i trendovi koji utiču na ciljeve organizacije; i
c) percepcije i vrednosti spoljnih zainteresovanih strana.
Uspostavljanje unutrašnjeg konteksta uključuje razumevanje:
• mogućnosti organizacije u pogledu resursa i znanja,
• tokova informacija i procesa donošenja odluka,
• interne aktere,
• ciljeva i strategija koje su na snazi za njihovo postizanje,
• percepcije, vrednosti i kultura,
• politike i procesi,
• standarde i referentne modele koje je usvojila organizacija, i
• strukture (npr. Upravljanje, uloge i odgovornosti);
• definisanje odgovornosti i odgovornosti,
• definisanje obima aktivnosti upravljanja rizikom koje treba sprovesti,
• definisanje obima projekta, procesa, funkcija ili aktivnosti u smislu vremena i
lokacija,
• definisanje odnosa između određenog projekta ili aktivnosti i drugih
projekata ili aktivnosti organizacije,
• definisanje metodologija procene rizika,
• definisanje kriterijuma rizika,
• definisanje načina na koji se ocenjuju performanse upravljanja rizikom,
• identifikovanje i preciziranje odluka i radnji koje treba doneti, i
• identifikovanje potrebnih studija opsega ili kadriranja, njihovog obima,
ciljeva i resursa potrebni za takve studije.
 Definisanje kriterijuma rizika

Definisanje kriterijuma rizika uključuje odlučivanje vezano za:

• prirodu i vrste posledica koje treba uključiti i kako će se meriti,

• način na koji se izražavaju verovatnoće,
• kako će se utvrditi nivo rizika,
• kriterijumi po kojima će se odlučiti kada na rizik moramo delovati,
• kriterijumi za odlučivanje kada je rizik prihvatljiv i / ili podnošljiv,
• da li će se i kako kombinacije rizika uzimati u obzir.

Kriterijumi se mogu zasnivati na izvorima kao što su:

• dogovoreni ciljevi procesa,

• kriterijumi identifikovani u specifikacijama,
• opšti izvori podataka,
• opšteprihvaćeni industrijski kriterijumi kao što su nivo integriteta sigurnosti,
• apetit za organizacioni rizik,
• zakonski i drugi zahtevi za određenu opremu ili aplikacije.
 Identifikacija rizika
Identifikacija rizika je postupak pronalaženja, prepoznavanja i evidentiranja rizika.

Svrha identifikacije rizika je utvrđivanje šta bi se moglo dogoditi ili koje situacije mogu
postojati a koje bi mogle uticati na postizanje ciljeva sistema ili organizacije.
Kada se rizik identifikuje, organizacija treba da identifikuje sve postojeće kontrole kao
što su karakteristike projekta, ljudi, procese i sistemi.
Proces identifikacije rizika uključuje utvrđivanje uzroka i izvora rizika (opasnost u
kontekstu fizičke štete), događaja, situacija ili okolnosti koji bi mogli imati materijalni
uticaj na ciljeve i prirodu tog uticaja
Metode identifikacije rizika mogu da uključuju:

• metode zasnovane na „dokazima“, čiji su primeri kontrolne liste i pregledi istorije,

podaci;
• sistematski timski pristupi gde tim stručnjaka sledi sistematski proces do
identifikacije rizika pomoću strukturiranog skupa pitanja;
• tehnike induktivnog zaključivanja kao što je HAZOP.

Različite tehnike podrške mogu se koristiti za poboljšanje tačnosti i potpunosti

indentifikacije rizika poput, brejnstorminga ili Delphi metodologije.
 Analiza rizika
U nekim okolnostima, posledica može nastati kao rezultat niza različitih
događaja ili uslova ili tamo gde određeni događaj nije identifikovan. U ovom
slučaju, fokus procene rizika je na analizi važnosti i ranjivosti komponenata
sistema sa ciljem da se definišu tretmani koji se odnose na nivo zaštite ili
strategije oporavka.

Metode koje se koriste za analizu rizika mogu biti kvalitativne,

polukvantitativne ili kvantitativne.

Stepen potrebnih detalja zavisiće od konkretne primene, dostupnosti

pouzdanih podataka i potreba organizacije u donošenju odluka. Neke
metode i stepen detaljnosti analize mogu biti propisani zakonodavstvom.
„Kontrole“
Nivo rizika zavisiće od adekvatnosti i efikasnosti postojećih kontrola (uređaja,
mehanizama, pregleda, merenja i sl.).

Pitanja koja treba adresirati uključuju:

• koje su postojeće kontrole za određeni rizik?

• da li su ove kontrole sposobne da adekvatno tretiraju rizik tako da se
kontroliše do nivoa da je to podnošljivo?
• u praksi, da li komande rade na predviđeni način i mogu li se smatrati
efikasnim kada je to potrebno?

Na ova pitanja može se pouzdano odgovoriti samo ako postoji odgovarajuća

dokumentacija i procesi potvrđivanja u praksi.
 Preliminarna analiza

Rizici se moraju razmatrati kako bi se identifikovali najznačajniji rizici ili kako bi se

isključili manje značajni ili manji rizici iz dalje analize.

Svrha je osigurati da resursi budu usmereni na najvažnije rizike.

Treba voditi računa da se saberu „niski“ rizici koji se javljaju često i imaju značajan
kumulativni efekat

Preliminarna analiza određuje jedan ili više sledećih pravca delovanja:

• odluke za tretman rizika bez dalje procene;

• izdvajanje beznačajnih rizika;

• nastaviti sa detaljnijom procenom rizika.

Početne pretpostavke i rezultati treba da budu dokumentovani.

Procena rizika
Procena rizika uključuje upoređivanje procenjenih nivoa rizika sa
kriterijumima rizika (tabele, matrice rizika) definisanim kada je uspostavljen
kontekst, kako bi se utvrdio značaj nivoa i vrste rizika.

Procena rizika koristi za razumevanje rizika dobijenog tokom analize rizika i

za donošenje odluka o budućim akcijama.

Etička, pravna, finansijska i druga razmatranja, uključujući percepciju rizika,

takođe su ulazni podaci za odluku.

Odluke mogu da uključuju:

• da li je riziku potreban tretman;

• prioriteti za tretman;
• da li treba preduzeti neku aktivnost;
• kojim od brojnih puteva treba ići.
 Procena rizika

Procena rizika je ukupan proces identifikacije rizika, analize rizika i procene

rizika.
Rizici se mogu proceniti na organizacionom nivou, na nivou odeljenja, za
projekte, pojedinačne aktivnosti ili kao specifični rizici.
Različiti alati i tehnike mogu biti prikladni u različitim kontekstima.
Procena rizika pruža razumevanje rizika, njihovih uzroka, posledica i njihove
verovatnoće.
Ovo daje ulaz u odluke o tome:

• da li treba preduzeti neku aktivnost;

• kako maksimizirati mogućnosti;
• da li treba tretirati rizike;
• o izboru između opcija sa različitim rizicima;
• davanju prioriteta opcijama tretiranja rizika;
• najprikladnijem izboru strategija tretiranja rizika koje će dovesti do
dovođenja nepovoljnih rizika za podnošljiv nivo.
 Tretman rizika

Po završetku procene rizika, tretman rizika uključuje odabir i saglasnost sa

jednom ili više relevantnih opcija za promenu verovatnoće pojave, efekta rizika
ili oboje, i primenu ovih opcija.

Nakon toga sledi ciklični proces ponovne procene novog nivoa rizika, s ciljem
da se određivanje njegove podnošljivosti prema prethodno postavljenim
kriterijumima, kako bi se odlučilo da li je potreban dalji tretman.
 Praćenje i pregled

Kao deo procesa upravljanja rizicima, rizici i kontrole treba da se prate i

preispituju redovno da se provere da li:

• pretpostavke o rizicima ostaju na snazi;

• pretpostavke na kojima se zasniva procena rizika, uključujući spoljnu i
unutrašnju kontekst, ostaju na snazi;
• se postižu se očekivani rezultati;
• su rezultati procene rizika su u skladu sa stvarnim iskustvom;
• se tehnike procene rizika pravilno primenjuju;
• su tretmani rizika su efikasni.

Treba uspostaviti odgovornost za praćenje i vršenje pregleda.

Praćenje i pregled procene rizika

Proces procene rizika će naglasiti kontekst i druge faktore za koje se može
očekivati da se vremenom menjaju i koji mogu promeniti ili obesmisliti
prethodnu procenu rizika. Ovi faktori trebaju biti posebno identifikovani za
kontinuirano praćenje i preispitivanje, kako bi se procena rizika mogla ažurirati
kada je to potrebno.

Primena procene rizika tokom faza životnog ciklusa

Za mnoge aktivnosti, projekte i proizvode može se smatrati da imaju životni

ciklus počev od početnog koncepta i definicije, realizacije do konačnog završetka
koji može uključivati razgradnju i odlaganje hardvera.
Procena rizika može se primeniti u svim fazama životnog ciklusa i obično se
primenjuje više puta sa različitim nivoima detalja kako bi se pomoglo u odlukama
koje treba doneti u svakoj fazi.
 Dokumentovanje
Opseg izveštaja zavisiće od ciljeva i obima procene.
Osim vrlo jednostavnih procena, dokumentacija može sadržati:
• ciljeve i obim;
• opis relevantnih delova sistema i njihovih funkcija;
• rezime spoljnog i unutrašnjeg konteksta organizacije i kako se odnosi situacija, sistem
ili okolnosti koje se procenjuju;
• primenjeni kriterijumi rizika i njihova opravdanost;
• ograničenja, pretpostavke i opravdanje hipoteza;
• metodologija procene;
• rezultati identifikacije rizika;
• podaci, pretpostavke i njihovi izvori i validacija;
• rezultati analize rizika i njihova procena;
• analiza osetljivosti i nesigurnosti;
• kritične pretpostavke i drugi faktori koje treba pratiti;
• diskusije o rezultatima;
• zaključci i preporuke;
• reference.
Ako procena rizika podržava kontinuirani proces upravljanja rizicima, to bi trebalo biti
izvedena i dokumentovana na takav način da se može održavati tokom životnog ciklusa
sistema, organizacije, opreme ili aktivnosti.
Organizacioni & menadžment
aspekti upravljanja rizicima
ISO 31000 – Elementi okvira upravljanja rizicima
Postoji nekoliko prednosti koje mogu nastati kada se elementi okvira integrišu u upravljanje, funkcije i
procese organizacije.
Oni se odnose na organizacionu efikasnost, donošenje odluka i efikasnost:
a) Okvir za upravljanje rizikom treba ostvariti integrisanjem njegovih komponenti u ukupni sistem
upravljanja i donošenja odluka organizacije, bez obzira da li je sistem formalan ili neformalan; postojeći
procesi upravljanja mogu se poboljšati pozivanjem na ISO 31000.
b) Razumevanje i upravljanje nesigurnošću postaje sastavna komponenta u sistem (i) upravljanja,
uspostavljajući zajednički pristup za organizaciju.
c) Primena procesa upravljanja rizikom može se proporcionalno prilagoditi veličini i zahtevima
organizacije.
d) Upravljanje (tj. usmeravanje i nadzor) politike, okvir i procesi mogu biti integrisani u postojeće
organizacione aranžmane upravljanja.
e) Izveštavanje o upravljanju rizicima integrisano je sa ostalim upravljačkim izveštajima.
f) Učinak upravljanja rizikom postaje sastavni deo celokupnog pristupa meranja učinka.
g) Interakcija i veza između često odvojenih polja upravljanja rizikom u organizaciji (npr. upravljanje
rizikom preduzeća, upravljanje finansijskim rizicima, upravljanje rizikom projekta, sigurnost i
upravljanje sigurnošću, upravljanje kontinuitetom poslovanja, upravljanje osiguranjem) će biti
poboljšana, jer će pažnja sada biti prvenstveno usmerena na postavljanje i postizanje ciljevi
organizacije, uzimajući u obzir rizik.
h) Komunikacija o neizvesnosti i riziku između menadžerskih timova i menadžmenta su poboljšani
i) Silosi aktivnosti upravljanja rizikom unutar organizacionog centra za postizanje organizacionih ciljeva su
sada u zajedničkom fokusu.
j) Možda postoje indirektne društvene koristi kao npr. spoljne organizacije i zainteresovane strane mogu
biti motivisane da poboljšaju svoje aktivnosti upravljanja rizikom.
k) Tretman rizika i kontrole mogu postati sastavni deo svakodnevnih operacija.
Planiraj, uradi, proveri, deluj
Upravljanje sa stanovišta rizika
Usklađivanje sa propisima
i standardima
Primer rizika bezbednosti-obezbeđenja
Dizajniranje - uspostavljanje okvira (ISO
31004)
Treba proceniti postojeće pristupe upravljanju rizicima u
trenutnoj organizaciji, uključujući kontekst i kulturu:
a) Važno je razmotriti sve zakonske, regulatorne ili obaveze
kupaca i sertifikacione zahteve koji proizilaze iz bilo kog sistema
upravljanja i standarda koje organizacija želi da implementura ili
je obavezana prema propisima
b) Važno je uzeti u obzir i postupak koji se koristi za upravljanje
rizicima i aspekte postojećeg rizika, odnosno upravljački okvir koji
omogućava primenu ovog procesa.
c) Treba uspostaviti odgovarajuće kriterijume rizika. Kriterijumi
rizika moraju biti u skladu sa ciljevima organizacije i usklađeni sa
njenim stavom o riziku.
Za efikasno upravljanje rizikom važno je da su kriterijumi rizika
razvijeni da odražavaju stav i ciljeve organizacije u vezi sa rizikom.
Za dizajniranje novog okvira baziranog na rizicima,
konkretno, treba proceniti sledeće (ISO 31004):

• principi i atributi, kako su opisani u ISO 31000;

• prethodni okvir čija bi evaluacija trebalo da uporedi naročito trenutnu praksu sa
zahtevima sledećih podtačaka ISO 31000:
• 2009: - 4.3.2 (politika upravljanja rizikom);
• 4.3.3 (odgovornost);
• 4.3.4 (integracija u organizacione procese);
• 4.3.5 (resursi);
• 4.3.6 i 4.3.7 (unutrašnja i spoljna komunikacija i mehanizmi izveštavanja);
• proces, čija bi evaluacija trebalo da uporedi elemente postojećih procesa u ISO
31000: 2009, tačka 5,
• osnovni principi koji pokreću i pružaju obrazloženje procesa sa principima
utvrđenim u ISO 31000: 2009, tačka 3 (npr. da li je ovo proces koji se zapravo
primenjuje na donošenje odluka na svim nivoima):
• proceniti da li trenutni proces pruža onima koji donose odluke informacije o
riziku koje oni uzimaju u obzir kod potreba za donošenjem kvalitetnih odluka i
ispunjavanjem ili premašivanjem ciljeva;
• proceniti da li se postojeći pristupi za upravljanje rizikom u dovoljnoj meri bave
međusobno povezanim odnosima rizika i rizicima koji se javljaju na više lokacija.
 Ocena rizika po bezbednost
(primer ISO 28000)
• Organizacija mora da uspostavi i održava procedure za stalno identifikovanje i ocenjivanje
pretnji po bezbednost, pretnji i rizika koji se odnose na menadžment obezbeđenjem i
identifikovanje i primenu potrebnih mera upravljanja.
• Identifikovanje pretnji i rizika po bezbednost, ocena i metode upravljanja treba, kao
minimum, da odgovaraju prirodi i obimu operacija. Ovim ocenjivanjem mora se uzeti u obzir
verovatnoća događaja i sve njegove posledice koje moraju obuhvatiti:

• Pretnje i rizike po fizička oštećenja, kao što su funkcionalni otkazi, šteta u slučaju incidenta,
zlonamerna šteta ili teroristička ili kriminalna radnja;
• Pretnje i rizike u radu, uključujući upravljanje obezbeđenjem, ljudske faktore i druge aktivnosti koje
utiču na performanse organizacije, uslove ili bezbednost;
• Prirodne pojave u okruženju (oluja, poplave itd.) koje mogu da učine da mere obezbeđenja i
oprema budu neefektivne;
• Faktore kojima organizacija ne upravlja, kao što su nedostaci u eksterno nabavljenoj opremi i
uslugama;
• Pretnje i rizike po zainteresovane strane kao što su nedostaci u ispunjavanju zahteva zakona i
drugih propisa ili šteta po ugled ili brend;
• Projektovanje i ugradnju opreme za obezbeđenje, uključujući zamenu, održavanje itd.
• Menadžment informacijama i podacima i komunikacije;
• Pretnju po kontinuitet operacija.
Ocena rizika
• Organizacija mora da osigura da se rezultati ocenjivanja
rizika i efekti ovih upravljanja uzimaju u obzir i, onda
kada je to pogodno, pruže ulazne elemente za:
• opšte i posebne ciljeve menadžmenta obezbeđenjem;
• programe menadžmenta obezbeđenjem;
• utvrđivanje zahteva za projektovanje, specifikaciju i ugradnju;
• identifikovanje odgovarajućih resursa, uključujući broj
zaposlenih;
• identifikovanje potreba za obukom i veštinama (videti 4.4.2);
• razvoj upravljanja operacijama (videti 4.4.6);
• sveobuhvatni okvir menadžmenta pretnjom i rizikom.
Opšti ciljevi menadžmenta obezbeđenjem

Organizacija mora da uspostavi, primeni i održava dokumentovane opšte ciljeve menadžmenta

obezbeđenjem na relevantnim funkcijama i nivoima u okviru organizacije. Opšti ciljevi moraju da
proističu iz politike i da su konzistentni sa politikom. Kada uspostavlja i preispituje svoje opšte
ciljeve, organizacija mora da uzme u obzir:
• zahteve zakona i drugih propisa u vezi sa obezbeđenjem;
• pretnje i rizike po bezbednost;
• tehnološke i druge opcije;
• finansijske, radne i poslovne zahteve;
• gledišta odgovarajućih zainteresovanih strana.

Opšti ciljevi menadžmenta obezbeđenjem moraju da budu:

• konzistentni sa opredeljenjem organizacije za stalna poboljšavanja;

• kvantifikovani (onda kada je to praktično primenljivo);
• saopšteni svim relevantnim zaposlenima i trećim stranama, uključujući ugovarače, sa
namerom da te osobe budu svesne svojih pojedinačnih obaveza;
• periodično preispitivani kako bi se osiguralo da su i dalje relevantni i konzistentni sa politikom
menadžmenta obezbeđenjem. Onda kada je to potrebno, opšti ciljevi menadžmenta
obezbeđenjem moraju biti izmenjeni u skladu s tim.
 Programi menadžmenta obezbeđenjem
• Organizacija mora da uspostavi, primeni i održava programe menadžmenta
obezbeđenjem za ostvarivanje svojih opštih i posebnih ciljeva.
• Programi moraju da budu optimizirani, zatim postavljeni po prioritetu, a potom
organizacija mora da preduzme mere za efikasno i troškovno efektivno sprovođenje
ovih programa.

To mora da obuhvati dokumentaciju koja opisuje:

• a) dodeljene odgovornosti i ovlašćenja za ostvarenje opštih i posebnih ciljeva

menadžmenta obezbeđenjem;
• b) sredstva i rokove pomoću kojih će opšti i posebni ciljevi menadžmenta
obezbeđenjem biti ostvareni.

Programi menadžmenta obezbeđenjem moraju se periodično preispitivati kako bi se

osiguralo da su i dalje efektivni i konzistentni sa politikom i strategijom
 Struktura, ovlašćenja i odgovornosti za menadžment obezbeđenjem
Organizacija mora da uspostavi i održava organizacionu strukturu (uloge, odgovornosti i ovlašćenja konzistentno
dostignućima svoje politike menadžmenta obezbeđenjem, opštim i posebnim ciljevima i programima.
Ove uloge, odgovornosti i ovlašćenja moraju da budu definisane, dokumentovane i saopštene pojedincima
odgovornim za primenu i održavanje.
Najviše rukovodstvo mora da obezbedi dokaze o svojoj privrženosti razvoju i primeni sistema menadžmenta
obezbeđenjem i o stalnom poboljšavanju njegove efektivnosti putem:
• imenovanja predstavnika najvišeg rukovodstva koji, bez obzira na ostale odgovornosti, mora da bude odgovoran i
za celokupno projektovanje, razvoj, održavanje, dokumentaciju i poboljšavanje sistema menadžmenta
obezbeđenjem organizacije;
• imenovanja člana/članova rukovodstva, sa neophodnim ovlašćenjima za osiguranje da su opšti i posebni ciljevi
primenjeni;
• identifikovanje i praćenje zahteva i očekivanja zainteresovanih strana organizacije i blagovremeno preduzimanje
odgovarajućih mera za upravljanje ovim očekivanjima;
• osiguranje dostupnosti odgovarajućih resursa;
• razmatranje štetnog uticaja koji politika menadžmenta obezbeđenjem, opšti i posebni ciljevi, programi itd. mogu
imati na ostale aspekte organizacije;
• osiguranje da su svi programi obezbeđenja izrađeni u drugim delovima organizacije komplementarni sa
sistemom menadžmenta obezbeđenjem;
• saopštavanje u organizaciji značaja ispunjavanja zahteva njenog sistema menadžmenta obezbeđenjem radi
usklađivanja sa njenom politikom;
• osiguranje da su pretnje i rizici koji se odnose na bezbednost su vrednovani i obuhvaćeni ocenjivanjem pretnji i
rizika organizacije, kada je to pogodno;
• osiguranje izvodljivosti opštih i posebnih ciljeva i programa menadžmenta obezbeđenjem.
 Kompetentnost, obuka i svest
Organizacija mora da osigura da je ono osoblje koje je odgovorno za razvoj
i primenu opreme za obezbeđenje i procesa i menadžment njima
odgovarajuće kvalifikovano u smislu obrazovanja, obuke i/ili iskustva.
Organizacija mora da uspostavi i održava procedure da bi osobe koje rade
za nju ili u njeno ime bile svesne:

• značaja usklađenosti sa politikom i procedurama menadžmenta

obezbeđenjem i zahtevima sistema menadžmenta obezbeđenjem;
• svojih uloga i odgovornosti za dostizanje usklađenosti sa politikom i
procedurama menadžmenta obezbeđenjem i zahtevima sistema
menadžmenta obezbeđenjem, uključujući i zahteve za spremnost i
reagovanje u vanrednim situacijama;
• mogućih posledica na bezbednost organizacije nesprovođenjem
specificiranih radnih procedura.

Zapisi o kompetentnosti i obuci moraju da se čuvaju.

Komuniciranje

• Organizacija mora da ima procedure za osiguranje

da su odgovarajuće informacije o menadžmentu
obezbeđenjem saopštene zaposlenima,
ugovaračima i drugim zainteresovanim stranama i
da su dobijene od njih.
• Zbog osetljive prirode izvesnih informacija u vezi sa
obezbeđenjem, dužna pažnja treba da se posveti
osetljivosti informacija pre njihovog slanja.
 Dokumentacija

• Organizacija mora da uspostavi i održava sistem dokumentacije u

menadžmentu obezbeđenjem koji obuhvata, ali nije ograničen
samo na sledeće:
• politiku obezbeđenja, opšte i posebne ciljeve,
• opis predmeta i područja primene sistema menadžmenta obezbeđenjem,
• opis glavnih elemenata sistema menadžmenta obezbeđenjem i njihovog
međusobnog delovanja i pozivanje na dokumenta koja su vezi sa njima,
• dokumenta, uključujući i zapise, koje zahteva ovaj međunarodni standard i
• dokmenta, uključujući i zapise koje je odredila organizacija kao potrebne za
osiguranje efektivnog planiranja, rada i upravljanja procesima koji se
odnose na njene značajne rizike i opasnosti po bezbednost.
• Organizacija mora da utvrdi osetljivost informacija sa stanovišta
obezbeđenja i mora da preduzme korake da spreči neovlašćene
pristupe njima.
 Upravljanje dokumentima i podacima

• Organizacija mora da uspostavi i održava procedure za upravljanje svim

dokumentima, podacima i informacijama, zahtevanim u tački 4 ovog
međunarodnog standarda (ISO 28000), radi osiguranja da:

• ova dokumenta, podaci i informacije mogu da budu smešteni tako da im

pristupaju samo ovlaščćeni pojedinci;
• ova dokumenta, podaci i informacije jesu periodično preispitivana, menjana ako
je to potrebno, i da ih ovlašćene osobe odobravaju u pogledu adekvatnosti;
• važeće verzije relevantnih dokumenata, podataka i informacija jesu raspoložive
na svim lokacijama na kojima se obavljaju poslovi bitni za efektivno
funkcionisanje sistema menadžmenta obezbeđenjem;
• zastarela dokumenta, podaci i informacije jesu odmah uklonjeni sa svih mesta
na kojima se izdaju i koriste, ili da se na drugi način osiguravaju od
nepredviđenog korišćenja;
• arhivska dokumenta, podaci i informacije koje moraju da se čuvaju u svrhe
zakona i učenja, ili i jedno i drugo, na odgovarajući način jesu identifikovana;
• ova dokumenta, podaci i informacije jesu bezbedni i, ako su u elektronskom
obliku, da je sačinjena elektronska kopija koja može da se otvori.
 Operativno upravljanje

• Organizacija mora da identifikuje one operacije i aktivnosti koje su neophodne za

ostvarenje:
• njene politike menadžmenta obezbeđenjem,
• upravljanja aktivnostima i smanjivanje pretnji za koje je utvrđeno da imaju značajan rizik,
• usaglašenosti sa zakonskim i drugim propisima za obezbeđenje,
• njenih opštih ciljeva menadžmenta obezbeđenjem,
• donošenja njenih programa menadžmenta obezbeđenjem,
• zahtevanog nivoa obezbeđenja lanca snabdevanja i drugih procesa.

• Organizacija mora da osigura da se ove operacije i aktivnosti izvode pod

specificiranim uslovima, i to:
• uspostavljanjem, primenomi i održavanjem dokumentovane procedure za upravljanje
situacijama u kojima njihovo odsustvo može dovesti do neuspeha u ostvarivanju operacija i
aktivnosti gore navedenih u 4.4.6.a) do f).
• vrednovanjem svih pretnji koje dolaze od aktivnosti sa ulaznog toka lanca snabdevanja i
primenjujući upravljanja za smanjivanje tih uticaja na organizaciju i druge izvršioce u
izlaznom toku lanca snabdevanja,
• uspostavljanjem i održavanjem zahteva za robu ili usluge koji utiču na bezbednost i
saopštavanjem isporučiocima i ugovornim stranama.
• Ove procedure moraju, ako to odgovara, obuhvatiti upravljanje projektovanjem,
ugradnjom, radom, rekonstrukcijom i izmene svih delova opreme, instrumentacije itd. koje
su u vezi sa bezbednošću.
 Pripravnost za vanredne situacije, odgovor i
obnavljanje bezbednosti

• Organizacija mora da uspostavi, primeni i održava odgovarajuće planove

i procedure za identifikaciju mogućih incidenata i vanrednih situacija u
vezi sa obezbeđenjem i odgovora na njih, i za sprečavanje i ublažavanje
mogućih posledica koje mogu biti povezane sa njima. Planovi i
procedure moraju obuhvatati informacije o nabavci i održavanju sve
identifikovane opreme, dobra ili usluga koji mogu biti potrebni za vreme
ili posle incidenata ili vanrednih situacija.

• Organizacija mora periodično da preispita efektivnost svoje pripravnosti

za vanredne situacije, odgovore, planove i procedure za obnavljanje
bezbednosti, naročito posle incidenata i vanrednih događaja izazvanih
pretnjama i narušavanjem bezbednosti. Organizacija mora periodično
da ispituje ove procedure, onda kada je to primenljivo.
 Praćenje i merenje performansi
obezbeđenja
• Organizacija mora da uspostavi i održava procedure za praćenje i merenje
performansi svog sistema menadžmenta obezbeđenjem. Takođe, mora da uspostavi
i održava procedure za praćenje i merenje performansi obezbeđenja. Organizacija
mora da razmotri pretnje i rizike koji su u vezi sa bezbednošću, uključujući i
mehanizme mogućih pogoršanja i njihovih posledica, onda kada utvrđuje učestalost
merenja i praćenja ključnih indikatora performansi. Te procedure moraju da pruže:

• kvalitativna i kvantitativna merenja, koja odgovaraju potrebama organizacije;

• praćenje u kojoj meri su u organizaciji ostvareni politika menadžmenta obezbeđenjem, opšti
i posebni ciljevi;
• proaktivne (preventivne) mere performansi kojima se prati usklađenost sa programima
menadžmenta obezbeđenjem, kriterijumi operativnog upravljanja i primenljivi zahtevi
zakona, propisa i drugih zahteva za obezbeđenje;
• reaktivne (korektivne) mere za praćenje performansi narušavanja bezbednosti, otkaza,
incidenata, neusaglašenosti (uključujući propuste i i lažne alarme) i drugih prethodno
prikupljenih dokaza o nedostacima performansi sistema menadžmenta obezbeđenjem;
• zapisivanje podataka i rezultata praćenja i merenja koji su dovoljni da olakšaju sledeće
analize korektivnih i preventivnih mera. Ako se za performanse i/ili merenje i praćenje
zahteva merna oprema, organizacija mora da zahteva uspostavljanje i održavanje procedura
za etaloniranje i održavanje takve opreme. Zapisi i rezultati o etaloniranju i aktivnostima na
održavanju moraju se čuvati dovoljno dugo radi usklađenosti sa zakonima i politikom
organizacije.
 Vrednovanja sistema

• Organizacija mora da vrednuje planove menadžmenta

obezbeđenjem, procedure i mogućnosti putem periodičnih
preispitivanja, ispitivanja, izveštavanja posle incidenta, naučenih
lekcija, vrednovanja performansi i vežbanja. Značajne promene ovih
faktora moraju se odmah odraziti u proceduri (procedurama).

• Organizacija mora periodično da vrednuje usklađenost sa relevantnim

zakonima i propisima, najboljom industrijskom (poslovnom) praksom,
kao i usklađenost sa sopstvenom politikom i ciljevima.

• Organizacija mora da vodi i čuva zapise o rezultatima periodičnog

vrednovanja.
 „Otkazi“ u vezi sa obezbeđenjem, incidenti,
neusaglašenosti, korektivne i preventivne
mere
• Organizacija mora da uspostavi, primeni i održava
procedure za definisanje odgovornosti i ovlašćenja za:
• vrednovanje i pokretanje preventivnih mera za identifikaciju
potencijalnih otkaza u obezbeđenju da bi se moglo sprečiti
njihovo pojavljivanje;
• Istraživanje u vezi sa obezbeđenjem:
• otkaza, uključujući i one koji "samo što se nisu dogodili" i lažne
uzbune;
• incidenata i hitnih situacija;
• neusaglašenosti;
• preduzimanje mera za ublažavanje bilo kakvih posledica koje
proizlaze iz takvih otkaza, incidenata ili neusaglašenosti;
• pokretanje i izavršenje korektivnih mera;
• potvrđivanje efektivnosti preduzetih korektivnih mera.
 Upravljanje zapisima

• Organizacija mora da uspostavi i da održava zapise neophodne za

dokazivanje usaglašenosti sa zahtevima svog sistema menadžmenta
obezbeđenjem, sa zahtevima ovog standarda i sa postignutim rezultatima.

• Organizacija mora da uspostavi, primeni i održava proceduru (procedure)

za identifikaciju, skladištenje, zaštitu, pretraživanje, vreme čuvanja i
odbacivanje zapisa.

• Zapisi moraju da budu čitki, laki za identifikovanje i sledljivost i moraju da

se održavaju.

• Elektronska i digitalna dokumentacija treba da bude zaštićena od

zloupotrebe, bezbedno sačuvana rezervna kopija i dostupna samo
ovlašćenim osobama.
Provera
• Organizacija mora da uspostavi, sprovodi i održava program
provere menadžmenta obezbeđenjem i mora da osigura da se
provere sistema menadžmenta obezbeđenjem sprovode u
planiranim intervalima, kako bi se utvrdilo da li je ili nije
sistem menadžmenta obezbeđenjem:
• usaglašen sa planiranim rešenjima za menadžment obezbeđenjem,
uključujući zahteve cele tačke 4 ove specifikacije;
• pravilno sproveden i održavan;
• efektivan u ispunjavanju politike i ciljeva menadžmenta
obezbeđenjem organizacije;
• preispita rezultate prethodnih provera i mere preduzete za
otklanjanje neusaglašenosti;
• Da bi rukovodstvu obezbedile informacije o rezultatima provere;
• Da bi verifikovalo da su pravilno raspoređeni oprema i osoblje za
obezbeđenje.
 Preispitivanje koje vrši rukovodstvo i stalno
poboljšavanje
• Rukovodstvo mora da preispituje sistem menadžmetna obezbeđenjem u
planiranim intervalima da bi se osigurali njegova pogodnost, adekvatnost i
efektivnost.
• Preispitivanja moraju da obuhvate ocenjivanje mogućnosti za
poboljšavanja i potrebe za promenama u sistemu menadžmenta
obezbeđenjem, uključujući politiku i ciljeve obezbeđenja, kao i pretnje i
rizike. Zapisi o preispitivanju koje vrši rukovodstvo moraju se čuvati.
• Ulazni elementi i preispitivanja koje vrši rukovodstvo moraju biti:
• rezultati provera i ocena usklađenosti sa zakonskim i drugim zahtevima na koje se
organizacija opredelila da ih primenjuje;
• komunikacija sa eksternim zainteresovanim stranama, uključujući žalbe;
• performanse obezbeđenja organizacije;
• nivo do kojeg su ispunjeni opšti i posebni ciljevi;
• status korektivnih i preventivnih mera;
• naknadne mere iz prethodnih preispitivanja koje je vršilo rukovodstvo;
• promenjene okolnosti, uključujući promene u zakonskim i drugim zahtevima koji
su u vezi sa aspektom bezbednosti;
• preporuke za poboljšavanje.
Medjusobna povezanost standarda
o Sistemima menadžmenta
Primer veza između ISO 28000:2007, ISO 14001:2004 i ISO
9001:2000
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000
Zahtevi sistema menadžmenta 4 Zahtevi za sistem upravljanja 4 Sistem menadžmenta 4
obezbeđenjem (samo naslov) zaštitom životne sredine (samo kvalitetom (zahtevi)
naslov)
Opšti zahtevi 4.1 Opšti zahtevi 4.1 Opšti zahtevi 4.1
Politika menadžmenta 4.2 Politika menadžmenta 4.2 Obaveze i delovanje 5.1
obezbeđenjem životnom sredinom rukovodstva
Politika kvaliteta 5.3
Stalno poboljšavanje 8.5.1
Ocena rizika po bezbednost i 4.3 Planiranje (samo naslov) 4.3 Planiranje (samo naslov) 5.4
planiranje
(samo naslov)
Ocena rizika po bezbednost 4.3.1 Aspekti životne sredine 4.3.1 Usredsređenost na korisnika 5.2
Utvrđivanje zahteva koji se 7.2.1
odnose na proizvod
Preispitivanje zahteva koji se 7.2.2
odnose na proizvod
Zahtevi zakona i drugih propisa 4.3.2 Zakonski i drugi zahtevi 4.3.2 Usredsređenost na korisnika 5.2
koji se odnose na obezbeđenje Utvrđivanje zahteva koji se 7.2.1
odnose na proizvod
Opšti ciljevi menadžmenta 4.3.3 Opšti i posebni ciljevi i 4.3.3 Ciljevi kvaliteta 5.4.1
obezbeđenjem programi Planiranje sistema 5.4.2
menadžmenta kvalitetom
Stalno poboljšavanje 8.5.1
Posebni ciljevi menadžmenta 4.3.4 Opšti i posebni ciljevi i 4.3.3 Ciljevi kvaliteta 5.4.1
obezbeđenjem programi Planiranje sistema 5.4.2
menadžmenta kvalitetom
Stalno poboljšavanje 8.5.1
Program(i) menadžmenta 4.3.5 Opšti i posebni ciljevi i 4.3.3 Ciljevi kvaliteta 5.4.1
obezbeđenjem programi Planiranje sistema 5.4.2
menadžmenta kvalitetom
Stalno poboljšavanje 8.5.1
Primena i sprovođenje 4.4 Uvođenje i sprovođenje 4.4 Realizacija proizvoda 7
(samo naslov) (samo naslov) (samo naslov)
 ISO 28000:2007 ISO 14001:2004 ISO 9001:2000
Struktura, ovlašćenja i 4.4.1 Resursi, uloge, 4.4.1 Obaveze i delovanje rukovodstva 5.1
odgovornosti za menadžment odgovornosti i ovlašćenja
obezbeđenjem Odgovornosti i ovlašćenja 5.5.1
Predstavnik rukovodstva 5.5.2
Obezbeđenje resursa 6.1
Infastruktura 6.3
Kompetentnost, obuka i svest 4.4.2 Osposobljenost, obuka 4.4.2 (Ljudski reursi) Opšte 6.2.1
i svest Osposobljenost, svest i obuka 6.2.2
Komuniciranje 4.4.3 Komunikacija 4.4.3 Interno komuniciranje 5.5.3
Komuniciranje s korisnikom 7.2.3
Dokumentacija 4.4.4 Dokumentacija 4.4.4 (Zahtevi koji se odnose na dokumentaciju) 4.2.1
Opšte
Upravljanje dokumentima i 4.4.5 Kontrola dokumenacije 4.4.5 Upravljanje dokumentima 4.2.3
podacima
Operativno upravljanje 4.4.6 Kontrola nad operacijama 4.4.6 Planiranje realizacije proizvoda 7.1
Utvrđivanje zahteva koji se odnose na proizvod 7.2.1
Preispitivanje zahteva koji se odnose na 7.2.2
proizvod
Planiranje projektovanja i razvoja 7.3.1
Ulazni elementi projektovanja i razvoja 7.3.2
Izlazni elementi projektovanja i razvoja 7.3.3
Preispitivanje projektovanja i razvoja 7.3.4
Verifikacija projektovanja i razvoja 7.3.5
Validacija projektovanja i razvoja 7.3.6
Upravljanje izmenama projektovanja i 7.3.7
razvoja
Proces nabavke 7.4.1
Informacije o nabavci 7.4.2
Verifikacija proizvoda koji se nabavlja 7.4.3
Upravljanje proizvodnjom i servisiranjem 7.5.1
Validacija procesa proiz- vodnje i servisiranja 7.5.2
Očuvanje proizvoda 7.5.5
 ISO 28000:2007 ISO 14001:2004 ISO 9001:2000
Pripravnost za vanredne 4.4.7 Pripravnost za reagovanje u 4.4.7 Upravljanje neusaglašenim 8.3
situacije, odgovor i vanrednim situacijama i odgovor proizvodom
obnavljanje bezbednosti na njih
Proveravanje i korektivne 4.5 Proveravanje (samo naslov) 4.5 Merenje, analize i poboljšavanja 8
mere (samo naslov) (samo naslov)
Praćenje i merenje 4.5.1 Praćenje i merenje 4.5.1 Upravljanje uređajima za 7.6
performansi obezbeđenja praćenje i merenje
Opšte (merenje, analiza i 8.1
poboljšavanja)
Praćenje i merenje 8.2.3
performansi procesa

Praćenje i merenje 8.2.4

karakteristika proizvoda
Analiza podataka 8.4
Vrednovanje sistema 4.5.2 Vrednovanje usaglašenosti 4.5.2. Praćenje i merenje 8.2.3
performasi procesa

Praćenje i merenje 8.2.4

karakteristika proizvoda
Otkazi u vezi sa obezbeđenjem, 4.5.3 Neusaglašenosti, korektivne i 4.5.3 Upravljanje neusaglašenim 8.3
incidenti, neusaglašenosti, preventivne mere proizvodom
korektivne i preventivne mere Analiza podataka 8.4
Korektivne mere 8.5.2
Preventivne mere 8.5.3
Upravljanje zapisima 4.5.4 Kontrola zapisa 4.5.4 Upravljanje zapisima 4.2.4
Provera 4.5.5 Interna provera 4.5.5 Interna provera 8.2.2
Preispitivanje koje vrši 4.6 Preispitivanje od strane 4.6 Opredeljenost rukovodstva 5.1
rukovodstvo i stalno rukovodstva Preispitivanje od strane 5.6
poboljšavanje rukovodstva (samo naslov)
Opšte 5.6.1
Ulazni elementi 5.6.2
preispitivanja

Izlazni elementi 5.6.3

preispitivanja

Stalno poboljšavanje 8.5.1

ISO 17000