• публикации
    18
  • коментари
    5
  • прегледи
    23831

Използване на ISO 9001 за внедряване на ISO 27001

Използване на ISO 9001 за внедряване на ISO 27001

Вторник, 07 септември, 2010

Публикувано от: Деян Кошутич

Вие вече сте внедрили ISO 9001? Чули сте, че ISO 27001 може да е добра идея? Но как може нещо, което трябва да се направи с качеството, да ви помогне да внедрите информационната сигурност?

Може повече, отколкото можете да си помислите. ISO 9001 определя как системите за управление на качеството (СУК) трябва да изглеждат, докато ISO / IEC 27001 дефинира системите за управление на сигурността на информацията (СУСИ). Затова частта "системи за управление" е една и съща – и така, за какво всъщност става въпрос?

Философията на системите за управление се е развила от теорията, разработена от У. Едуардс Деминг през втората половина на 20 век, и се основава на цикъла Plan-Do-Check-Act.(Планирай-Прави-Проверявай-Действай).

По принцип, този цикъл се състои в следното: във фазата Планиране, вие трябва да планирате какво искате да постигнете със системата за управление; във фазата Прави вие го внедрявате; във фазата Проверявай вие постоянно следите дали сте постигнали това, което сте планирали, а във фазата Действай вие правите подобрения, т.е. да запълвате прпуските между това, което сте планирали и това, което сте постигнали.

Въпреки, че този цикъл е изобретен имайки предвид управление на качеството, той се превърна в основа за всички други системи за управление - на сигурността на информацията (ISO / IEC 27001), околната среда (ISO 14001), непрекъсваемостта на бизнеса (BS 25999-2) и др.

====================================================

www.mscservices.eu - Абонаментна поддръжка на ISO системи

====================================================

Това означава, че някои от елементите, които сте приложили за системата за управление на качеството съгласно ISO 9001, можете също така да използвате за системата за управление на сигурността на информацията, ето списъка:

• Управление на документи - процедурата, използвана за управление на документи в СУК може да се използва за същата цел в СУСИ, само с малки корекции

• Вътрешен одит – една и съща процедура може да се използва за СУК и СУСИ, въпреки че самият вътрешен одит обикновено се прави от различни хора, тъй като не е много вероятно, че един и същи човек ще има достатъчно дълбоки познания едновременно в сигурността на информацията и качеството

• Коригиращи и превантивни действия - процедурата, използвана за СУК може да се използва за същата цел в СУСИ, въпреки че е вероятно различни лица да решават въпроси, свързани със СУК или СУСИ

• Управление на човешките ресурси - един и същи цикъл на планиране на човешките ресурси, обучение и оценяване се използва и за двете системи за управление, естествено разликата е в профила на необходимите умения и знания

• Преглед от ръководството - принципите за прегледа от ръководството са едни и същи и за двете системи за управление на, въпреки че не би било препоръчително да се изпълняват и двата прегледа паралелно – ако ръководството вече е свикнало да взема решения за СУК, тогава то ще има по-добро разбиране за това как да да взема решения в контекста на СУСИ

• Поставяне на бизнес цели и проследяване дали те са постигнати - един и същ механизъм е предвиден в двата стандарта, затова ръководството ще бъде използвано за такова систематично планиране

• Поради това, ако вече сте внедрили ISO 9001, вие ще имате по-лесно задача да внедрите ISO 27001 (и обратно) - можете да спестите до 30% от времето. Освен това, вие ще имате по-евтини одити за сертифициране тъй като сертифициращите органи предлагат т. нар. "интегрирани одити", което означава, че те ще направят и ISO 9001, и ISO 27001 в един и същи одит, натоварвайки ви с по-малка такса в сравнение с отделните одити.

• Ако вашата СУК функционира добре, вие ще видите, че вашият СУСИ - проект се развива по-гладко - ръководството ще има по-добро разбиране за потенциалните ползи за бизнеса, а същевременно всички организационни единици ще бъдат свикнали с необходимостта от дефиниране на точни процедури, отговорности и документирането.

• Наличието на СУК наистина дава много добра основа за сигурността на информацията - ако вече имате ISO 9001, помислете сериозно за ISO 27001.

www.mscservices.eu - Вашите ISO консултанти




0 Коментара


Все още няма коментари.

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!


Нова регистрация

Вход

Имате регистрация? Влезте от тук.


Вход