Премини към съдържанието

mscservices

Потребител
  • Публикации

    20
  • Регистрация

  • Последно онлайн

Постижения на mscservices

Изследовател

Изследовател (4/21)

  • Първа публикация
  • Сътрудник Рядка
  • Разговор за начинаещи
  • Първа седмица
  • Месец по-късно

Нови значки

10

Репутация

  1. Новият ISO 27001:2013 – две в едно: либерализация и хармонизация Славчо Ненков – 12.02.2013 Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта: Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... ), но пък има достатъчно промени в този дух. Ето основните: Няма ги задължителните документирани процедури В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване. Липсва списък със задължителните документи на СУСИ В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи. Либерализация при оценката на риска За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране. Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска. Липсва фокусът върху превантивни действия В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие. ================================================================== www.mscservices.eu - Вашите ISO консултанти ================================================================== Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други. Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес. Другите по-съществени промени в стандарта са свързани с посочените по-долу области: Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008. Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията. В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени. На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска. Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите. Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията. Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях. Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133. От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2). Включени са 9 нови механизмa за контрол както следва: - А.6.1.4 Information security in project management - A.12.6.2 Restrictions on software installation - A.14.2.1 Secure development policy - A.14.2.5 System development procedures - A.14.2.6 Secure development environment - A.14.2.8 System security testing - A.16.1.4 Assessment and decision of information security events - A.16.1.5 Response to information security incidents - A.17.2.1 Availability of information processing facilities Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти. Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията. www.mscservices.eu - Вашите ISO консултанти
  2. Какво ново в сериите стандарти ISO 27000, ISO 20000 и ISO 22300 (бизнес непрeкъсваемост)? от Славчо Ненков – 15.12.2012 Наближаващият край на годината винаги е основание за преглед на случилото се през годината, правене на анализи и дефиниране на очакванията от следващата година. Воден от този подход аз реших да направя преглед на новите стандарти, които ISO (Международната организация по стандартизация) ни предложи през 2012 г. по отношение на групите стандарти ISO 27000, ISO 20000 и ISO 22300. В групата стандарти ISO 27000 бяха публикувани 7 нови стандарта (включително нови версии на стандарти). Стандартът ISO/IEC 27000:2012 “Information technology - Security techniques - Information security management systems - Overview and vocabulary” е обновена версия на този стандарт. Той предоставя общ преглед и речник на системи за управление на сигурността на информацията, които представляват предмет на семейството СУСИ стандарти, и определя термини и определения, свързани с тях. ISO / IEC 27000:2012 е приложим за всички видове и размери на организация (например търговски предприятия, правителствени агенции, за организации с нестопанска цел). Стандартът ISO/IEC 27010:2012 “Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications” е нов стандарт от серията ISO/IEC 27000, който предоставя насоки в допълнение към насоките, дадени в семейството стандарти ISO / IEC 27000 за внедряване системи за управление на информационната сигурност в рамките на общности, споделящи информация. ISO / IEC 27010:2012 осигурява механизми за контрол и насоки, конкретно свързани с иницииране, внедряване, поддържане и подобряване на сигурността на информацията при между-организационни и между-секторни комуникации. Стандартът е приложим за всички форми на обмен и споделяне на чувствителна информация, както публична, така и частна, на национално и международно ниво, в рамките на една и съща индустрия или пазарен сектор или между секторите. В частност, той може да се прилага за обмен и споделяне на информация, свързани с предоставяне, поддържане и опазване на критичната инфраструктура на организации или на държавната администрация. Стандартът ISO/IEC 27013:2012 „Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1“ предоставя насоки за интегрирано прилагане на ISO/IEC 27001 и ISO/IEC 20000-1 за тези организации, които възнамеряват да: а) внедряват ISO/IEC 27001, когато ISO/IEC 20000-1 вече е внедрен или обратното; б) внедряват едновременно ISO/IEC 27001 и ISO/IEC 20000-1; в) интегрират съществуващите ISО/IEC 27001 и ISO/IEC 20000-1 системи за управление. ISO/IEC 27013:2012 се фокусира изключително върху интегрираното внедряване на ISO/IEC 27001:2005 и ISO/IEC 20000-1. Стандартът ISO/IEC TR 27015:2012 “Information technology - Security techniques - Information security management guidelines for financial services” дава указания по сигурността на информацията, допълващи и в добавка към механизмите за контрол на информационната сигурност, определени в ISO/IEC 27002:2005 за иницииране, внедряване, поддържане и подобряване на сигурността на информацията в рамките на организации, предоставящи финансови услуги. Стандартът ISO/IEC 27032:2012 “Information technology - Security techniques - Guidelines for cybersecurity” дава насоки за подобряване на състоянието на киберсигурността, определяйки уникалните аспекти на тази дейност и нейните зависимости от други области на сигурността, по-специално: сигурността на информацията; мрежовата сигурност; Интернет сигурността и защитата на критичната информационна инфраструктура. Той покрива базовите практики за сигурност на заинтересованите страни в киберпространството. Този международен стандарт предлага: преглед на киберсигурността; обяснение на връзката между киберсигурността и други видове сигурност; определение за заинтересовани страни, както и описание на техните роли в киберсигурността; насоки за решаване на общи проблеми на киберсигурността и рамка, която да даде възможност на заинтересованите страни да си сътрудничат за решаване на въпросите на киберсигурността. Стандартът ISO/IEC 27033-2:2012 “Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security” дава насоки на организациите да планират, разработват, внедряват и документират мрежовата сигурност. ======================================== www.mscservices.eu - Вашите ISO консултанти ======================================== Два нови стандарта бяха публикувани и в серията стандарти ISO/IEC 20000 както следва: Стандартът ISO/IEC 20000-2:2012 “Information technology - Service management - Part 2: Guidance on the application of service management systems” предоставя насоки за внедряване на системи за управление на услуги (СУУ), въз основа на изискванията на ISO/IEC 20000-1. ISO/IEC 20000-2:2012 дава възможност на организации и частни лица за по-точно тълкуване на ISO/IEC 20000-1 и следователно за по-ефективно използване. Ръководството включва примери и препоръки, даващи възможност на организациите да тълкуват и прилагат ISO/IEC 20000-1, включително препратки към други части на ISO/IEC 20000 и други приложими стандарти. Това включва насоки относно използването на системата за планиране, разработване, внедряване, доставка и подобряване на СУУ и услугите. Като минимум това включва политики за управление на услуги, цели, планове, процеси за управление на услуги, връзки между процеси, документация и ресурси. СУУ осигурява текущ контрол, по-голяма ефективност, ефикасност и възможности за непрекъснато подобряване на управлението на услугите и на самите услуги. Това дава възможност на организацията да работи ефективно с обща визия. Стандартът ISO/IEC 20000-3:2012 “Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1” е полезeн за доставчици на услуги, консултанти и оценители. Той включва и практически насоки за дефиниция на обхвата, приложимостта и доказване на съответствие с изискванията на ISO/IEC 20000-1. Включено е и ръководство за различните видове оценка на съответствието и стандарти за оценка. ISO/IEC 20000-3:2012 съдейства за установяване дали ISO/IEC 20000-1 е приложим към спецификата на доставчика на услуги. Той илюстрира как обхватът на СУУ може да бъде определен, независимо от това дали читателят има опит при определяне на обхвата на други системи за управление. Ръководството е под формата на практически примери, типични сценарии и препоръки. ISO/IEC 20000-3:2012 също така помага в планиране подобрението на услуги, както и в подготовката за оценка за съответствие с ISO/IEC 20000-1. Той допълва насоките за внедряване на ISO/IEC 20000-1, дадени в ISO IEC 20000-2. ISO (Международната организация за стандартизация) публикува 3 нови стандарта в групата стандарти ISO 22300, отнасящи се до системи за управление на бизнес непрекъсвамеостта. Стандартът ISO 22300:2012 “Societal security – Terminology” съдържа термини и определения, приложими към обществената сигурност, с цел да се установи общо разбиране и да бъдат използвани съответстващи термини. Стандартът ISO 22301:2012 “Societal security - Business continuity management systems - Requirements” определя изискванията за планиране, разработка, прилагане, работа, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление за действия при евентуални разраушителни инциденти: защита срещу инциденти, намаляване на вероятността от поява, подготовка за инциденти, реагиране и възстановяване от инциденти. Изискванията, посочени в ISO 22301:2012, са общи и предназначен да бъде приложим за всички организации, или части от тях, независимо от вида, размера и характера на организацията. Степента на прилагане на тези изисквания зависи от работната среда на организацията и сложността. Стандартът ISO 22313:2012 “Societal security - Business continuity management systems – Guidance” ISO 22313:2012 за системи за управление на непрекъснатостта на бизнеса (СУНБ) дава насоки въз основа на добрата международна практика за планиране, създаване, внедряване, експлоатация, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление, която дава възможност на организациите да се подготвят за реакция и възстановяване от разрушителни инциденти, когато те възникнат. Целта на ISO 22313:2012 не е да налага еднообразие в структурата на СУНБ, а да може организацията да разработи СУНБ, която е подходяща за нейните нужди и която отговаря на изискванията на своите заинтересовани страни. Тези нужди са определени от правните, регулаторните, организационните и браншовите изисквания, продуктите и услугите, използваните процеси, околната среда, в която организацията работи, размера и структурата й и изискванията на заинтересованите страни. ISO 22313 е приложими за всички размери и видове организации, включително големи, средни и малки организации, работещи в индустриални, търговски, обществени и сектори с нестопанска цел, които желаят да: - създадат, внедрят, поддържат и подобряват СУНБ; - гарантират съответствие с политиката за непрекъснатост на дейността на организацията; - определят и декларарират съответствие с този международен стандарт. www.mscservices.eu - Вашите ISO консултанти
  3. Използвайте ISO 22301, за да подпомогнете развитието на вашата система за управление на риска Публикувано от Чарлз Рединджър – 24.07.2012 Както бе споменато в предишния ми пост, ISO наскоро публикува стандарт за системи за управление (ССУ), посветен на непрекъснатостта на дейността. Той е озаглавен ISO 22301:2012, "Социално сигурност - Системи за управление на непрекъснатостта на на бизнеса - Изисквания". Това е един от първите ISO стандарти за системи за управление, следващ общ формат на СУ, представен в ISO Guide 83. Този пост е един от поредицата, която ще се фокусира върху ISO 22301, насочен към системи за управление на непрекъснатостта на бизнеса (СУНБ). За тези от вас, които обмислят надграждане на вашата съществуваща система за здравословни и безопасни условия на труд или система за управление на сигурността, или пък обмислят разработването на система за управление на риска, съобразена с изискванията на ISO 31000, може би искате да обмислите възможността за използване на ISO 22301 като ръководството и шаблон. Това би могло да се окаже печелившо за вас и вашата организация. Струва си да видите как 22301 решава оценката на риска. Този крайъгълен камък на системи за управление сега е определен, следвайки рамката на Guide 83. Раздел 8, озаглавен "Опериране", съдържа следните под-елементи: ==================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ==================================================== 8.1 Оперативното планиране и контрол 8.2 Анализ на въздействието върху бизнеса и оценка на риска 8.2.1 Общи 8.2.2 Анализ на въздействието върху бизнеса 8.2.3 Оценка на риска 8.3 Стратегия за непрекъснатост на дейността 8.3.1 Определяне и избор 8.3.2 Установяване на изискванията за ресурси 8.3.3 Защита и смекчаване на последиците 8.4 Създаване и внедряване на процедурите за непрекъснатост на бизнеса 8.4.1 Общи 8.4.2 Структура за реагиране на инциденти 8.4.3 Предупреждение и комуникация 8.4.4 Бизнес планове за непрекъснатост 8.4.5 Възстановяване 8.5 Проиграване и тестване Очевидно има много важни и съществени неща в този раздел. Нека задълбаем малко в 8.2.3 - Оценка на риска. Онези от вас, които са запознати с ISO 14001 и OHSAS 18001, ще видят, че 22301 включва части от ISO 31000 (за управление на риска) и посочва, че "този процес [оценка на риска] може да бъде осъществен в съответствие с ISO 31000." 8.2.3 посочва, че "организацията трябва да създаде, внедри и поддържа формален процес на оценка на риска, който системно идентифицира, анализира и оценява риска от разрушителните за организацията инциденти." Този стандарт за СУНБ продължава с изискванията за: приоритезиране на рисковете, систематичното им анализиране, оценка кои рискове с разрушителни последствия се нуждаят от третиране, и идентифициране на третирането съизмеримо с целите за бизнес непрекъсваемост и в съответствие с апетита на организацията към риска. Тази част от 22301 (§ 8.2.3) върши добра работа, накратко обобщавайки няколко ключови понятия от ISO 31000. За тези от вас, които искат да разработят и внедрят система за управление на риска, ISO 22301 дава един начин да го направят. Да, 22301 е стандарт за СУНБ, но ако се замислите ще разберете, че в много отношения за управлението на риска и управлението на непрекъснатостта може да се мисли като за взаимозаменяеми. Дори ако не го използвате по този начин, той предоставя лесен начин за справяне и подкрепа за дейности по управление на риска. Ако това е областта, която искате да обсъдите или бихте искали подкрепа, моля да ни уведомите. www.mscservices.eu
  4. Как бих избрал консултант по внедряване на система за управление (ISO система)? Славчо Ненков - iSMS Lead auditor; QMS, iSMS, ITSMS, BCMS consultant В самото начало бих искал да уточня, че тази статия не се отнася до мениджъри, които биха искали да си "купят" система за управление или още по-направо казано - да си купят сертификат. За тях критерият е ясен - най-ниската цена и тази статия е излишна загуба на време. Тази статия е за мениджърите, които освен сертификат, биха желали да получат и предимствата на една наистина работеща система в тяхната организация. Как постъпвате, когато решите, че е дошло време да внедрите система за управление (ISO система) във Вашата организа-ция? Няма проблем - ще отговорите Вие - на пазара има над 60 консултантски организации. Обикновено се обръщате към консултанта, който вече е внедрявал при Вас друга система за упарвление. Или искате препоръка за консултант, внедрявал система за управление при Ваш колега. Или пък просто търсите в интернет по ключова дума, подбирате 4-5 консултанта от първите страници на гугъл и избирате консултанта, предложил най-добра финансова оферта. А сигурни ли сте, че така правите най-добрия избор? Всеки може да даде отговор за себе си, но ето как бих постъпил аз на база досегашния си опит в тази сфера: Идеята за първичен подбор сред консултантите, внедрявали при Вас и при Ваши колеги е добра - това дава информация относно коректността на консултанта. Ако нямам такава възможност бих потърсил по интернет по ключови думи, макси-мално детайлизиращи желаната система за упарвление. След като направим подбора на потенциалните консултанти, следва да изберем своя консултант. На първо място аз бих поискал информация и доказателства какви внедрявания има всеки от така подбраните консултанти. Някои от системите за управление се считат за "масови" - такива са например системите за управление на качеството, околната среда, здравословни и безопасни условия на труд, разработвани по изискванията на стандартите ISO 9001, ISO 14001, OHSAS 18001. По тези системи работят на практика почти всички консултанти и тук рискът да попаднете на неопи-тен консултант е по-малък. Независимо от това внедряването на такива системи също изисква съответната компетентност и аз бих поискал доказателства за внедряване и обратна връзка от съответния клиент. По-различно стои въпросът с внедряване на някои системи, изискващи по-специфичен опит и познания - такива са систе-мите, внедрявани според изискванията на по-нови за българския пазар стандарти - такива са ISO 20000-1 (за системи за управление на услугите), ISO 27001 (за системи за управление на сигурността на информацията), ISO 22000 (за системи за управление на безопасността на храните), ISO 22301 (за системи за управление на непрекъснатостта на бизнеса), ISO 50001 (за системи за енергиен мениджмънт), ISO 31000 (за управление на риска). Изборът на консултант по тези стандарти е значително по-рисков тъй като не са много консултантите с опит в нашата страна. И докато по стандартите ISO 22000 и ISO 27001 наистина опитните консултанти не са много, но избор има, то по стандартите ISO 20000-1, ISO 22301, ISO 31000, ISO 50001 изборът е изключително затруднен поради малкото количество внедрени системи в страната. В този случай от изключително важно значение е внимателното проучване на консултантския опит на кандидата. Тук лесно можете да бъдете подведени, ето няколко популярни начина: ===================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ===================================================== 1. Избирате консултанти от първите страници на гугъл Грешка - класирането в гугъл е на база платена услуга или просто много добра SEO оптимизация, а не на консултантски умения 2. Избирате консултант, който е изброил огромно количество стандарти в своето портфолио Грешка - някои консултанти залагат в портфолиото си всички известни им стандарти и чакат някой клиент "да клъвне" през търсачките на някой от тях. Честно казано аз бих се обърнал към по-тясно специлизран консултант, а не към "специалист по всичко". Обяснението не е трудно - всеки от изброените стандарти има своя специфика и изисква задълбочено познаване на материята, като в много случаи е физически невъзможно да бъде обхваната толкова разнообразна и обемна материя. Например в групата стандарти ISO 27000 има над 20 актуални стандарта, подпомагащи внедряването и одита на системи за управление на сигурността на информацията. Като се има предвид, че консултантските компании в България по правило разполагат с до 6-7 специалисти по системи за управление, сами разбирате че практически не е възможност да се покрият задълбочено всички посочени в началото сатандарти. 3. Избирате най-ниската предложена цена и най-кратък срок за внедряване. Груба грешка - това в общия случай означава, че ще получите някакви типови документи (т.нар. темплейти), които в бъдеще ще се принудите сами да оптимизирате за своята дейност. И без да се опитвам да бъда ментор, ще кажа че цени под 8000 - 9000 лв за внедряване на ISO 27001 в малка организация са меко казано съмнителни, а за внедряване на ISO 20000-1, ISO 22301 - направо абсурдни. Също така срокове за внедряване под 5-6 месеца са доста авантюристични и нереални. След като съм проучил професионалния опит и съм избрал своя консултант от съществено значение е да дефинирам ясно задълженията на страните, плана за внедряване и начините за отчитане на етапите от проекта. Често срещана грешка от страна на клиента тук е да не се навлиза в детайлизиране на плана по етапи, срокове и отговор-ности за изпълнение. По този начин може да получите нещо съвсем различно от това, което сте очаквали, а липсата на ясен регламент може да Ви вкара в нескончаеми спорове с консултанта при неясен победител в края на договора. И още нещо важно, което не бих пропуснал - задължително ще включа свои служители активно да участват в процеса на внедряването. На пръв поглед това е разхищение на ресурс при положение, че сме платили за внедряването на консултант. Но в дългосрочен план ще имам подготвени хора за управление на системата за управление и ще намаля бъдещата зави-симост от консултанта. Надявам се, че с настоящата статия съм бил полезен на тези, които са решили да внедряват система за управление. А защо един консултант би написал такава статия? - защото за професионално работещите консултанти е за предпочитане да работят с клиенти, които знаят "правилата на играта". За всякакви допълнителни въпроси, можете да се обръщате на www.mscservices.eu
  5. Абонаментна поддръжка на системи за управление (ISO системи) от Славчо Ненков - 24.05.2012 През последните години заедно с увеличението на броя на сертифицираните системи за управление популярност придоби сключването на договори за абонаментна поддръжка на системи за управление. Особено популярно това стана след влошаване на икономическата обстановка и намаляването на бюджетите на организациите. Изпълнители по договорите са консултантски компании или независими консултанти, а ангажиментите по договора обикновено се свеждат до провеждане на вътрешен одит и „потягане“ на системата преди поредния контролен или ре-сертификационен одит от страна на сертифициращата организация. В други случаи договорът дава на организацията освен посочените по-горе дейности и допълнителни „екстри“ – например определен брой човекодни или човекочасове за консултации по промяна на документи или процеси. Някои организации (обичайно тези, които са внедрили системата за управление само заради получаването на сертификат и системата е бреме за тях) предпочитат да не ангажират времето на своите служители с отговорности, произтичащи от внедрената система. Те предпочитат външен консултант да поеме изцяло „генерирането на документи и записи“, изисквани от системата и по възможност всичко да минава без тяхно участие. Да сключим ли договор за абонаментна поддръжка на внедрената система за управление и защо? Какви услуги по абонаментна поддръжка биха били полезни за нашата система? Колко често имаме нужда от услугите на консултанта при поддръжка на системата ни? На всички тези въпроси ще се опитам да отговоря по-долу въз основа на своята практика. ------------------------------------------------------------------------------------------- www.mscservices.eu - Абонаментна поддръжка на ISO системи ------------------------------------------------------------------------------------------- Да сключим ли договор за абонаментна поддръжка на внедрената система и защо? Нужда от периодична консултантска помощ за поддръжка на своята система имат както големите организации, притежаващи компетентни специалисти по внедрената система за управление, така и малките организации, които не могат да си позволят назначаване на такъв човек или натоварване на служител с допълнителни ангажименти. Големите организации, въпреки наличието на добре подготвен персонал по съответния стандарт, със сигурност се нуждаят от един външен, независими преглед на внедрената система. Разбира се, служителите на организацията най-добре познават процесите в организацията, но обикновено съответният специалист влага определен процент субективност при оценката на работата. Особено ако се е занимавал с нея по-дълго време. Един поглед отвън на консултант е много полезен в такива случаи. За предпочитане е консултант, различен от този, който е помагал при внедряване на системата с оглед на по-голяма безпристрастност. Още по-добре ако този консултант има и одиторски опит тъй като одиторите притежават неоценимо ноу-хау за оценка на системи за управление. Ще отговорите: ами контролният одит на сертификационната организация? Нали е за това? Да, така е, неговият смисъл е да следи съответствието на внедрената система за управление със стандарта във времето. За съжаление стремежът към запазване на клиенти и намаляването на одит дните в резултат на ценовата конкуренция между сертификационните организации повлияха напоследък на одиторската обективност. А това не е в полза на организациите, които искат да имат работеща система за управление. Малките фирми в условията на криза не могат да си позволят да наемат компетентни специалисти за поддръжка на внедрената система. Предвид силното редуциране на персонала все по-трудно става и тези функции да бъдат възложени на някой от служителите на компанията като допълнителни отговорности. В тази ситуация много добро решение е възлагането на част от дейностите по поддръжка и оценка на системата за управление на външен консултант. Обичайно цената на услугата излиза доста по-ниско от разходите по издръжка на собствен специалист. ------------------------------------------------------------------- www.mscservices.eu - Вашите ISO консултанти ------------------------------------------------------------------- Какви услуги по абонаментна поддръжка биха били полезни за нашата система? На първо място Вашата система за управление има нужда периодично от един външен, компетентен поглед върху нейното състояние. Това означава 2-3 пъти годишно компетентен външен консултант (за предпочитане с одиторски опит) да извършва частичен одит на внедрената система. Практически това са одити на отделни процеси или звена в обхвата на системата, които в тяхната цялост в рамките на една година напълно покриват обхвата й. Ако организацията е голяма и разполага със служители, имащи необходимата компетентност за извършване на вътрешен одит, е ефективно на външен консултант да се възложи одита на критично важните процеси в обхвата на системата. За по-малките организации, нямащи възможност да издържат собствен персонал по поддръжка и усъвършенстване на системата за управление, е ефективно възлагането на външен консултант и на дейности, свързани с актуализация на документи на системата, провеждане на вътрешни одити, подготовка на доклади за преглед от ръководството, консултантска помощ при преоценка на рисковете и други. За този тип фирми е много желателно външният консултант периодично да преглежда записите, пряко свързани с работните процеси и водени от служители на компанията. Накратко, ако сте средно голяма или малка организация, имате повече от една внедрена система за управление и нямате финансови възможности за наемане на персонал за поддръжката им, аз бих Ви препоръчал сключване на абонаментен договор с компетентен консултант, който Ви гарантира: провеждане на вътрешен одит, периодичен преглед на водените записи и определен брой дни консултантска помощ за усъвършенстване на системата. Колко често имате нужда от услугите на консултанта при поддръжка на системата Ви? Големите организации със собствен персонал по поддръжка на системите за управление имат нужда от помощта на компетентен консултант 1-2 пъти годишно за провеждане на специализирани одити на критичните процеси и инцидентно при промени на методики за оценка, преоценки на рискове, обновяване на планове за непрекъснатост на дейността и други базови промени, изискващи специализирани познания и опит. Средните и малките организации, неразполагащи със собствен персонал по поддръжка на системите за управление имат доста по-често нужда от помощта на компетентен консултант. В такива случаи неговата помощ практически е нужна на всеки 3-4 месеца, той трябва постоянно да е близо до своя клиент. Казано по друг начин организацията трябва да „назначи на работа“ консултанта. Използването на консултант еднократно 1-2 седмици преди контролния одит от сертификатора за такива организации е меко казано неудачно. Защото няма как за една седмица бъде свършено това, което е трябвало да бъде вършено цяла година. Разбира се, има „опитни“ консултанти, които набързо могат да „произведат“ необходимия минимум записи за одита, но това рано или късно ще лъсне. А и докато за някои системи за управление (качество, околна среда, безопасни условия на труд) такава имитация е възможна в определена степен, то за други като системи за управление на сигурността на информацията, системи за управление на ИТ услугите и др. това е практически невъзможно. Като заключение моят съвет е: използвайте компетентни консултантски услуги, за да гарантирате ефективната работа на Вашите системи за управление и да получите пряка икономическа изгода. Но помислете внимателно за какво точно давате парите си: до колко компетентен е Вашият консултант и какви точно услуги получавате срещу парите си. За всякакви въпроси, свързани с темата, можете да използвате формата за обратна връзка на сайта ни: www.mscservices.eu. Екипът ще се постарае да отговори на всички Ваши запитвания.
  6. Колега, ние също не виждаме името Ви зад псевдонима, който изпозлвате. Да, на сайта на компанията няма посоени референтни проекти, защото такава е политиката на компанията. Ако наистина имате интерес към темата, моля изпозлвайте посочения по-горе от мен е-мейл, представете се и задайте въпроса, който Ви интересува. Иначе рискуваме читателите да останат с впечатлението за заяждане на дребно, за което мястото едва ли е именно тук. Благодаря Ви за разбирането !
  7. Здравейте, благодаря за проявения интерес. В духа на въпроса бих отговорил: количество, равно на 1/4 от внедрените в страната системи - като участник в екип. Разбира се, добре е да се уточни какво се има предвид под успешно внедряване. Почти всички системи в Бг са внедрени твърде скоро, а ефикасността обикновено може да бъде оценена след определен период работа. Ако наистина имате интерес към темата, моля пишете на е-мейл [email protected] Благодаря !
  8. ISO 20000 - Трудно ли е са се внедри система за управление на услугите? От Славчо Ненков - 16.04.2012 Трудно ли е да се внедри система за управление на услугите съгласно изискванията на стандарта ISO 20000-1:2001? Отговорът е колкото очакван, толкова и прост - Зависи ! И за да не бъде отговорът ми съвсем йезуитски, ще обясня какво имам предвид. Ако вашата оргазнизация има вече внедрени системa за управление на качеството (ISO 9001), система за управление на сигурността на информацията (ISO 27001) и процесите на ITIL (IT Infrastructure Library), вие без много усилия можете да внедрите своята система за управление на услугите (ISO 20000). Защото вие и Вашето ръководство имате вече разбира-нето за важността и уменията за внедряване и поддържане на система за управление. Имате основните процедури, изиск-вани от двата стандарта: за управление на документите и записите, за вътрешни одити, за превантивни и коригиращи действия, въвели сте процеса на преглед от ръководството и подобряване на системите. Имате работещи процесите на ITIL, които се изискват и от ISO 20000-1:2011. На вас ви остава да приведете документацията си към изискванията на стандарта, да интегрирате системата за управление на услугите със съществуващите система за управление на качество-то и система за управление на сигурността на информацията и с не много усилия вие ще имате своето ISO 20000. Вие ще казжете - добре, така наистина е лесно, но колко са тези оргазнизации, които вече са внедрили ISO 9001, ISO 27001 и процесите на ITIL? Ами не са много малко. ============================================================= www.mscservices.eu - Абонаментна поддръжка на системи за управление ============================================================= Но въпреки това, да продължим нататък - да допуснем, че вашата организация е голяма или средна ИТ компания, която има опит от сътрудничество с утвърден доставчик на ИТ или комуникационни решения. В този случай вие неминуемо имате внедрени система за управление на качеството и система за управление на сигурността на информацията заради изискванията на вашите клиенти (държавана администрация, банки, телекомуникационни компании и други). Вие немину-емо трябва да имате специалисти, които са запознати с процесите на ITIL пак заради естеството на вашата работа. Партньорството с утвърдени доставчици на ИТ или комуникационни решения неминуемо е наложило да внедрите добри практики в доставката на услуги, просто защото такава е практиката на големите производители - те изискват спазване на определени правила при доставка на услуги и извършват ежегодни одити, за да проверят как сте ги внедрили. В този случай с голяма доза увереност можем да твърдим, че вие вече имате внедрени следните функции и процеси на ITIL: help desk, планиране и въвеждане на нови или променени услуги, управление на нивото на услугите, отчетност на услугите, управле-ние на непрекъснатостта и наличността на услугите, управление на инциденти и проблеми, управление на промени, процес за пускане в действие и разгръщане. Процесът за управление на сигурността на информацията се осигурява от внедрената система за управление на сигурността на информацията. Процесите за управление на доставчиците и бизнес отношенията могат да бъдат осигурени от внедрената система за управление на качеството. В този случай вие трябва да внедрите някои допълнителни процеси като: бюджетиране и счетоводна отчетност на услугите, управление на капацитета, управление на конфигурации, което при придобитите от вашата организация навици за внедряване и поддържане на про-цеси, няма да е никак сложно. Е, добре, но ако вашата организация няма опит от сътрудничество с утвърден проеизводител на ИТ и комуникационна техника и не е внедрила никой от посочените по-горе процеси? Ами тогава ще трябва да внедрите всичко това. Разбира се ако все пак имате внедрени система за управление на качеството и система за управление ан сигурността на информаци-ята това ще ви облекчи тъй като можете да ги изпозлвате за осигуряване на процесите за управление на доставчиците, на бизнес отношенията и на сигурността на информацията. А ако нямате внедрени ISO 9001 и ISO 27001? Е, тогава ще трябва да положите повече усилия. Именно затова в началото така започнах - със "зависи". Все пак обаче нормално е да се очаква от една организация, в която се е появила необходимостта от внедряване на ISO 20000, да се използват добрите ИТ практики в предоставянето на услуги ... www.mscservices.eu - Вашите ISO консултанти
  9. "Облачните" компютърни услуги и ISO 27001 / BS 25999 От Деян Кошутич - 30 май 2011 Все повече и по-често хората ме питат какво да правят с "облачните" компютърни услуги в контекста на ISO 27001 и BS 25999. Моят отговор е:използвате здрав разум. Тяхната дилема е напълно разбираема - тези стандарти са били написани преди "облачните" услуги да станат толкова сериозен фактор и затова няма особен акцент върху "облачните" услуги в никой от тях. За да станат нещата още по-лоши, прекъсвания на доставчиците на "облачни" услуги предизвикаха сериозни проблеми на други интернет-базирани бизнеси, какъвто беше наскоро случая с Amazon Web Services (за повече информация за AWS и ISO 27001 четете Означава ли ISO 27001, че информацията е 100% сигурна?). Ето защо, тяхната позиция е: тъй като ние не можем да контролираме информацията в "облака", сигурността на информацията в такъв случай е празна приказка. Нова концепция? Аз няма да се съглася с това. Смисълът е - "облачните" компютърни услуги не са нищо друго, освен аутсорсинг (на съхраняване или обработка на вашата информация). А вие вече сте дали на аутсорсинг други дейности, които могат да застрашат сигурността на вашата информация - вашият софтуер обичайно се разработва от външен доставчик, вие може да имате външни доставчици, които поддържат хардуерните и софтуерните ви активи (понякога с отдалечен достъп до вашата мрежа), най-вероятно имате някакъв външен персонал по поддръжката на място при вас (ако не за друго, то за инфраструктурата), почти сигурно имате консултанти и / или одитори на място при вас (които знаят уязвимостите на вашата компания) и най-вероятно имат външен персонал по почистването на персонал (и те имат достъп до повечето от съоръженията, когато никой друг не е наличен). Ето защо, аз бих казал, въпреки че "облачните" услуги са нова технологична възможност, основният въпрос на аутсорсинга остава както и преди - до колко можете да се доверите на вашия аутсорсинг партньор? Здрав разум Тук е мястото, където трябва да използвате здравия си разум или да приложите текстовете на ISO 27001 и BS 25999-2 - трябва даизползвате оценката на риска, за да разберете какви са потенциалните рискове, и тогава ще трябва да изберете мъдро вашия партньор и да приложите необходимите контроли за сигурност, за да намалите тези рискове. В контрола A.6.2.1 ISO 27001 изисква да се идентифицират "... рисковете за информацията на организацията и средствата за обработка на информация от бизнес процесите с участието на външни лица", а A.6.2.3 изисква да се разгледат въпросите на сигурността в споразумения, които "... трябва да вклюват всички релевантни изисквания за сигурност", има и различни други контроли, определящи резервирането на информацията (A.10.5.1), контрола на достъпа (А.11), класификацията (A.7.2.1) и т.н. В клауза 4.1.1 BS 25999-2 изисква да "... Се идентифицират всички зависимости, свързани с критичните дейности, включително доставчици и, аутсорсинг партньори", в клауза 4.1.2 "... да се установят заплахите и слабостите ... включително тези, предизвикани от доставчиците и аутсорсинг партньорите", а в клауза 4.2 "... да определи как ще възстанови всяка критична дейност ... включително продукти и услуги, предоставяни от доставчици и аутсорсинг партньори ". ==================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ==================================================== И така, какво можете да направите, за да намалите риска от "облачните" услуги? Ето няколко много важни съвета: • направете цялостна проверка на потенциалния доставчик - не само записи за неговата производителност, но също така и биографиите на неговите ръководители, внедрил ли е политики и процедури за информационна сигурност и непрекъсваемост на бизнеса, финансова стабилност, правни рискове и т.н. • включете много специфични клаузи за сигурност във Вашия договор с доставчика, катоо най-големият акцент ще бъде върху въпросите, които са предизвикали най-големи опасения по време на оценката на риска. • съхранявайте резервно копие на информацията си на място - въпреки че доставчикът "облачни" услуги (вероятно) прави редовно архивиране, то винаги е добра идея да имате пряк контрол върху вашата информация. (например банковите регулатори в някои страни са наложили регламенти за местните банки да пазят резервно копие вътре в страната специално заради този риск.) • Разработете стратегия за това как да се върне обработката/архивирането на информация обратно във вашата компания (ре-инсорсинг) в случай на проблеми с вашия доставчик на "облачни" услуги - вие трябва да знаете точно какви стъпки са необходими, както и какви ресурси. • Възможна стратегия за излизане от кризата може да бъде осигуряването на алтернативен доставчик на "облачни" услуги, в готовност, готов да се включи ако вашият партньор се справя зле. • Извършвайте редовни проверки на вашия доставчик, за да разберете дали има съответствие на защитните клаузи от споразумението. Разбира се, повечето от нещата, споменати тук, ще изглеждат невъзможни за по-малка компания. Но във всеки случай, бихте ли им поверили наистина вашата важна информация, без да имате никакви гаранции? Понякога е по-добре без "облачни" услуги - това е нещо, което вашето ръководство трябва да реши: те трябва да преценят баланса между разходите и удобство, и рисковете. Управлявайте вашите рискове Не се опитвам да кажа тук, че рисковете от "облачните" компютърни услуги са същите както другите аутсорсинг рискове, защото те не са - "облачните" услуги обикновено водят до по-високи рискове. Аз също не се опитвам да кажа, че ISO 27001 и BS 25999-2 (скоро ще излезе ISO 22301) не трябва да бъдат по-конкретни относно "облачните" услуги, защото трябва. Аз мисля също, че законодателството трябва да разгледа този въпрос много бързо. Това, което аз се опитвам да кажа тук е, че въпреки че рисковете, свързани с "облачните" услуги, са високи, това не означава, че те не могат да бъдат намалени. Затова, използвайте здравия си разум при избора на доставчик на "облачни" услуги - ако не вярвате напълно на вашия доставчик, тогава не му поверявайте вашата чувствителна информация. www.mscservices.eu - Вашите ISO консултанти
  10. “Технически” стандарт ли е ISO 27001? от Слав Петров Забелязал съм в своята практика, че огромното мнозинство от клиентите, пристъпващи към осъществяване на проект по разработка и внедряване на система за управление на сигурността на информацията, са убедени че това е чисто технически ИТ проект. Много хора, които не са участвали в такова внедряване, но са чували за стандарта ISO 27001 също, са убедени, че това е чисто технически стандарт. Така казват и много специалисти по ИТ и комуникации, които са чували за стандарта, но никога не са го чели. Освен всичко друго въпросният стандарт е класифициран в групата стандарти ISO Information technology. Да добавим и че голямата част от механизмите за контрол на сигурността на информацията в информационната система на организацията са технически – хардуерни и софтуерни. Всички тези средства се управляват от сериозно подготвени ИТ специалисти. А всичко това какво означава? Означава, че стандартът е технически. Да, но не, не е така. ISO 27001 не е технически, а преди всичко организационен стандарт, каквито са ISO 9001, ISO 14001, OHSAS 18001. Термините “информация” и “сигурност на информацията” не бива да ни подвеждат. Информацията може да съществува в най-различни форми: написана на хартия, в електронна форма, записана на микрофилм, споделена в разговор. И във всяка форма на съществуване системата за управление на сигурността на информацията (СУСИ) трябва да осигури нейната сигурност (конфиденциалност, цялостност, наличност). Колкото и странно да звучи например, напълно възможно е да се внедри, сертифицира и управлява СУСИ на организация без нито един компютър. ========================================== www.mscservices.eu - Вашите ISO консултанти ========================================== Основни задачи за решаване при внедряване на СУСИ се явяват определянето на обхвата, политиката по сигурността на информацията и оценката на риска. Всикчи те са преди всичко стратегически и организационни задачи. А какво ще кажете за задължителните процедури на системата? Процедурите за управ;ение на документите, за вътрешните одити, за коригиращи и превантивни действия са практически иденточни на тези по ISO 9001 с малки допълнения. А измерването на ефективността? Техническото оборудване и софтуер се явяват само средство за достигане на определените цели, нищо повече. Знаете ли от къдеидват най-големите потенциални заплахи за сигурността на информацията? Не, хакерите не са най-опасните за вашата система. Персоналът – най-големите потенциални заплахи за сигурността на информацията идват от вашите служители – поради некомпетентни или злонамарени действия. А какво да кажем за такива важни въпроси като например осигуряването на ресурси за работа на системата и преглед от ръководството? Те технически мероприятия ли са или организационни? Да, разбира се, за осигуряване на сигурността на информацията в системата, в обхвата на която се намира голяма и сложна информационна система, обработваща и съхраняваща чувствителна информация, от жизнена важност е наличието на квалифицирани ИТ специалисти. Но във всеки случай стандартът ISO 27001 изисква преди всичко усилия в разработка и реализация на организационни мерки, та били те и в областта на ИТ. В подкрепа на това твърдение ще ви разкажа за един случай на неуспешно вбедряване на СУСИ. Голяма компютърна фирма, започваща проект по внедряване на СУСИ, нае за консултант по внедряването водещ специалист в областта на ITIL.. Проектът продължи няколко месеца като компанията инвестира немалко средства в съвременни ИТ технологии за проекта, а също и немалко средства за заплащане труда на консултанта. По време на сертификационния одит водещият одитор повдигна 25 несъответствия – 4 съществени и 21 несъществени. И познайте какви коригиращи действия бяха изпълнени след още няколко месеца от страна на компанията – организационни мерки. Надявам се повдигнатите в статията въпроси да предизвикат различни коментари мнения по тази тема. www.mscservices.eu
  11. Използване на ISO 9001 за внедряване на ISO 27001 Вторник, 07 септември, 2010 Публикувано от: Деян Кошутич Вие вече сте внедрили ISO 9001? Чули сте, че ISO 27001 може да е добра идея? Но как може нещо, което трябва да се направи с качеството, да ви помогне да внедрите информационната сигурност? Може повече, отколкото можете да си помислите. ISO 9001 определя как системите за управление на качеството (СУК) трябва да изглеждат, докато ISO / IEC 27001 дефинира системите за управление на сигурността на информацията (СУСИ). Затова частта "системи за управление" е една и съща – и така, за какво всъщност става въпрос? Философията на системите за управление се е развила от теорията, разработена от У. Едуардс Деминг през втората половина на 20 век, и се основава на цикъла Plan-Do-Check-Act.(Планирай-Прави-Проверявай-Действай). По принцип, този цикъл се състои в следното: във фазата Планиране, вие трябва да планирате какво искате да постигнете със системата за управление; във фазата Прави вие го внедрявате; във фазата Проверявай вие постоянно следите дали сте постигнали това, което сте планирали, а във фазата Действай вие правите подобрения, т.е. да запълвате прпуските между това, което сте планирали и това, което сте постигнали. Въпреки, че този цикъл е изобретен имайки предвид управление на качеството, той се превърна в основа за всички други системи за управление - на сигурността на информацията (ISO / IEC 27001), околната среда (ISO 14001), непрекъсваемостта на бизнеса (BS 25999-2) и др. ==================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ==================================================== Това означава, че някои от елементите, които сте приложили за системата за управление на качеството съгласно ISO 9001, можете също така да използвате за системата за управление на сигурността на информацията, ето списъка: • Управление на документи - процедурата, използвана за управление на документи в СУК може да се използва за същата цел в СУСИ, само с малки корекции • Вътрешен одит – една и съща процедура може да се използва за СУК и СУСИ, въпреки че самият вътрешен одит обикновено се прави от различни хора, тъй като не е много вероятно, че един и същи човек ще има достатъчно дълбоки познания едновременно в сигурността на информацията и качеството • Коригиращи и превантивни действия - процедурата, използвана за СУК може да се използва за същата цел в СУСИ, въпреки че е вероятно различни лица да решават въпроси, свързани със СУК или СУСИ • Управление на човешките ресурси - един и същи цикъл на планиране на човешките ресурси, обучение и оценяване се използва и за двете системи за управление, естествено разликата е в профила на необходимите умения и знания • Преглед от ръководството - принципите за прегледа от ръководството са едни и същи и за двете системи за управление на, въпреки че не би било препоръчително да се изпълняват и двата прегледа паралелно – ако ръководството вече е свикнало да взема решения за СУК, тогава то ще има по-добро разбиране за това как да да взема решения в контекста на СУСИ • Поставяне на бизнес цели и проследяване дали те са постигнати - един и същ механизъм е предвиден в двата стандарта, затова ръководството ще бъде използвано за такова систематично планиране • Поради това, ако вече сте внедрили ISO 9001, вие ще имате по-лесно задача да внедрите ISO 27001 (и обратно) - можете да спестите до 30% от времето. Освен това, вие ще имате по-евтини одити за сертифициране тъй като сертифициращите органи предлагат т. нар. "интегрирани одити", което означава, че те ще направят и ISO 9001, и ISO 27001 в един и същи одит, натоварвайки ви с по-малка такса в сравнение с отделните одити. • Ако вашата СУК функционира добре, вие ще видите, че вашият СУСИ - проект се развива по-гладко - ръководството ще има по-добро разбиране за потенциалните ползи за бизнеса, а същевременно всички организационни единици ще бъдат свикнали с необходимостта от дефиниране на точни процедури, отговорности и документирането. • Наличието на СУК наистина дава много добра основа за сигурността на информацията - ако вече имате ISO 9001, помислете сериозно за ISO 27001. www.mscservices.eu - Вашите ISO консултанти
  12. Управление на риска в информационните технологии от Алан Калдър Тъй като информационните технологии все повече попадат в обхвата на корпоративното управление, то мениджмънтът трябва все повече да се фокусира върху управлението на риска за постигането на бизнес целите си. Има два основни компонента на ефективното управление на риска за информацията и информационните технологии: първият се отнася до стратегическото разгръщане на на информационните технологии в организацията, за да постигне тя своите корпоративни цели, вторият се отнася до рисковете за инфраструктура. ИТ системите обикновено ознчават значителни инвестиции на финансови и изпълнителски ресурси. , Начинът, по който са планирани, управлявани и измервани трябва да бъде съответтно ключов измерител за мениджмънта, както и начина, по който рисковете, свързани с информационните активи, сами по себе си са управлявани. Ясно е, добре управляваните информационни технологии са бизнес фактор. Всяко внедряване на информационни технологии носи със себе си непосредствени рискове за организацията и следователно, всеки директор или управленец, който внедрява, или мениджър, който използва по някакъв начин информационните технологии, трябва да разбере тези рискове и стъпките, които трябва да бъдат направени за борба с тях. ITIL отдавна е предоставил богата колекция от най-добрите практики за управление на ИТ процеси и ръководства за това. Независимо от широката гама от практически-ориентирани сертифицирани квалификации, не е възможно за всяка организация да докаже на своето ръководство – камо ли на външна трета страна - че е предприела стъпка за намаляване на риска чрез внедряване на добри практики. Нещо повече, ITIL е особено слаба, когато що се отнася до управление на информационната сигурност - ITIL книгата за сигурността на информацията, наистина не прави нещо повече, освен да реферира към вече много остарялата- версия на ISO 17799, код от практики по сигурността на информацията. Появата на международните “Управление на ИТ услугите (ISO 20000)” и “Управление на сигурността на информацията (ISO27001)” променя всичко това. Те правят възможно,за организации, които имат успешно внедрена ITILсреда, да бъдат външно сертифицирани като собственици на процеси по сигурност на информационната и управление на ИТ услугите, които процеси отговарят на международния стандарт; организации, които демонстрират - пред клиенти и потенциални клиенти – че качеството и сигурността на техните процеси за осигуряване на ИТ услугите и сигурността на информацията постигат значителни конкурентни предимства Риск за информационната сигурност Ценността на независимия стандарт за информационна сигурност може да бъде по-непосредствено оценена от практикуващите ITIL отколкото от тези,занимаващи се с управление на ИТ услугите. Разпространението на все по-сложни, усъвършенствани и глобални заплахи за сигурността на информацията в съчетание с изискванията за съответствие на потопа от компютри – и свързаните с правото за неприкосновеност на личния живот регулации по целия свят, кара организациите да погледнат по-стратегически на сигурността на информацията. Стана ясно, че хардуерно-, софтуерно- или доставчик-ориентирани решения за отделни предизвикателства по информационната сигурност са, сами по себе си, опасно неадекватни. ISO / IEC 27001 (какъвто беше BS7799) помага на организациите да направят стъпка към систематично управление и контролиране на риска за техните информационни активи. ========================================= www.mscservices.eu - Вашите ISO консултанти ========================================= Риск за ИТ процесите ИТ трябва да бъдат управлявани систематично за да се подкрепи организацията в постигането на нейните бизнес цели, иначе те ще нарушат бизнес процесите и ще подкопаят бизнес дейността. ИТ управлението, разбира се, има своите собствени процеси - и много от тези процеси са общи за организации от всякакъв мащаб и в много сектори. Процесите, внедрени за управление на ИТ организацията трябва да бъдат ефективни и да гарантират, че ИТ организацията работи според нуждите на бизнеса. Управление на ИТ услугите е концепция, което съдържа схващането, че ИТ организацията (известна в ISO / IEC 20000, както и в ITIL, като "доставчик на услуги") съществува, за да предоставя услуги за бизнес потребителите в съответствие с нуждите на бизнеса, и да гарантира икономически най-ефективното използване на ИТ активите в този общ контекст. ITIL, IT infrastructure library, се утвърди като сборник от най-добрите практики, които могат да бъдат използвани в различни организации. ISO / IEC 20000, стандартът за за управление на ИТ услуги, предоставя спецификация от най-добрите практики, базирана върху ITIL. Регулаторен риск и риск за съответствието Всички организации са обект на редица изисквания на свързаното с информацията национално и международно законодателство. Те варират от общи корпоративни насоки за управление до подробните изисквания на специални разпоредби. Организациите във Великобритания са предмет на някои или всички от следните регулации: * Combined Code and Turnbull Guidance (UK) * Basel2 * EU data protection, privacy regimes * Sectoral regulation: FSA (1) , MiFID (2) , AML (3) * Human Rights Act, Regulatation of Investigatory Powers Act * Computer misuse regulation Тези организации, които оперират в САЩ също могат да бъдат предмет на регламентите на САЩ като Sarbanes Oxley и SEC регулации, както и от секторни регулаци като GLBA (4), HIPAA (5) и USA PATRIOT Act. Повечето организации вероятно също са предмет на щатското законодателство на САЩ, което изисква да имат широк набор от съответствия, включително със SB 1386 (California Information Practice Act) и OPPA (6). Съответствието зависи колкото от сигурността на информацията, толкова и от ИТ процесите и услугите. Много от тези наредби са се появили едва наскоро и по повечето няма все още достатъчно практика в съдилищата. Не е имало координирани национални или международни усилия, за да се гарантира, че много от тези правила, особено тези около личната неприкосновеност и защитата на данните - са ефективно координирани. В резултат на това има припокриване и конфликти между много от тези регулации и докато това е от малко значение за организации, търгуващи изключително в рамките на една юрисдикция, реалността е, че много предприятия днес търгуват на международно ниво, особено ако те имат сайт или са свързани към Интернет. Системи за управление Системата за управление е формален, организиран подход, използван от дадена организация за управление на един или повече компоненти от нейния бизнес, включително качеството, околната среда и здравословните и безопасни условия на труд, управлението на информационната сигурност и ИТ услугите. Повечето организации - особено по-млади, по-малко зрели, имат някаква форма на системата за управление при тях, дори и ако те не са наясно с това. По-развитите организации използват формални системи за управление, които са сертифицирани от трета страна за съответствие със стандарта за управление на системи. Организациите, които използват формални системи за управление днес включват: корпорации, средни и малки предприятия, правителствени агенции и неправителствени организации (НПО). Стандарти и сертификати Формалните стандарти предоставят спецификация,спрямо която една система за управение на дадена организацията, може да бъде независимо одитирана от акредитиран орган за сертификация и ако е установено, че системата за управление отговаря на спецификацията, на организацията може да бъде издадено официално удостоверение, потвърждаващо това. Организациите, които са сертифицирани по ISO 9000 вече ще бъдат запознати с процеса на сертифициране. Интергрирани системи за управление Организациите могат да изберат да сертифицират своите системи за управление по повече от един стандарт. Това им дава възможност за интегриране на процесите, които са общи - преглед от ръководството, коригиращи и превантивни действия, контрол на документи и записи, както и вътрешни одити на качеството - за всеки един от стандартите, от които са заинтересовани. Съществува вече привеждане в съответствие на клаузи в ISO 9000, ISO 14001 (стандарт за системи за управление на околната среда) и OHSAS 18001 (стандарт за здравословни и безопасни условия на труд), което поддържа тази интеграция, и което позволява на организациите да се възползват от по-ниска цена на първоначалните одити, по-малко посещения за контролни одити и което е най-важното - позволява на организациите да “свържат” техните системи за управление. Появата на тези международни стандарти сега позволява на организациите да се разработи интегрирана информационна система за управление, която подлежи на “мулти” (едновременно по няколко стандарта) сертификационни или външни одити от трета страна, като същевременно се обляга на задълбочените най-добри практики, съдържащи се в ITIL. Това е огромна стъпка напред за света на ITIL. www.mscservices.eu - Вашите ISO консултанти
  13. Прилики и разлики между ISO 27001 и BS 25999-2 от Деян Кошутич На пръв поглед сигурността на информацията и непрекъсваемостта на бизнеса нямат много общо помежду си - някои биха добавили, че единствената прилика е, че и двете са за ИТ. Управлението на сигурността на информацията е най-добре дефинирано в международния стандарт ISO / IEC 27001, а управлението на непрекъсваемостта се определя в британския стандарт BS 25999-2 - следователно ако искаме да сравняваме тези две теми, най-мъдрото нещо, което трябва да направим, е да погледнем какво имат да кажат тези два стандарта. Първо, ИТ е важна част и от двете - ISO 27001 и BS 25999-2, но по никакъв начин тези два стандарта не само за ИТ - акцентът е върху бизнес процеси и активи, и свързаните с това рискове. Вярно е, че ИТ е основният инструмент за обработка на данни, но остава фактът, че най-големите рискове са свързани със злонамерени и непредвидени дейности на хора. Ето защо рисковете, свързани със сигурността на информацията или непрекъсваемостта на бизнеса не могат да бъдат решени само чрез информационните технологии - много по-важно е да се дефинират организацията, процесите и отговорностите си в организацията. Но какво е по същество сигурността на информацията? ISO 27001 я определя като "запазване на конфиденциалността, интегритета и достъпността на информацията". От друга страна, BS 25999-2 дефинира непрекъсваемостта на бизнеса като "стратегически и тактически възможности на организацията да планира и да реагират на инциденти и бизнес прекъсвания, за да продължи бизнес операциите на приемливо, предварително зададено ниво". ======================================== www.mscservices.eu - Вашите ISO консултанти ======================================== Двете не изглежда много да си приличат. Все пак, има едно нещо, което ги прави много сходни - наличността. Фокусът на двете – и на сигурността на информацията, и на непрекъсваемостта на бизнеса, е да се съхранява информация, достъпна за тези, които се нуждаят от нея - в тази връзка приложение А на ISO 27001 предлага някои контроли, посветени единствено на непрекъсваемостта на бизнеса. Освен това двата стандарта изискват извършване на оценка на риска с цел да се идентифицират потенциалните проблеми, свързани с информацията; двата стандарта изискват управление на документи, провеждане на вътрешни одити, прегледи от ръководството и коригиращи и превантивни действия. Това означава, че ако вече имате документация за ISO 27001, можете да използвате същите тези процедури за BS 25999-2 (с малки корекции). Какви са разликите? Основната разлика е в нивото на детайлизация. ISO 27001 обхваща много по-широка област и следователно не е много точен, когато става въпрос за непрекъсваемост на бизнеса; от друга страна, BS 25999-2 описва подробно как да се извърши анализ на въздействието върху бизнеса, как да се определи стратегията за непрекъсваемост на дейността, или какво трябва да е съдържанието на плановете за бизнес непрекъсвамеост и др. В заключение - основното тук е, че можеш да мислиш за непрекъсваемост на бизнеса като част от сигурността на информацията. Практическото приложение на това е, че когато става въпрос за внедряване на непрекъсваемост на бизнеса в контекста на ISO 27001, най-добре е да използвате BS 25999-2 като насока www.mscservices.eu - Вашите ISO консултанти
  14. ISO 20000: Изборът на подходящия процес за внедряване от Изабел Перон. Повечето ИТ организации започват процеса на внедряване на ISO 20000 или ITIL с много малък опит. И защо не? Един интелигентен човек трябва да бъде в състояние да вземете наръчник, да го прочете и да го приложи в своята организация, нали? Е, това е вярно, но трябва първо да вземеш в ръце такъв наръчник. Моите клиенти често ме питат дали знам книга, която компетентно да разглежда методологията за изпълнение. Въпреки че има множество книги, които разглеждат теорията на ИТ процесите и го правят много добре, аз все още търся такъв, който обхваща цялостно внедряването на тези процеси. Що се отнася до методологиите за внедряване сами по себе си, те са най-дълго и добре пазените тайни, които консултантските фирми са склонни да продават чрез своите услуги, но са доста срамежливи да ги споделят безплатно. Е, познайте какво? Аз не съм! Една от най-популярните и общоприети методологии е традиционният 5-стъпков подход. Този подход може да бъде обобщен както следва: • Стъпка 1 - Опишете сегашното положение - каквото е; • Стъпка 2 - Определете целевия процес - да бъде; • Стъпка 3 - Документирайте разликата между текущия и целевия процес; • Стъпка 4 - Планирайте стъпките за покриване на разликата; • Стъпка 5 - Изпълнете плана. Този подход често води до катастрофални последици. Първо, за да опише настоящата ситуация и да определи целевия процес, организацията обикновено инвестира много време и пари в създаването на един много сложен документ за бъдещия процес - обикновено схема, която много малко хора разбират, само един-единствен всъщност използва. Тогава започва веселбата. Фазата на анализа на разликите е мястото, където се създава паника. ИТ организацията осъзнава колко много неща трябва да се променят, за да отговори на целевия процес и колко проблеми всъщност имат. Те също така виждат, че процеса, който е изпълняван преди в един отдел, сега трябва да бъдат еднакъв във всички отдели. Това обикновено е времето, когато някой споменава Р-думата: реорганизация, и нейният неизбежен страничен ефект: подновяват се СВ-та и хора напускат компанията в най-неподходящото време. ========================================= www.mscservices.eu - Вашите ISO консултанти ========================================= Използването на този подход води до време на цикъла за внедряване в диапазона от 6 до 12 месеца. Отнемайки 9 месеца средно на процес, то би отнело на организацията 7,5 години за изпълнение на 10 процеса по този начин. Очевидно е, че това не е приемлив график за никого. Процесът на внедряване не трябва да бъде дълъг или скъп. Години на творческо мислене, практическо тестване и фина настройка са довели до развитието на един рационализиран и ефикасен - още и прост - начин да се намали драстично времето и разходите за цикъла на внедряване на ИТ процесите – надолу до 12 седмици средно за процес. Решението: малки групи от процеси чрез ускорени итеративни PDCA (планирай, направи, провери, действай) цикли.. Внедряването на процес е процес само по себе си. То не трябва да продължава вечно и не трябва да струва цяло състояние. С течение на годините, стъпките за внедряване на икономични ИТ процеси са подобрени по начин, който позволява на ИТ организациите успешно внедряване в рекордно кратко време с минимални инвестиции. Няма магия зад постигането на сертифициране по ISO 20000 за 18 месеца, когато се изплолзва неразточителен подход. Процесно прототипната методика за внедряване – един доказан, новаторски подход за внедряване на ИТ процеси, се фокусира върху постигането на интегрирани, развити процеси и подобряване на ИТ услугите в цялата ИТ организация. Методологията е гръбнакът на проектен план - подробни етапи и фази - пригоден за внедряване на ИТ процеса и обхващащ всички фази на проект за внедряване на ИТ процес, от обхвата до ISO сертифицирането. Предложената методология е разбита на 4 етапа: • Етап 1: Създаване на прототип на процеса • Етап 2: Изграждане на процеса • Етап 3: Внедряване на процеса • Етап 4: Настройване на процеса ... и 4 фази: • Фаза 1: Среща за ориентиране • Фаза 2: Одобряване на процеса • Фаза 3: Разписване на процеса • Фаза 4: Одит на процеса. www.mscservices.eu - Вашите ISO консултанти
  15. Възстановяване след бедствие или непрекъсваемост на бизнеса oт Пол Е. Муур Спомням си един цитат от сър Джон Харви Джоунс, той каза: "най-хубавото нещо отноно липсата на планиране е, че провалът идва като пълна изненада, вместо да се предшества от период на безпокойство и депресия" Това все още е подходът на много клиенти, когато става въпрос за възстановяване след бедствие и непрекъснатост на бизнеса. Въпреки това, с широко отразените събития през последните няколко години, заедно с новото законодателство, много клиенти напредват с проекти за защита на бизнеса им при възникване на непредвидено прекъсване. Тъй като изчислителна мощност се увеличава и разходите падат, в допълнение към високата надеждност на широколентовите мрежови услуги, времето никога не е било по-подходящо за клиентите да се помислят за преодоляването на този критичен въпрос, но от къде да започнат? Искате ли Hot site, Warm recovery, Cold Space? Искате ли Възстановяване след бедствие или непрекъснатост на бизнеса? Искате ли мобилен, статичен или център за възстановяване на бизнеса? Какво искате да покриете? Колко бързо се нуждаете от него? (след като сте решили какво е то!). И т.н. и т.н. и т.н. Не е чудно, че клиентът е объркан и приключва като отлага упражнението. Наскоро говорих с един клиент, имаше абонамент за услуга по възстановяване след бедствия в продължение на много години, само за да разбере, че когато той се нуждаеше от услугата,тя не успяваше да сработи! Това беше, защото те се фокусираха предимно върху услуга за Възстановяване след бедствие, а не върху Непрекъсваемостта на бизнеса. И така, каква е разликата? ======================================== www.mscservices.eu - Вашите ISO консултанти ======================================== Услугите за възстановяване след бедствие обикновено се фокусират върху предоставянето на ресурси за замяна. Те често са предоставяни на обща абонаментна база от специалисти - доставчици (хардуер, мрежови връзки, офис пространство, компютърни зали, глас и т.н.). Непрекъсваемостта на бизнеса е точно това, което е написано, Непрекъсваемост на бизнеса. С други думи, тя осигурява непрекъснатост на бизнеса след непланирано прекъсване. Но има много области, които трябва да бъдат проучени, преди пълен План за бизнес непрекъсваемост да може да бъде разработен и тестван. Общите стъпки, които трябва да бъдат предприети, са показани по-долу. Оценка на заплахите - най-първата стъпка за всеки успешен план за бизнес непрекъсваемост е оценката на заплахите. Ако не знаете срещу какво се опитвате да се защитите, как можете да се предпазите? Много клиенти намират това упражнение за безценно, тъй като то също така посочва рисковете за бизнеса им, които могат да бъдат намалени, или в някои случаи премахнати всички наведнъж: Затова превенцията формира много важна част от фазата на предварително планиране. Всички зони, нуждаещи се от подобряване, също трябва да се маркират на този етап. Много клиенти идентифицират по-очевидни заплахи, такива като бомби, самолетни катастрофи и т.н и много игнорират по-малко очевидни, като природни бедствия или влияния на околната среда като бомбени заплахи, неблагоприятни метеорологични условия или загуба на достъп до сградата, причинена от локализиран инцидент. Колко клиенти са наясно какъв риск преставлява бизнеса на съседите? Дали правят лесно запалими или токсични материали? Биха ли привлекли вниманието на екстремистки групи? Възможно ли е локализиран инцидент да ви попречи на достъпа до вашите съоръжение? Ако е така, за колко време? Преглед на въздействието върху бизнеса - Това е, когато наистина се стигне до истинското въздействие върху бизнеса. Един от проблемите на изграждането на успешен план за непрекъснатост на бизнеса е балансът: Какво да искате, и кога да го искате? Това е доста просто, наистина, колкото по-бързо го искаш, толкова повече се разходите! За да се балансира това, клиентът трябва да направи преглед на реалното влияние върху бизнеса си на дадено прекъсване (загуба на приходи, загуба на клиенти, влияние върху цената на акциите, законови изисквания, защита на паричните потоци и др.). Дори ако въздействието е толкова голямо, клиентът ще намери за много трудно да разгърне отново цялата си работна сила върху съоръженията за възстановяване в рамките на много кратки срокове. Няколко аварийни събития в Лондон показаха въздействието върху обществения транспорт и пътната мрежа (те бяха толкова тежки, че някои клиенти установиха, че не могат да придвижат своя персонал до съоръжениято за възстановяване!). Затова е от съществено значение, че вариантите за възстановяване са приоритезирани в краткосрочен, средносрочен и дългосрочен аспект. Изисквания за ресурсите - Сега ние знаем какво искаме, и кога го искаме, възможно е да започнете да търсите елемент на възстановяване при бедствия в бизнес непрекъсваемостта. Запомнете, споменах краткосрочен, средносрочен и дългосрочен план за възстановяване? Е, това е мястото, където Hot, Warm и Cold се появяват в картината. Hot Recovery - обикновено е наличен за минути. Тази услуга ще използва напълно “жива” услуга за подмяна върху алтернативно съоръжение с подходяща мрежова връзка на място. Това ще даде възможност на клиентите да прехвърлят операциите върху системата за възстановяване с минимално (понякога нула) влияние върху бизнеса. Очевидният недостатък на това е цената. Warm Recovery - Въпреки че Hot Recovery набира популярност, Warm Recovery все още е далеч по-често прилаганото решение. Warm услугите обикновено са въз основа на база общ абонамент (споделен риск) и са налични в рамките на часове от поискването им. Обикновено би отнело до 24 часа да имате системите включени и работещи за вашия бизнес. Warm услуга може да бъде осигурена по няколко начина; доставена на място, когато оборудването е натоварено върху ван, доставено и инсталирано на място при клиента (очевидно трябва да има на подготвено място, до което да се достави!). Ако компютърното помещение е повлияно от прекъсването (аварията), услугата може да бъде доставена в мобилно съоръжение за възстановяване (компютърна зала в товарен автомобил). А ако сайтът (работното място) не е достъпно напълно, може да бъде използван отдалечен център за възстановяване. Cold Solutions - Въпреки че e по-рядко срещанo, Cold Solutions (празен офис и компютърно оборудване) все още могат да бъдат привлекателни в средносрочен план. Позволява на клиентите да възстановят 50% до 80% от тяхната работа чрез гореща (Hot) или топла (Warm) опции, както и преместването им в рамките на няколко дни или седмици до подходящо място. Центрове за възстановяване на бизнеса - центровете за възстановяване на бизнеса са разположени по целия свят и могат да помогнат на клиента да направи по-рационално възобновяването на нормалните бизнес процеси, свързани с офиса, след бедствието. Тези съоръжения включват до хиляда бюра, оборудвани с компютри, телефони и компютърни зали. Те също така предлагат стаи за срещи/заседания, столова и съоръжения за отдих и дори секретарски дейности заедно с пълен телефонно обслужване и комуникационни възможности, включително PABX / ACD, ISDN, ADSL, SDSL, MPLS и други мрежови връзки. Сега вече е просто въпрос на писане на план и тестване за възстановяване! И разбира се, да прегледате стандарти като BS 25999, но това ще трябва да изчака след купчината мои писания. www.mscservices.eu - Консултанти по системи за управление
  • Разглеждащи това в момента   0 потребители

    • Няма регистрирани потребители разглеждащи тази страница.
×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване