Премини към съдържанието

Филтри за търсене

Показани резултати за тагове '20000'.

  • Търсене по таг

    Въведете тагове разделени със запетая
  • Търсене по автор

Търсене в


Форуми

  • Софтуер
    • Нови Програми
    • Търсене на Програми
    • Програми - Проблеми и Дискусии
    • Драйвери - Търсене, Проблеми, Линкове
    • Операционни системи
    • Сигурност и антивирусна защита
    • Игри
  • Хардуер
    • Общи хардуерни въпроси
    • Преносими компютри
    • Дънни платки
    • Запаметяващи устройства и памети
    • Монитори, Аудио и Видеокарти
    • Периферия
    • Овърклок и PC модинг
    • Нови конфигурации и части, въпроси, препоръки и мнения
  • Мобилни телефони, GSM, Мобилни приложения, Комуникации
    • Мобилни телефони - Въпроси, Проблеми, Софтуер
    • Съвети при избор на телефон
    • Мобилни Приложения (Apps)
    • Мобилни оператори, Мрежи, Промоции, Абонаменти, Услуги
    • Други теми относно мобилни телефони
  • Уеб дизайн, Графичен дизайн, Програмиране
    • Програмиране
    • Графичен Дизайн и Визуални изкуства
    • CMS, Форумни и Торент системи
    • Хостинг, Домейни, Уеб сървъри
    • SEO, Уеб оптимизация и стандарти
  • Битова Техника
    • Аудиотехника
    • Телевизори, Видео и Фото техника, Видео наблюдение
    • Климатици - проблеми, съвети, въпроси
    • Бойлери, Печки, Отопление
    • Друга битова техника
  • Интернет, Локални Мрежи и GPS Навигации
    • Интернет, WiFi, xDSL и Локална Мрежа
    • Биткойн и Криптовалути
    • Онлайн бизнес, AdSense, Affilate програми
    • Рутери, Модеми, Суичове
    • Facebook - проблеми, въпроси, вируси
    • Skype, VoIP - Интернет телефония
    • GPS, Навигационни системи - Въпроси, Карти, Проблеми
  • Изкуство
    • Музика
    • Кино и Телевизия
    • Поезия и Лично творчество
    • Изкуство - Изящно, Приложно и Сценично
    • Фотография и Фотографска техника
    • Литература, Книги (e-books, video trainings, tutorials & etc.)
  • Други
    • Статии и ревюта
    • Образование и обща култура
    • Религия, Мистика, Езотерика
    • История
    • Философия
    • Психология и Психотерапия
    • Новини от България и Света
    • Българите по света
    • Политика
    • Право и Юридически консултации
    • Здраве и Mедицина
    • Банки, Застраховане, Финанси, Кредити
    • Тийн Зона (Teen Zone)
    • Купувам / Продавам
    • Всичко останало
  • Хоби, Развлечение и Свободно време
    • Спорт
    • Автомобили
    • Дом и семейство
    • Домашни любимци
    • Пътешествия и туризъм
    • Кулинар
    • Изповеди
    • Празни приказки и забава
  • За kaldata.com
    • Новини относно сайта
    • Предложения, Въпроси и Проблеми свързани със сайта
  • Теми
  • групите за са стадото аз съм вълк единак Теми
  • Photoshop майнаци Теми
  • python3 data types
  • какви са ви любимите игри?? Темиигри за вас
  • супрески игри и рекорди Темиигри за вас

Блогове

Няма резултати

Няма резултати

Категории

  • Компютри
    • Компютърни конфигурации
    • Компютърни компоненти
    • Периферни устройства
    • Дънни платки
    • Мултимедия
    • Компютърни игри и софтуер
    • Администриране и интернет услуги
    • Компютърни аксесоари
    • Лаптопи и таблети
    • Видеокарти
    • Монитори
    • Процесори
    • Хард дискове и Памети
    • Други
  • Електроника
    • Телефони, GSM апарати
    • Аудио
    • Битова електроника
    • GPS и навигационни системи
    • Фотоапарати и обективи
    • TV и Видео
    • Други
  • Имоти
    • Гарсониери
    • Къщи и вили
    • Търговски площи
    • Гаражи
    • Апартаменти
    • Терени
    • Офиси
    • Други имоти в продажба
  • Авто-мото
    • Автомобили
    • Велосипеди
    • Лодки
    • Резервни части
    • Авто аксесоари
    • Мотоциклети
    • Скутери и ATV
    • Камиони и Автобуси
    • Авто сервизи и Rent-a-Car
    • Други
  • Работа
    • Работа в страната
    • Работа в чужбина
    • Стажове
    • Работа от вкъщи
    • Непълно работно време
  • Услуги
  • Строителство
  • Туризъм
  • Курсове и обучение
  • Домашни любимци
  • Други
  • супрески игри и рекорди Обяви
  • супрески игри и рекорди Обяви

Категории

  • Домашни любимци и Животни
  • Игри
  • Инциденти и Екстремни
  • Коли и превозни средства
  • Музика
    • Българска музика
    • Джаз
    • Електронна
    • Метъл и Рок
    • Народна и Фолклор
    • Поп и Диско
    • Поп-фолк
    • Рап и хип-хоп
    • Ритъм енд блус и соул
    • Друга
  • Новини и политика
  • Реклами
  • Смях и Развлечение
  • Спорт
  • Технологии, Компютри, Хардуер
  • ТВ Предавания и Шоу Програми
  • Хора и блогове
  • Филми и анимация
  • Други
  • Old School Hip-Hop and Electroo 80" Видео клипчета

Календари

  • Събития
  • Изложения
  • Семинари
  • Парти
  • Празници в България

Групи продукти

  • Банер Реклами

Търсене в...

Търси резултати които съдържат...


Дата

  • Начало

    Край


Последно обновяване

  • Начало

    Край


Филтриране по брой...

Регистрация

  • Начало

    Край


Група


Skype


Facebook


Google+


Twitter


ICQ


Yahoo


Интернет сайт


Град


Интереси

Открити 10 резултата

  1. Абонаментна поддръжка на системи за управление (ISO системи) от Славчо Ненков - 24.05.2012 През последните години заедно с увеличението на броя на сертифицираните системи за управление популярност придоби сключването на договори за абонаментна поддръжка на системи за управление. Особено популярно това стана след влошаване на икономическата обстановка и намаляването на бюджетите на организациите. Изпълнители по договорите са консултантски компании или независими консултанти, а ангажиментите по договора обикновено се свеждат до провеждане на вътрешен одит и „потягане“ на системата преди поредния контролен или ре-сертификационен одит от страна на сертифициращата организация. В други случаи договорът дава на организацията освен посочените по-горе дейности и допълнителни „екстри“ – например определен брой човекодни или човекочасове за консултации по промяна на документи или процеси. Някои организации (обичайно тези, които са внедрили системата за управление само заради получаването на сертификат и системата е бреме за тях) предпочитат да не ангажират времето на своите служители с отговорности, произтичащи от внедрената система. Те предпочитат външен консултант да поеме изцяло „генерирането на документи и записи“, изисквани от системата и по възможност всичко да минава без тяхно участие. Да сключим ли договор за абонаментна поддръжка на внедрената система за управление и защо? Какви услуги по абонаментна поддръжка биха били полезни за нашата система? Колко често имаме нужда от услугите на консултанта при поддръжка на системата ни? На всички тези въпроси ще се опитам да отговоря по-долу въз основа на своята практика. ------------------------------------------------------------------------------------------- www.mscservices.eu - Абонаментна поддръжка на ISO системи ------------------------------------------------------------------------------------------- Да сключим ли договор за абонаментна поддръжка на внедрената система и защо? Нужда от периодична консултантска помощ за поддръжка на своята система имат както големите организации, притежаващи компетентни специалисти по внедрената система за управление, така и малките организации, които не могат да си позволят назначаване на такъв човек или натоварване на служител с допълнителни ангажименти. Големите организации, въпреки наличието на добре подготвен персонал по съответния стандарт, със сигурност се нуждаят от един външен, независими преглед на внедрената система. Разбира се, служителите на организацията най-добре познават процесите в организацията, но обикновено съответният специалист влага определен процент субективност при оценката на работата. Особено ако се е занимавал с нея по-дълго време. Един поглед отвън на консултант е много полезен в такива случаи. За предпочитане е консултант, различен от този, който е помагал при внедряване на системата с оглед на по-голяма безпристрастност. Още по-добре ако този консултант има и одиторски опит тъй като одиторите притежават неоценимо ноу-хау за оценка на системи за управление. Ще отговорите: ами контролният одит на сертификационната организация? Нали е за това? Да, така е, неговият смисъл е да следи съответствието на внедрената система за управление със стандарта във времето. За съжаление стремежът към запазване на клиенти и намаляването на одит дните в резултат на ценовата конкуренция между сертификационните организации повлияха напоследък на одиторската обективност. А това не е в полза на организациите, които искат да имат работеща система за управление. Малките фирми в условията на криза не могат да си позволят да наемат компетентни специалисти за поддръжка на внедрената система. Предвид силното редуциране на персонала все по-трудно става и тези функции да бъдат възложени на някой от служителите на компанията като допълнителни отговорности. В тази ситуация много добро решение е възлагането на част от дейностите по поддръжка и оценка на системата за управление на външен консултант. Обичайно цената на услугата излиза доста по-ниско от разходите по издръжка на собствен специалист. ------------------------------------------------------------------- www.mscservices.eu - Вашите ISO консултанти ------------------------------------------------------------------- Какви услуги по абонаментна поддръжка биха били полезни за нашата система? На първо място Вашата система за управление има нужда периодично от един външен, компетентен поглед върху нейното състояние. Това означава 2-3 пъти годишно компетентен външен консултант (за предпочитане с одиторски опит) да извършва частичен одит на внедрената система. Практически това са одити на отделни процеси или звена в обхвата на системата, които в тяхната цялост в рамките на една година напълно покриват обхвата й. Ако организацията е голяма и разполага със служители, имащи необходимата компетентност за извършване на вътрешен одит, е ефективно на външен консултант да се възложи одита на критично важните процеси в обхвата на системата. За по-малките организации, нямащи възможност да издържат собствен персонал по поддръжка и усъвършенстване на системата за управление, е ефективно възлагането на външен консултант и на дейности, свързани с актуализация на документи на системата, провеждане на вътрешни одити, подготовка на доклади за преглед от ръководството, консултантска помощ при преоценка на рисковете и други. За този тип фирми е много желателно външният консултант периодично да преглежда записите, пряко свързани с работните процеси и водени от служители на компанията. Накратко, ако сте средно голяма или малка организация, имате повече от една внедрена система за управление и нямате финансови възможности за наемане на персонал за поддръжката им, аз бих Ви препоръчал сключване на абонаментен договор с компетентен консултант, който Ви гарантира: провеждане на вътрешен одит, периодичен преглед на водените записи и определен брой дни консултантска помощ за усъвършенстване на системата. Колко често имате нужда от услугите на консултанта при поддръжка на системата Ви? Големите организации със собствен персонал по поддръжка на системите за управление имат нужда от помощта на компетентен консултант 1-2 пъти годишно за провеждане на специализирани одити на критичните процеси и инцидентно при промени на методики за оценка, преоценки на рискове, обновяване на планове за непрекъснатост на дейността и други базови промени, изискващи специализирани познания и опит. Средните и малките организации, неразполагащи със собствен персонал по поддръжка на системите за управление имат доста по-често нужда от помощта на компетентен консултант. В такива случаи неговата помощ практически е нужна на всеки 3-4 месеца, той трябва постоянно да е близо до своя клиент. Казано по друг начин организацията трябва да „назначи на работа“ консултанта. Използването на консултант еднократно 1-2 седмици преди контролния одит от сертификатора за такива организации е меко казано неудачно. Защото няма как за една седмица бъде свършено това, което е трябвало да бъде вършено цяла година. Разбира се, има „опитни“ консултанти, които набързо могат да „произведат“ необходимия минимум записи за одита, но това рано или късно ще лъсне. А и докато за някои системи за управление (качество, околна среда, безопасни условия на труд) такава имитация е възможна в определена степен, то за други като системи за управление на сигурността на информацията, системи за управление на ИТ услугите и др. това е практически невъзможно. Като заключение моят съвет е: използвайте компетентни консултантски услуги, за да гарантирате ефективната работа на Вашите системи за управление и да получите пряка икономическа изгода. Но помислете внимателно за какво точно давате парите си: до колко компетентен е Вашият консултант и какви точно услуги получавате срещу парите си. За всякакви въпроси, свързани с темата, можете да използвате формата за обратна връзка на сайта ни: www.mscservices.eu. Екипът ще се постарае да отговори на всички Ваши запитвания.
  2. Използвайте ISO 22301, за да подпомогнете развитието на вашата система за управление на риска Публикувано от Чарлз Рединджър – 24.07.2012 Както бе споменато в предишния ми пост, ISO наскоро публикува стандарт за системи за управление (ССУ), посветен на непрекъснатостта на дейността. Той е озаглавен ISO 22301:2012, "Социално сигурност - Системи за управление на непрекъснатостта на на бизнеса - Изисквания". Това е един от първите ISO стандарти за системи за управление, следващ общ формат на СУ, представен в ISO Guide 83. Този пост е един от поредицата, която ще се фокусира върху ISO 22301, насочен към системи за управление на непрекъснатостта на бизнеса (СУНБ). За тези от вас, които обмислят надграждане на вашата съществуваща система за здравословни и безопасни условия на труд или система за управление на сигурността, или пък обмислят разработването на система за управление на риска, съобразена с изискванията на ISO 31000, може би искате да обмислите възможността за използване на ISO 22301 като ръководството и шаблон. Това би могло да се окаже печелившо за вас и вашата организация. Струва си да видите как 22301 решава оценката на риска. Този крайъгълен камък на системи за управление сега е определен, следвайки рамката на Guide 83. Раздел 8, озаглавен "Опериране", съдържа следните под-елементи: ==================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ==================================================== 8.1 Оперативното планиране и контрол 8.2 Анализ на въздействието върху бизнеса и оценка на риска 8.2.1 Общи 8.2.2 Анализ на въздействието върху бизнеса 8.2.3 Оценка на риска 8.3 Стратегия за непрекъснатост на дейността 8.3.1 Определяне и избор 8.3.2 Установяване на изискванията за ресурси 8.3.3 Защита и смекчаване на последиците 8.4 Създаване и внедряване на процедурите за непрекъснатост на бизнеса 8.4.1 Общи 8.4.2 Структура за реагиране на инциденти 8.4.3 Предупреждение и комуникация 8.4.4 Бизнес планове за непрекъснатост 8.4.5 Възстановяване 8.5 Проиграване и тестване Очевидно има много важни и съществени неща в този раздел. Нека задълбаем малко в 8.2.3 - Оценка на риска. Онези от вас, които са запознати с ISO 14001 и OHSAS 18001, ще видят, че 22301 включва части от ISO 31000 (за управление на риска) и посочва, че "този процес [оценка на риска] може да бъде осъществен в съответствие с ISO 31000." 8.2.3 посочва, че "организацията трябва да създаде, внедри и поддържа формален процес на оценка на риска, който системно идентифицира, анализира и оценява риска от разрушителните за организацията инциденти." Този стандарт за СУНБ продължава с изискванията за: приоритезиране на рисковете, систематичното им анализиране, оценка кои рискове с разрушителни последствия се нуждаят от третиране, и идентифициране на третирането съизмеримо с целите за бизнес непрекъсваемост и в съответствие с апетита на организацията към риска. Тази част от 22301 (§ 8.2.3) върши добра работа, накратко обобщавайки няколко ключови понятия от ISO 31000. За тези от вас, които искат да разработят и внедрят система за управление на риска, ISO 22301 дава един начин да го направят. Да, 22301 е стандарт за СУНБ, но ако се замислите ще разберете, че в много отношения за управлението на риска и управлението на непрекъснатостта може да се мисли като за взаимозаменяеми. Дори ако не го използвате по този начин, той предоставя лесен начин за справяне и подкрепа за дейности по управление на риска. Ако това е областта, която искате да обсъдите или бихте искали подкрепа, моля да ни уведомите. www.mscservices.eu
  3. ISO 20000 - Трудно ли е са се внедри система за управление на услугите? От Славчо Ненков - 16.04.2012 Трудно ли е да се внедри система за управление на услугите съгласно изискванията на стандарта ISO 20000-1:2001? Отговорът е колкото очакван, толкова и прост - Зависи ! И за да не бъде отговорът ми съвсем йезуитски, ще обясня какво имам предвид. Ако вашата оргазнизация има вече внедрени системa за управление на качеството (ISO 9001), система за управление на сигурността на информацията (ISO 27001) и процесите на ITIL (IT Infrastructure Library), вие без много усилия можете да внедрите своята система за управление на услугите (ISO 20000). Защото вие и Вашето ръководство имате вече разбира-нето за важността и уменията за внедряване и поддържане на система за управление. Имате основните процедури, изиск-вани от двата стандарта: за управление на документите и записите, за вътрешни одити, за превантивни и коригиращи действия, въвели сте процеса на преглед от ръководството и подобряване на системите. Имате работещи процесите на ITIL, които се изискват и от ISO 20000-1:2011. На вас ви остава да приведете документацията си към изискванията на стандарта, да интегрирате системата за управление на услугите със съществуващите система за управление на качество-то и система за управление на сигурността на информацията и с не много усилия вие ще имате своето ISO 20000. Вие ще казжете - добре, така наистина е лесно, но колко са тези оргазнизации, които вече са внедрили ISO 9001, ISO 27001 и процесите на ITIL? Ами не са много малко. ============================================================= www.mscservices.eu - Абонаментна поддръжка на системи за управление ============================================================= Но въпреки това, да продължим нататък - да допуснем, че вашата организация е голяма или средна ИТ компания, която има опит от сътрудничество с утвърден доставчик на ИТ или комуникационни решения. В този случай вие неминуемо имате внедрени система за управление на качеството и система за управление на сигурността на информацията заради изискванията на вашите клиенти (държавана администрация, банки, телекомуникационни компании и други). Вие немину-емо трябва да имате специалисти, които са запознати с процесите на ITIL пак заради естеството на вашата работа. Партньорството с утвърдени доставчици на ИТ или комуникационни решения неминуемо е наложило да внедрите добри практики в доставката на услуги, просто защото такава е практиката на големите производители - те изискват спазване на определени правила при доставка на услуги и извършват ежегодни одити, за да проверят как сте ги внедрили. В този случай с голяма доза увереност можем да твърдим, че вие вече имате внедрени следните функции и процеси на ITIL: help desk, планиране и въвеждане на нови или променени услуги, управление на нивото на услугите, отчетност на услугите, управле-ние на непрекъснатостта и наличността на услугите, управление на инциденти и проблеми, управление на промени, процес за пускане в действие и разгръщане. Процесът за управление на сигурността на информацията се осигурява от внедрената система за управление на сигурността на информацията. Процесите за управление на доставчиците и бизнес отношенията могат да бъдат осигурени от внедрената система за управление на качеството. В този случай вие трябва да внедрите някои допълнителни процеси като: бюджетиране и счетоводна отчетност на услугите, управление на капацитета, управление на конфигурации, което при придобитите от вашата организация навици за внедряване и поддържане на про-цеси, няма да е никак сложно. Е, добре, но ако вашата организация няма опит от сътрудничество с утвърден проеизводител на ИТ и комуникационна техника и не е внедрила никой от посочените по-горе процеси? Ами тогава ще трябва да внедрите всичко това. Разбира се ако все пак имате внедрени система за управление на качеството и система за управление ан сигурността на информаци-ята това ще ви облекчи тъй като можете да ги изпозлвате за осигуряване на процесите за управление на доставчиците, на бизнес отношенията и на сигурността на информацията. А ако нямате внедрени ISO 9001 и ISO 27001? Е, тогава ще трябва да положите повече усилия. Именно затова в началото така започнах - със "зависи". Все пак обаче нормално е да се очаква от една организация, в която се е появила необходимостта от внедряване на ISO 20000, да се използват добрите ИТ практики в предоставянето на услуги ... www.mscservices.eu - Вашите ISO консултанти
  4. Нашата амбиция е на тази страница да Ви запознаваме с интересни актуални статии, касаещи разработката и внедряването на системи за управление на бизнеса. Сега на Вашето внимание представяме една публикация на Деян Кошутич - iSMS и BCMS водещ одитор. Петте най-големи мита за ISO 27001 Публикувано от: Деян Кошутич Много често чувам неща за ISO 27001 и не знам дали да се смея или да плача над тях. Всъщност това е смешно, как хората са склонни да вземат решения за нещо, за което те знаят много малко - тук са най-често срещаните заблуди "Стандарт изисква ..." "Стандартът изисква паролите да се сменят на всеки 3 месеца." "Стандартът изисква да съществуват множество доставчици." "Стандартът изисква сайтът за възстановяване след бедствие да бъде най-малко 50 км от главния сайт." Наистина ли? Стандартът не казва подобно нещо. За съжаление, този вид невярна информация, аз чувам доста често - хората обикновено бъркат добрите практики с изискванията на стандарта, но проблемът е, че не всички правила за сигурност са приложими за всички видове организации. И хора, които твърдят, че това е предписано от стандарта, вероятно никога не са чели стандарта. "Ще оставим ИТ отдела да се справи" Това е любимото за мениджърите - "Информационната сигурност е изцяло свързано с ИТ, не е ли така?" Е добре, не е истина - най-важните аспекти на информационната сигурност включват не само ИТ мерки, но също така и организационни въпроси и управление на човешките ресурси, които обикновено са извън обсега на ИТ отдела. “Ние ще го внедрим за няколко месеца" Бихте могли да внедрите своето ISO 27001 за 2 или 3 месеца, но то няма да работи - вие ще получите само един куп политики и процедури, за които никой не му пука. Внедряване на информационна сигурност означава, че вие трябва да въведете промени, и отнема време промените да сработят.. Да не говорим, че вие трябва да внедрите само тези контроли, които наистина са необходими, а анализът за това, кое е наистина необходимо, отнема време - това се нарича оценка на риска и третиране на риска. "Този стандарт е изцяло за документирането" Документацията е важна част от изпълнението на ISO 27001, но документацията не е самоцел. Основното е, че вие извършвате вашите дейности по сигурен начин, и документацията е тук, за да ви помогне да го направите. Също така, записите, които вие генерирате, ще ви помогнат да оцените дали постигнете целите си за сигурност на информацията и да ви даде възможност за коригиране на тези дейности, които са неадекватни. "Единствената полза от стандарта е за маркетингови цели" "Ние правим това само за да получим сертификат, не е ли така?" Е, 80% от фирмите смятат, че това е (за съжаление) пътят. Аз не се опитвам да се споря тук, че ISO 27001 не трябва да се използва за промоционални и продажбени цели, но можете също така да постигне и други много важни предимства - като например предотвратяване да ви се случи историята с WikiLeaks,. Въпросът тук е - четете ISO 27001 първо преди да формират мнението ви за него, или ако това е твърде скучно за четене за вас (което аз признавам, че е), консултирайте се с някой, който има реални познания за него. И се опитайте да получите някои други ползи освен маркетинговите. С други думи, увеличете шансовете си да направите изгодна инвестиция в сигурността на информацията www.mscservices.eu - Вашите ISO консултанти
  5. Възстановяване след бедствие или непрекъсваемост на бизнеса oт Пол Е. Муур Спомням си един цитат от сър Джон Харви Джоунс, той каза: "най-хубавото нещо отноно липсата на планиране е, че провалът идва като пълна изненада, вместо да се предшества от период на безпокойство и депресия" Това все още е подходът на много клиенти, когато става въпрос за възстановяване след бедствие и непрекъснатост на бизнеса. Въпреки това, с широко отразените събития през последните няколко години, заедно с новото законодателство, много клиенти напредват с проекти за защита на бизнеса им при възникване на непредвидено прекъсване. Тъй като изчислителна мощност се увеличава и разходите падат, в допълнение към високата надеждност на широколентовите мрежови услуги, времето никога не е било по-подходящо за клиентите да се помислят за преодоляването на този критичен въпрос, но от къде да започнат? Искате ли Hot site, Warm recovery, Cold Space? Искате ли Възстановяване след бедствие или непрекъснатост на бизнеса? Искате ли мобилен, статичен или център за възстановяване на бизнеса? Какво искате да покриете? Колко бързо се нуждаете от него? (след като сте решили какво е то!). И т.н. и т.н. и т.н. Не е чудно, че клиентът е объркан и приключва като отлага упражнението. Наскоро говорих с един клиент, имаше абонамент за услуга по възстановяване след бедствия в продължение на много години, само за да разбере, че когато той се нуждаеше от услугата,тя не успяваше да сработи! Това беше, защото те се фокусираха предимно върху услуга за Възстановяване след бедствие, а не върху Непрекъсваемостта на бизнеса. И така, каква е разликата? ======================================== www.mscservices.eu - Вашите ISO консултанти ======================================== Услугите за възстановяване след бедствие обикновено се фокусират върху предоставянето на ресурси за замяна. Те често са предоставяни на обща абонаментна база от специалисти - доставчици (хардуер, мрежови връзки, офис пространство, компютърни зали, глас и т.н.). Непрекъсваемостта на бизнеса е точно това, което е написано, Непрекъсваемост на бизнеса. С други думи, тя осигурява непрекъснатост на бизнеса след непланирано прекъсване. Но има много области, които трябва да бъдат проучени, преди пълен План за бизнес непрекъсваемост да може да бъде разработен и тестван. Общите стъпки, които трябва да бъдат предприети, са показани по-долу. Оценка на заплахите - най-първата стъпка за всеки успешен план за бизнес непрекъсваемост е оценката на заплахите. Ако не знаете срещу какво се опитвате да се защитите, как можете да се предпазите? Много клиенти намират това упражнение за безценно, тъй като то също така посочва рисковете за бизнеса им, които могат да бъдат намалени, или в някои случаи премахнати всички наведнъж: Затова превенцията формира много важна част от фазата на предварително планиране. Всички зони, нуждаещи се от подобряване, също трябва да се маркират на този етап. Много клиенти идентифицират по-очевидни заплахи, такива като бомби, самолетни катастрофи и т.н и много игнорират по-малко очевидни, като природни бедствия или влияния на околната среда като бомбени заплахи, неблагоприятни метеорологични условия или загуба на достъп до сградата, причинена от локализиран инцидент. Колко клиенти са наясно какъв риск преставлява бизнеса на съседите? Дали правят лесно запалими или токсични материали? Биха ли привлекли вниманието на екстремистки групи? Възможно ли е локализиран инцидент да ви попречи на достъпа до вашите съоръжение? Ако е така, за колко време? Преглед на въздействието върху бизнеса - Това е, когато наистина се стигне до истинското въздействие върху бизнеса. Един от проблемите на изграждането на успешен план за непрекъснатост на бизнеса е балансът: Какво да искате, и кога да го искате? Това е доста просто, наистина, колкото по-бързо го искаш, толкова повече се разходите! За да се балансира това, клиентът трябва да направи преглед на реалното влияние върху бизнеса си на дадено прекъсване (загуба на приходи, загуба на клиенти, влияние върху цената на акциите, законови изисквания, защита на паричните потоци и др.). Дори ако въздействието е толкова голямо, клиентът ще намери за много трудно да разгърне отново цялата си работна сила върху съоръженията за възстановяване в рамките на много кратки срокове. Няколко аварийни събития в Лондон показаха въздействието върху обществения транспорт и пътната мрежа (те бяха толкова тежки, че някои клиенти установиха, че не могат да придвижат своя персонал до съоръжениято за възстановяване!). Затова е от съществено значение, че вариантите за възстановяване са приоритезирани в краткосрочен, средносрочен и дългосрочен аспект. Изисквания за ресурсите - Сега ние знаем какво искаме, и кога го искаме, възможно е да започнете да търсите елемент на възстановяване при бедствия в бизнес непрекъсваемостта. Запомнете, споменах краткосрочен, средносрочен и дългосрочен план за възстановяване? Е, това е мястото, където Hot, Warm и Cold се появяват в картината. Hot Recovery - обикновено е наличен за минути. Тази услуга ще използва напълно “жива” услуга за подмяна върху алтернативно съоръжение с подходяща мрежова връзка на място. Това ще даде възможност на клиентите да прехвърлят операциите върху системата за възстановяване с минимално (понякога нула) влияние върху бизнеса. Очевидният недостатък на това е цената. Warm Recovery - Въпреки че Hot Recovery набира популярност, Warm Recovery все още е далеч по-често прилаганото решение. Warm услугите обикновено са въз основа на база общ абонамент (споделен риск) и са налични в рамките на часове от поискването им. Обикновено би отнело до 24 часа да имате системите включени и работещи за вашия бизнес. Warm услуга може да бъде осигурена по няколко начина; доставена на място, когато оборудването е натоварено върху ван, доставено и инсталирано на място при клиента (очевидно трябва да има на подготвено място, до което да се достави!). Ако компютърното помещение е повлияно от прекъсването (аварията), услугата може да бъде доставена в мобилно съоръжение за възстановяване (компютърна зала в товарен автомобил). А ако сайтът (работното място) не е достъпно напълно, може да бъде използван отдалечен център за възстановяване. Cold Solutions - Въпреки че e по-рядко срещанo, Cold Solutions (празен офис и компютърно оборудване) все още могат да бъдат привлекателни в средносрочен план. Позволява на клиентите да възстановят 50% до 80% от тяхната работа чрез гореща (Hot) или топла (Warm) опции, както и преместването им в рамките на няколко дни или седмици до подходящо място. Центрове за възстановяване на бизнеса - центровете за възстановяване на бизнеса са разположени по целия свят и могат да помогнат на клиента да направи по-рационално възобновяването на нормалните бизнес процеси, свързани с офиса, след бедствието. Тези съоръжения включват до хиляда бюра, оборудвани с компютри, телефони и компютърни зали. Те също така предлагат стаи за срещи/заседания, столова и съоръжения за отдих и дори секретарски дейности заедно с пълен телефонно обслужване и комуникационни възможности, включително PABX / ACD, ISDN, ADSL, SDSL, MPLS и други мрежови връзки. Сега вече е просто въпрос на писане на план и тестване за възстановяване! И разбира се, да прегледате стандарти като BS 25999, но това ще трябва да изчака след купчината мои писания. www.mscservices.eu - Консултанти по системи за управление
  6. "Облачните" компютърни услуги и ISO 27001 / BS 25999 От Деян Кошутич - 30 май 2011 Все повече и по-често хората ме питат какво да правят с "облачните" компютърни услуги в контекста на ISO 27001 и BS 25999. Моят отговор е:използвате здрав разум. Тяхната дилема е напълно разбираема - тези стандарти са били написани преди "облачните" услуги да станат толкова сериозен фактор и затова няма особен акцент върху "облачните" услуги в никой от тях. За да станат нещата още по-лоши, прекъсвания на доставчиците на "облачни" услуги предизвикаха сериозни проблеми на други интернет-базирани бизнеси, какъвто беше наскоро случая с Amazon Web Services (за повече информация за AWS и ISO 27001 четете Означава ли ISO 27001, че информацията е 100% сигурна?). Ето защо, тяхната позиция е: тъй като ние не можем да контролираме информацията в "облака", сигурността на информацията в такъв случай е празна приказка. Нова концепция? Аз няма да се съглася с това. Смисълът е - "облачните" компютърни услуги не са нищо друго, освен аутсорсинг (на съхраняване или обработка на вашата информация). А вие вече сте дали на аутсорсинг други дейности, които могат да застрашат сигурността на вашата информация - вашият софтуер обичайно се разработва от външен доставчик, вие може да имате външни доставчици, които поддържат хардуерните и софтуерните ви активи (понякога с отдалечен достъп до вашата мрежа), най-вероятно имате някакъв външен персонал по поддръжката на място при вас (ако не за друго, то за инфраструктурата), почти сигурно имате консултанти и / или одитори на място при вас (които знаят уязвимостите на вашата компания) и най-вероятно имат външен персонал по почистването на персонал (и те имат достъп до повечето от съоръженията, когато никой друг не е наличен). Ето защо, аз бих казал, въпреки че "облачните" услуги са нова технологична възможност, основният въпрос на аутсорсинга остава както и преди - до колко можете да се доверите на вашия аутсорсинг партньор? Здрав разум Тук е мястото, където трябва да използвате здравия си разум или да приложите текстовете на ISO 27001 и BS 25999-2 - трябва даизползвате оценката на риска, за да разберете какви са потенциалните рискове, и тогава ще трябва да изберете мъдро вашия партньор и да приложите необходимите контроли за сигурност, за да намалите тези рискове. В контрола A.6.2.1 ISO 27001 изисква да се идентифицират "... рисковете за информацията на организацията и средствата за обработка на информация от бизнес процесите с участието на външни лица", а A.6.2.3 изисква да се разгледат въпросите на сигурността в споразумения, които "... трябва да вклюват всички релевантни изисквания за сигурност", има и различни други контроли, определящи резервирането на информацията (A.10.5.1), контрола на достъпа (А.11), класификацията (A.7.2.1) и т.н. В клауза 4.1.1 BS 25999-2 изисква да "... Се идентифицират всички зависимости, свързани с критичните дейности, включително доставчици и, аутсорсинг партньори", в клауза 4.1.2 "... да се установят заплахите и слабостите ... включително тези, предизвикани от доставчиците и аутсорсинг партньорите", а в клауза 4.2 "... да определи как ще възстанови всяка критична дейност ... включително продукти и услуги, предоставяни от доставчици и аутсорсинг партньори ". ==================================================== www.mscservices.eu - Абонаментна поддръжка на ISO системи ==================================================== И така, какво можете да направите, за да намалите риска от "облачните" услуги? Ето няколко много важни съвета: • направете цялостна проверка на потенциалния доставчик - не само записи за неговата производителност, но също така и биографиите на неговите ръководители, внедрил ли е политики и процедури за информационна сигурност и непрекъсваемост на бизнеса, финансова стабилност, правни рискове и т.н. • включете много специфични клаузи за сигурност във Вашия договор с доставчика, катоо най-големият акцент ще бъде върху въпросите, които са предизвикали най-големи опасения по време на оценката на риска. • съхранявайте резервно копие на информацията си на място - въпреки че доставчикът "облачни" услуги (вероятно) прави редовно архивиране, то винаги е добра идея да имате пряк контрол върху вашата информация. (например банковите регулатори в някои страни са наложили регламенти за местните банки да пазят резервно копие вътре в страната специално заради този риск.) • Разработете стратегия за това как да се върне обработката/архивирането на информация обратно във вашата компания (ре-инсорсинг) в случай на проблеми с вашия доставчик на "облачни" услуги - вие трябва да знаете точно какви стъпки са необходими, както и какви ресурси. • Възможна стратегия за излизане от кризата може да бъде осигуряването на алтернативен доставчик на "облачни" услуги, в готовност, готов да се включи ако вашият партньор се справя зле. • Извършвайте редовни проверки на вашия доставчик, за да разберете дали има съответствие на защитните клаузи от споразумението. Разбира се, повечето от нещата, споменати тук, ще изглеждат невъзможни за по-малка компания. Но във всеки случай, бихте ли им поверили наистина вашата важна информация, без да имате никакви гаранции? Понякога е по-добре без "облачни" услуги - това е нещо, което вашето ръководство трябва да реши: те трябва да преценят баланса между разходите и удобство, и рисковете. Управлявайте вашите рискове Не се опитвам да кажа тук, че рисковете от "облачните" компютърни услуги са същите както другите аутсорсинг рискове, защото те не са - "облачните" услуги обикновено водят до по-високи рискове. Аз също не се опитвам да кажа, че ISO 27001 и BS 25999-2 (скоро ще излезе ISO 22301) не трябва да бъдат по-конкретни относно "облачните" услуги, защото трябва. Аз мисля също, че законодателството трябва да разгледа този въпрос много бързо. Това, което аз се опитвам да кажа тук е, че въпреки че рисковете, свързани с "облачните" услуги, са високи, това не означава, че те не могат да бъдат намалени. Затова, използвайте здравия си разум при избора на доставчик на "облачни" услуги - ако не вярвате напълно на вашия доставчик, тогава не му поверявайте вашата чувствителна информация. www.mscservices.eu - Вашите ISO консултанти
  7. ISO 20000: Изборът на подходящия процес за внедряване от Изабел Перон. Повечето ИТ организации започват процеса на внедряване на ISO 20000 или ITIL с много малък опит. И защо не? Един интелигентен човек трябва да бъде в състояние да вземете наръчник, да го прочете и да го приложи в своята организация, нали? Е, това е вярно, но трябва първо да вземеш в ръце такъв наръчник. Моите клиенти често ме питат дали знам книга, която компетентно да разглежда методологията за изпълнение. Въпреки че има множество книги, които разглеждат теорията на ИТ процесите и го правят много добре, аз все още търся такъв, който обхваща цялостно внедряването на тези процеси. Що се отнася до методологиите за внедряване сами по себе си, те са най-дълго и добре пазените тайни, които консултантските фирми са склонни да продават чрез своите услуги, но са доста срамежливи да ги споделят безплатно. Е, познайте какво? Аз не съм! Една от най-популярните и общоприети методологии е традиционният 5-стъпков подход. Този подход може да бъде обобщен както следва: • Стъпка 1 - Опишете сегашното положение - каквото е; • Стъпка 2 - Определете целевия процес - да бъде; • Стъпка 3 - Документирайте разликата между текущия и целевия процес; • Стъпка 4 - Планирайте стъпките за покриване на разликата; • Стъпка 5 - Изпълнете плана. Този подход често води до катастрофални последици. Първо, за да опише настоящата ситуация и да определи целевия процес, организацията обикновено инвестира много време и пари в създаването на един много сложен документ за бъдещия процес - обикновено схема, която много малко хора разбират, само един-единствен всъщност използва. Тогава започва веселбата. Фазата на анализа на разликите е мястото, където се създава паника. ИТ организацията осъзнава колко много неща трябва да се променят, за да отговори на целевия процес и колко проблеми всъщност имат. Те също така виждат, че процеса, който е изпълняван преди в един отдел, сега трябва да бъдат еднакъв във всички отдели. Това обикновено е времето, когато някой споменава Р-думата: реорганизация, и нейният неизбежен страничен ефект: подновяват се СВ-та и хора напускат компанията в най-неподходящото време. ========================================= www.mscservices.eu - Вашите ISO консултанти ========================================= Използването на този подход води до време на цикъла за внедряване в диапазона от 6 до 12 месеца. Отнемайки 9 месеца средно на процес, то би отнело на организацията 7,5 години за изпълнение на 10 процеса по този начин. Очевидно е, че това не е приемлив график за никого. Процесът на внедряване не трябва да бъде дълъг или скъп. Години на творческо мислене, практическо тестване и фина настройка са довели до развитието на един рационализиран и ефикасен - още и прост - начин да се намали драстично времето и разходите за цикъла на внедряване на ИТ процесите – надолу до 12 седмици средно за процес. Решението: малки групи от процеси чрез ускорени итеративни PDCA (планирай, направи, провери, действай) цикли.. Внедряването на процес е процес само по себе си. То не трябва да продължава вечно и не трябва да струва цяло състояние. С течение на годините, стъпките за внедряване на икономични ИТ процеси са подобрени по начин, който позволява на ИТ организациите успешно внедряване в рекордно кратко време с минимални инвестиции. Няма магия зад постигането на сертифициране по ISO 20000 за 18 месеца, когато се изплолзва неразточителен подход. Процесно прототипната методика за внедряване – един доказан, новаторски подход за внедряване на ИТ процеси, се фокусира върху постигането на интегрирани, развити процеси и подобряване на ИТ услугите в цялата ИТ организация. Методологията е гръбнакът на проектен план - подробни етапи и фази - пригоден за внедряване на ИТ процеса и обхващащ всички фази на проект за внедряване на ИТ процес, от обхвата до ISO сертифицирането. Предложената методология е разбита на 4 етапа: • Етап 1: Създаване на прототип на процеса • Етап 2: Изграждане на процеса • Етап 3: Внедряване на процеса • Етап 4: Настройване на процеса ... и 4 фази: • Фаза 1: Среща за ориентиране • Фаза 2: Одобряване на процеса • Фаза 3: Разписване на процеса • Фаза 4: Одит на процеса. www.mscservices.eu - Вашите ISO консултанти
  8. Новият ISO 27001:2013 – две в едно: либерализация и хармонизация Славчо Ненков – 12.02.2013 Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта: Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... ), но пък има достатъчно промени в този дух. Ето основните: Няма ги задължителните документирани процедури В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване. Липсва списък със задължителните документи на СУСИ В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи. Либерализация при оценката на риска За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране. Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска. Липсва фокусът върху превантивни действия В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие. ================================================================== www.mscservices.eu - Вашите ISO консултанти ================================================================== Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други. Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес. Другите по-съществени промени в стандарта са свързани с посочените по-долу области: Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008. Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията. В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени. На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска. Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите. Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията. Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях. Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133. От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2). Включени са 9 нови механизмa за контрол както следва: - А.6.1.4 Information security in project management - A.12.6.2 Restrictions on software installation - A.14.2.1 Secure development policy - A.14.2.5 System development procedures - A.14.2.6 Secure development environment - A.14.2.8 System security testing - A.16.1.4 Assessment and decision of information security events - A.16.1.5 Response to information security incidents - A.17.2.1 Availability of information processing facilities Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти. Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията. www.mscservices.eu - Вашите ISO консултанти
  9. Консултиране по ISO 9001 - Как да извлечете полза, работейки с консултант по ISO 9001 От Артър Луис Консултирането по ISO 9001 се предлага откакто стандартът за системи за управление на качеството ISO 9001 е бил публикуван за първи път през 1979 г. .. В момента почти един милион компании по света са сертифицирани по някой стандартите за управление на бизнеса ISO или друг. Те включват ISO 9001, ISO 14001, AS9100, ISO / TS 16949 и др. Статистиките, които са събрани до този момент показват, че докато някои компании тръгнаха да внедряват ISO стандарти, използвайки вътрешни ресурски, тези, които използваха външни консултантски услуги по ISO 9001, се възползваха най-много по отношение на скоростта на изпълнение, ефективността и възвращаемостта. Консултантски фирми по ISO 9001 предлагат редица услуги. Нека сега да разгледаме някои от тях, така че да можете да определите какъв избор от услуги ще са най-подходящ за вашата компания. ISO 9001- Интерпретация на стандарта Стандартът за системи за управление на качеството ISO 9001 може да бъде труден документ за разбиране. Той е писан на квази-юридически език и посочва изискванията в много общи линии. Това е умишлено, тъй като той е предназначен да се прилага за всички видове бизнес дейност. Доста компании имат проблеми при интерпретирането му спрямо техните специфични бизнес процеси. Опитният консултант по ISO 9001 може да ви помогне да приложите стандарта към вашите специфични бизнес дейности. ISO 9001 - Одит на пропуските (Gap audit) Преди прилагането на стандарта ISO 9001 към вашия бизнес, вие трябва да знаете какво е несъответствието между вашите съществуващи бизнес практики и контролите, отнасящи се до ISO 9001. Ангажирайки консултантски услуги по ISO 9001 – вие можете да имате преглед на вашите настоящи практики на системата за управление, контроли и документация, така че да се установи степента, до която те отговарят на изискванията на ISO 9001. Консултантът ще ви даде подробен одитен доклад, посочващ пропуски във вашата компания заедно с неговите препоръки. Това ще помогне при съвместното внедряване на плана за изпълнение на проекта за ISO 9001 да се постигне пълно съответствие. ISO 9001 - Планиране и организация на проекта В зависимост от големината и сложността на вашата компания, проектът за внедряване на ISO 9001 може да отнеме от шест до 18 месеца до завършването му. Вашият ISO проект трябва да бъдат добре планиран по отношение на това колко време и ресурси са необходими, специфични дейности които трябва да се извършат, кой ще бъде отговорен за всяка дейност, основните прегледи, одобрения, обучение, разрешаванен на проблеми и т.н. Един добър консултант по ISO 9001 може да бъде ценен помощник при подпомагане на вашия бизнес да се справи с тази важна дейност. ISO 9001 - Идентифициране и документиране на бизнес процесите ISO 9001 разглежда бизнес процесите като ключов момент за контрол. Те включват както вътрешни, така и външни процеси. Някои компании имат трудности, правейки разграничение между процеси, отдели и функционални дейности. Консултантите – експерти по ISO 9001 могат да ви помогнат да идентифицирате и правилно да документирате всички организационни процеси, отнасящи се до вашата система за управление на качеството. Това включва: клиентски-ориентирани, управленски, по реализация на продуктите, по ресурсно планиране, измерване, поддръжка и изнесени (outsorced) процеси. ---------------------------------------------------------------------------------------------------------------- www.mscservices.eu - Вашите ISO консултанти ---------------------------------------------------------------------------------------------------------------- ISO 9001 - Разработване и внедряване на системата Основният акцент на стандарта ISO 9001 е върху ефективното планиране, функциониране и контрол на всички релевантни процеси, включени в системата за управление на качеството. Това е вероятно най-времеотнемащата и трудна част от всеки проект за внедряване на ISO. Много въпроси могат да възникнат като: какви процеси трябва да бъдат контролирани, какво се прави за ефективен контрол, как най-добре да се комуникира и внедри, взаимодействие между процесите, как да съзададете цели и задачи на процесите и какви записи да съхранявате. Това е мястото, където използването на външно консултантиране по ISO 9001 значително ще помогне в отговорите на тези въпроси, ще осигури необходимия фокус и ще улесни внедряването. ISO 9001 – Документиране на системата за управление Най-новият стандарт ISO 9001:2008 редуцира вниманието върху документирането и максимализира вниманието си вурху ефективното планиране и контрол. Достатъчно количество документация обаче е необходимо за много бизнес процеси, за да се осигури последователното прилагане на ефективен контрол. Много организации имат или твърде много, или твърде малко документация. Един опитен консултант може да помогне на организацията да определи до къде е нуждата, колко и как трябва да бъде документирано. ISO 9001 - Предварителната оценка Сертифициращите органи по ISO 9001 изпълняват своя сертификационен одит на два етапа. По време на етап 1 те преглеждат до колко е готов вашият бизнес (което включва вашите дейности по планиране, документиране и вътрешен преглед), а в етап 2 те одитират вашата система за управление за ефективно внедряване на планираните контроли, като в двата случая прегледът се извършва спрямо стандарта ISO 9001. След като прекарате няколко месеца във внедряване и счетете, че вашата компанията е готова за сертификационния одит, може да е от полза използването на външно консултиране, за да се направи веднъж, за да направи еднократна оценка дали сте наистина готови, да идентифицира всички слабости и да ви помогне да предприемете подходящи коригиращи действия, преди сертификационния одит. ISO 9001 - Обучение Консултантските услуги по ISO 9001 често предлагат разнообразие от възможности за обучение. Те включват: - Обучение по ISO 9001 за осъзнаване на служителите на всички нива - Мениджмънт насочен общ преглед на ISO стандарта - за топ мениджмънта - Идентификация, описание, анализ и подобрение на процесите - Управление на ISO проекти - Документиране и внедряване на ISO - Вътрешен одит - Използване на инструменти за решаване на на проблема Въз основа на степента на вътрешна експертиза в рамките на вашата организация, вие можете да пожелаете да използвате външна консултантска услуга по ISO 9001, осигуряваща ви някаква част или цялото това обучение. Разработване и поддръжка на програма за вътрешна одит по ISO 9001 За да бъде сертифицирана и да остане такава, стандартът ISO 9001 изисква вашата организация да планира и провежда програма за вътрешен одит на своята система за управление на качеството. В тези дни много организации имат недостиг на ресурси, експертиза за вътрешен одит и налични служители, така че те аутсорсват поддържането на техните програми за вътрешен одит по ISO 9001 на консултантски фирми, които го правят далеч по-ефективно, отколкото повечето вътрешни одитори. ISO 9001 – Процес на непрекъснато подобряване Стандартът ISO 9001 очаква вашата система за управление на качеството да бъде динамична и да работи за непрекъснато подобряване на ефективността и ефикасността на вашата организация, а също и за повишаване удовлетвореността на клиентите. Много консултантски фирми по ISO 9001 имат разнообразни умения и опит в стратегии и методи за непрекъснато подобряване. Те могат да включват решаване на проблеми, Six Sigma, ефективно производство, използване на различен бизнес софтуер и инструменти и т.н. Те могат значително да увеличат темпото ви чрез придобиване на допълнителна оперативна ефективност, удовлетвореност на клиентите и повишаване на рентабилността на бизнеса. www.mscservices.eu - Вашите ISO консултанти
  10. Пет тайни за сигурностa, които ИТ администраторите не искат да знаете от Филип Либерман - изпълнителен директор, Либерман Software Като ценни членове на вашата организация, ИТ администраторите работят всеки ден, за да осигурят работоспособността на вашата инфраструктура. Но при днешния натиск за сдържане на оперативните разходи, ИТ администраторите биха могли да тръгнат по много “по-преки пътища”, отколкото бихте очаквали. А може би нито един аспект на ИТ не страда повече от “преките пътища” отколкото сигурността. Съществуват пет факта за вашата ИТ сигурност, за които вашите администратори вероятно не искат да знаете. Повечето пароли никога не се променят Разбира се, регламентите могат да изискат чести смени на паролите на всички потребители във вашата инфраструктура. Но макар че вашите ИТ администратори могат да имат за задача да променят паролите на регулярна основа, във вашата организация, вероятно липсва автоматизация надеждно да извършва тази промяна, като паролите може да бъдат хиляди, което значи много. Чувствителни акаунти като администраторски идентификатори, вградени application-to-aplication пароли и привилегировани сервизни потребители, често запазват едни и същи пароли за години, защото ИТ персоналът може да няма инструменти да ги следи и да ги променя. И тъй като системите и приложенията често се “чупят”, когато ИТ персоналът се опитва да променя взаимозависими идентификатори (credentials), много от най-привилегированите идентификатори във вашата организация може да останат непроменени за продължителен период от време. Временната промяна на процеси и ръчно писаните скриптове може да успеят в обновяването на паролите на някои видове привилегировани акаунти, но ако вашата организация не е инвестирала в софтуер за управление на идентичността, вие можете да бъдете сигурни, че много от на паролите, които предоставят достъп до най-чувствителната информация на вашата организация, никога не са променяни. Това означава, че достъп до тези данни - дали от ИТ персонала, програмисти, подизпълнители и други, които някога са имали достъп - ще продължават да се разпространява с течение на времето Твърде много хора имат твърде много достъп Независимо от вашите писмени политики, пароли на високо-привилегировани акаунти почти със сигурност се знаят от голяма част от ИТ персонала. И най-вероятно, за по-голямо удобство тези идентификатори са споделени с лица извън ИТ персонала. В резултат изпълнители, доставчици на услуги, приложнит програмисти и дори крайни потребители е вероятно да имат възможност да получат привилегирован достъп с помощта на идентификаторите, които може би никога не се променят. Освен ако нямате технология на място, за да следите привилегированите идентификатори, да делегирате достъп и да ги променяте след всеки път, когато са използвани, вие никога няма да узнаете кой в момента има достъп ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- www.mscservices.eu - Вашите ISO консултанти. ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 9001. Добри практики за управление на бизнеса ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Данните на вашия изпълнителен директор не са тайна С всички актуални заглавия за корпоративни и държавни изтичания на данни, вие все още може да бъдате изненадани да знаете,колко много хора имат достъп до файлове на вашите работни компютри, както и до данните, намиращи се в приложенията, които старши мениджърите използват всеки ден. Всеки, който знае правата на идентификаторите, може да придобие анонимен достъп да чете, копира и променя данни - включително данните от комуникацията и приложенията, принадлежащи на управленския персонал. В много случаи тези идентификатори са известни не само на висши ИТ мениджъри, но също така и на по-низшия ИТ персонал, екипите за приложно програмиране, контрагенти и др. Повече от вероятно е ниско платените ви Help Desk служители, да имат достъп до по-чувствителни данни, отколкото финансовия ви директор. А тези подизпълнители в Индия? Вероятно е те да имат достъп и до акаунта на изпълнителноя директор също. IT одиторите може да бъде подведени Ако вашите администратори знаят за пропуски в сигурността или неработещи политики, които вашите IT одитори не са открили, те най-вероятно ще се опитат да отнесат тези знания в гроба си. ИТ персоналът има ограничен период от време да завърши по-значими проекти, които влияят върху показателите за изпълнение и заплащанията, така че в повечето случаи можете да забравите за тях, що се отнася до пропуските в сигурността, които вашите одитори не са успели да забележат. Сигурността често остава на заден план Структурата за заплащането на Вашите ИТ администратори обвързани ли е със сигурността? Не е ли? Тогава те вероятно не са толкова проактивни, както може да се очаква, когато става въпрос за сигурността на вашата мрежа. Повечето ИТ администратори не биха ви разказали за уязвимости в сигурността, които те откриват в хода на работата си, защото на тях не им се плаща да водят губещи битки за получаване на ресурси, необходими за отстраняване на всички установени пропуски в сигурността. Тъй като възнагражденията рядко са обвързани със сигурността на вашата мрежа, вашият ИТ администратор вероятно също не поема инициативата да актуализира своите технически умения, що се отнася до сигурността. Като резултат, дори когато бюджетите дават възможност за покупки на нови технологии за сигурност, вашите служители може да нямат никаква представа как да използват тези нови инструменти ефективно. Базово, сигурността на всяка организация зависи от това колко добре ИТ балансира удобството с контрола и отчетността. Твърде често ИТ се оставя свободно да царува, работейки по нейните собствени правила когато става дума за сигурност и се съпротивлява, работейки под същите видове контроли, които се прилагат към другите в организацията. Тези организации, които работят, за да приведат ИТ в баланс - въвеждайки отчетност чрез разделяне на задълженията и адекватни контроли за одит, докато осигуряват достатъчно ресурси и стимули за осигуряване на проактивна сигурност - често излизат напред. www.mscservices.eu - вашите ISO консултанти
×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.