 |
Име: Slav Petrov Град: София Професия: iSMS consultant, iSMS auditor Интереси: ISO 27001
ISO 20000
ITIL
BS 25999
ISO 9001 |
Славчо Ненков – 12.02.2013
Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... :)), но пък има достатъчно промени в този дух. Ето основните:
Няма ги задължителните документирани процедури
В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване.
Липсва списък със задължителните документи на СУСИ
В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи.
Либерализация при оценката на риска
За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране.
Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска.
Липсва фокусът върху превантивни действия
В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие.
Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други.
Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес.
======================================================
www.mscservices.eu - Вашите ISO консултанти
======================================================
Другите по-съществени промени в стандарта са свързани с посочените по-долу области:
Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008.
Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията.
В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени.
На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска.
Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите.
Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията.
Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях.
Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133.
От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2).
Включени са 9 нови механизмa за контрол както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти.
Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията.
www.mscservices.eu - Вашите ISO консултанти
Какво ново в сериите стандарти ISO 27000, ISO 20000 и ISO 22300 (бизнес непрекъсваемост)
от Славчо Ненков – 15.12.2012
Наближаващият край на годината винаги е основание за преглед на случилото се през годината, правене на анализи и дефиниране на очакванията от следващата година. Воден от този подход аз реших да направя преглед на новите стандарти, които ISO (Международната организация по стандартизация) ни предложи през 2012 г. по отношение на групите стандарти ISO 27000, ISO 20000 и ISO 22300.
В групата стандарти ISO 27000 бяха публикувани 7 нови стандарта (включително нови версии на стандарти).
Стандартът ISO/IEC 27000:2012 “Information technology - Security techniques - Information security management systems - Overview and vocabulary” е обновена версия на този стандарт. Той предоставя общ преглед и речник на системи за управление на сигурността на информацията, които представляват предмет на семейството СУСИ стандарти, и определя термини и определения, свързани с тях. ISO / IEC 27000:2012 е приложим за всички видове и размери на организация (например търговски предприятия, правителствени агенции, за организации с нестопанска цел).
Стандартът ISO/IEC 27010:2012 “Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications” е нов стандарт от серията ISO/IEC 27000, който предоставя насоки в допълнение към насоките, дадени в семейството стандарти ISO / IEC 27000 за внедряване системи за управление на информационната сигурност в рамките на общности, споделящи информация. ISO / IEC 27010:2012 осигурява механизми за контрол и насоки, конкретно свързани с иницииране, внедряване, поддържане и подобряване на сигурността на информацията при между-организационни и между-секторни комуникации. Стандартът е приложим за всички форми на обмен и споделяне на чувствителна информация, както публична, така и частна, на национално и международно ниво, в рамките на една и съща индустрия или пазарен сектор или между секторите. В частност, той може да се прилага за обмен и споделяне на информация, свързани с предоставяне, поддържане и опазване на критичната инфраструктура на организации или на държавната администрация.
Стандартът ISO/IEC 27013:2012 „Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1“ предоставя насоки за интегрирано прилагане на ISO/IEC 27001 и ISO/IEC 20000-1 за тези организации, които възнамеряват да:
а) внедряват ISO/IEC 27001, когато ISO/IEC 20000-1 вече е внедрен или обратното;
б) внедряват едновременно ISO/IEC 27001 и ISO/IEC 20000-1;
в) интегрират съществуващите ISО/IEC 27001 и ISO/IEC 20000-1 системи за управление.
ISO/IEC 27013:2012 се фокусира изключително върху интегрираното внедряване на ISO/IEC 27001:2005 и ISO/IEC 20000-1.
Стандартът ISO/IEC TR 27015:2012 “Information technology - Security techniques - Information security management guidelines for financial services” дава указания по сигурността на информацията, допълващи и в добавка към механизмите за контрол на информационната сигурност, определени в ISO/IEC 27002:2005 за иницииране, внедряване, поддържане и подобряване на сигурността на информацията в рамките на организации, предоставящи финансови услуги.
Стандартът ISO/IEC 27032:2012 “Information technology - Security techniques - Guidelines for cybersecurity” дава насоки за подобряване на състоянието на киберсигурността, определяйки уникалните аспекти на тази дейност и нейните зависимости от други области на сигурността, по-специално:
- сигурността на информацията;
- мрежовата сигурност;
- Интернет сигурността и
- защитата на критичната информационна инфраструктура.
Той покрива базовите практики за сигурност на заинтересованите страни в киберпространството. Този международен стандарт предлага:
- преглед на киберсигурността;
- обяснение на връзката между киберсигурността и други видове сигурност;
- определение за заинтересовани страни, както и описание на техните роли в киберсигурността;
- насоки за решаване на общи проблеми на киберсигурността и
- рамка, която да даде възможност на заинтересованите страни да си сътрудничат за решаване на въпросите на киберсигурността.
Стандартът ISO/IEC 27033-2:2012 “Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security” дава насоки на организациите да планират, разработват, внедряват и документират мрежовата сигурност.
====================================================================
www.mscservices.eu - Консултанти по ISO 9001, ISO 27001, ISO 20000, ISO 22301
====================================================================
Два нови стандарта бяха публикувани и в серията стандарти ISO/IEC 20000 както следва:
Стандартът ISO/IEC 20000-2:2012 “Information technology - Service management - Part 2: Guidance on the application of service management systems” предоставя насоки за внедряване на системи за управление на услуги (СУУ), въз основа на изискванията на ISO/IEC 20000-1. ISO/IEC 20000-2:2012 дава възможност на организации и частни лица за по-точно тълкуване на ISO/IEC 20000-1 и следователно за по-ефективно използване. Ръководството включва примери и препоръки, даващи възможност на организациите да тълкуват и прилагат ISO/IEC 20000-1, включително препратки към други части на ISO/IEC 20000 и други приложими стандарти. Това включва насоки относно използването на системата за планиране, разработване, внедряване, доставка и подобряване на СУУ и услугите. Като минимум това включва политики за управление на услуги, цели, планове, процеси за управление на услуги, връзки между процеси, документация и ресурси. СУУ осигурява текущ контрол, по-голяма ефективност, ефикасност и възможности за непрекъснато подобряване на управлението на услугите и на самите услуги. Това дава възможност на организацията да работи ефективно с обща визия.
Стандартът ISO/IEC 20000-3:2012 “Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1” е полезeн за доставчици на услуги, консултанти и оценители. Той включва и практически насоки за дефиниция на обхвата, приложимостта и доказване на съответствие с изискванията на ISO/IEC 20000-1. Включено е и ръководство за различните видове оценка на съответствието и стандарти за оценка. ISO/IEC 20000-3:2012 съдейства за установяване дали ISO/IEC 20000-1 е приложим към спецификата на доставчика на услуги. Той илюстрира как обхватът на СУУ може да бъде определен, независимо от това дали читателят има опит при определяне на обхвата на други системи за управление. Ръководството е под формата на практически примери, типични сценарии и препоръки. ISO/IEC 20000-3:2012 също така помага в планиране подобрението на услуги, както и в подготовката за оценка за съответствие с ISO/IEC 20000-1. Той допълва насоките за внедряване на ISO/IEC 20000-1, дадени в ISO IEC 20000-2.
ISO (Международната организация за стандартизация) публикува 3 нови стандарта в групата стандарти ISO 22300, отнасящи се до системи за управление на бизнес непрекъсвамеостта.
Стандартът ISO 22300:2012 “Societal security – Terminology” съдържа термини и определения, приложими към обществената сигурност, с цел да се установи общо разбиране и да бъдат използвани съответстващи термини.
Стандартът ISO 22301:2012 “Societal security - Business continuity management systems - Requirements” определя изискванията за планиране, разработка, прилагане, работа, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление за действия при евентуални разраушителни инциденти: защита срещу инциденти, намаляване на вероятността от поява, подготовка за инциденти, реагиране и възстановяване от инциденти. Изискванията, посочени в ISO 22301:2012, са общи и предназначен да бъде приложим за всички организации, или части от тях, независимо от вида, размера и характера на организацията. Степента на прилагане на тези изисквания зависи от работната среда на организацията и сложността.
Стандартът ISO 22313:2012 “Societal security - Business continuity management systems – Guidance” ISO 22313:2012 за системи за управление на непрекъснатостта на бизнеса (СУНБ) дава насоки въз основа на добрата международна практика за планиране, създаване, внедряване, експлоатация, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление, която дава възможност на организациите да се подготвят за реакция и възстановяване от разрушителни инциденти, когато те възникнат. Целта на ISO 22313:2012 не е да налага еднообразие в структурата на СУНБ, а да може организацията да разработи СУНБ, която е подходяща за нейните нужди и която отговаря на изискванията на своите заинтересовани страни. Тези нужди са определени от правните, регулаторните, организационните и браншовите изисквания, продуктите и услугите, използваните процеси, околната среда, в която организацията работи, размера и структурата й и изискванията на заинтересованите страни. ISO 22313 е приложими за всички размери и видове организации, включително големи, средни и малки организации, работещи в индустриални, търговски, обществени и сектори с нестопанска цел, които желаят да:
- създадат, внедрят, поддържат и подобряват СУНБ;
- гарантират съответствие с политиката за непрекъснатост на дейността на организацията;
- определят и декларарират съответствие с този международен стандарт.
www.mscservices.eu - Консултанти по ISO 9001, ISO 27001, ISO 20000, ISO 22301
Публикувано от Чарлз Рединджър – 24.07.2012
Както бе споменато в предишния ми пост, ISO наскоро публикува стандарт за системи за управление (ССУ), посветен на непрекъснатостта на дейността. Той е озаглавен ISO 22301:2012, "Социално сигурност - Системи за управление на непрекъснатостта на на бизнеса - Изисквания". Това е един от първите ISO стандарти за системи за управление, следващ общ формат на СУ, представен в ISO Guide 83.
Този пост е един от поредицата, която ще се фокусира върху ISO 22301, насочен към системи за управление на непрекъснатостта на бизнеса (СУНБ). За тези от вас, които обмислят надграждане на вашата съществуваща система за здравословни и безопасни условия на труд или система за управление на сигурността, или пък обмислят разработването на система за управление на риска, съобразена с изискванията на ISO 31000, може би искате да обмислите възможността за използване на ISO 22301 като ръководството и шаблон. Това би могло да се окаже печелившо за вас и вашата организация. Струва си да видите как 22301 решава оценката на риска. Този крайъгълен камък на системи за управление сега е определен, следвайки рамката на Guide 83. Раздел 8, озаглавен "Опериране", съдържа следните под-елементи:
======================================
www.mscservices.eu - Вашите ISO консултанти
======================================
8.1 Оперативното планиране и контрол
8.2 Анализ на въздействието върху бизнеса и оценка на риска
8.2.1 Общи
8.2.2 Анализ на въздействието върху бизнеса
8.2.3 Оценка на риска
8.3 Стратегия за непрекъснатост на дейността
8.3.1 Определяне и избор
8.3.2 Установяване на изискванията за ресурси
8.3.3 Защита и смекчаване на последиците
8.4 Създаване и внедряване на процедурите за непрекъснатост на бизнеса
8.4.1 Общи
8.4.2 Структура за реагиране на инциденти
8.4.3 Предупреждение и комуникация
8.4.4 Бизнес планове за непрекъснатост
8.4.5 Възстановяване
8.5 Проиграване и тестване
Очевидно има много важни и съществени неща в този раздел. Нека задълбаем малко в 8.2.3 - Оценка на риска. Онези от вас, които са запознати с ISO 14001 и OHSAS 18001, ще видят, че 22301 включва части от ISO 31000 (за управление на риска) и посочва, че "този процес [оценка на риска] може да бъде осъществен в съответствие с ISO 31000." 8.2.3 посочва, че "организацията трябва да създаде, внедри и поддържа формален процес на оценка на риска, който системно идентифицира, анализира и оценява риска от разрушителните за организацията инциденти." Този стандарт за СУНБ продължава с изискванията за: приоритезиране на рисковете, систематичното им анализиране, оценка кои рискове с разрушителни последствия се нуждаят от третиране, и идентифициране на третирането съизмеримо с целите за бизнес непрекъсваемост и в съответствие с апетита на организацията към риска.
Тази част от 22301 (§ 8.2.3) върши добра работа, накратко обобщавайки няколко ключови понятия от ISO 31000.
За тези от вас, които искат да разработят и внедрят система за управление на риска, ISO 22301 дава един начин да го направят. Да, 22301 е стандарт за СУНБ, но ако се замислите ще разберете, че в много отношения за управлението на риска и управлението на непрекъснатостта може да се мисли като за взаимозаменяеми. Дори ако не го използвате по този начин, той предоставя лесен начин за справяне и подкрепа за дейности по управление на риска. Ако това е областта, която искате да обсъдите или бихте искали подкрепа, моля да ни уведомите.
www.mscservices.eu
=======================================
www.mscservices.eu - Вашите ISO консултанти
=======================================
от Славчо Ненков - 24.05.2012
Изпълнители по договорите са консултантски компании или независими консултанти, а ангажиментите по договора обикновено се свеждат до провеждане на вътрешен одит и „потягане“ на системата преди поредния контролен или ре-сертификационен одит от страна на сертифициращата организация. В други случаи договорът дава на организацията освен посочените по-горе дейности и допълнителни „екстри“ – например определен брой човекодни или човекочасове за консултации по промяна на документи или процеси. Някои организации (обичайно тези, които са внедрили системата за управление само заради получаването на сертификат и системата е бреме за тях) предпочитат да не ангажират времето на своите служители с отговорности, произтичащи от внедрената система. Те предпочитат външен консултант да поеме изцяло „генерирането на документи и записи“, изисквани от системата и по възможност всичко да минава без тяхно участие.
Да сключим ли договор за абонаментна поддръжка на внедрената система за управление и защо? Какви услуги по абонаментна поддръжка биха били полезни за нашата система? Колко често имаме нужда от услугите на консултанта при поддръжка на системата ни? На всички тези въпроси ще се опитам да отговоря по-долу въз основа на своята практика.
-------------------------------------------------------------------------------------------
www.mscservices.eu - Абонаментна поддръжка на ISO системи
-------------------------------------------------------------------------------------------
Да сключим ли договор за абонаментна поддръжка на внедрената система и защо?
Нужда от периодична консултантска помощ за поддръжка на своята система имат както големите организации, притежаващи компетентни специалисти по внедрената система за управление, така и малките организации, които не могат да си позволят назначаване на такъв човек или натоварване на служител с допълнителни ангажименти.
Големите организации, въпреки наличието на добре подготвен персонал по съответния стандарт, със сигурност се нуждаят от един външен, независими преглед на внедрената система. Разбира се, служителите на организацията най-добре познават процесите в организацията, но обикновено съответният специалист влага определен процент субективност при оценката на работата. Особено ако се е занимавал с нея по-дълго време. Един поглед отвън на консултант е много полезен в такива случаи. За предпочитане е консултант, различен от този, който е помагал при внедряване на системата с оглед на по-голяма безпристрастност. Още по-добре ако този консултант има и одиторски опит тъй като одиторите притежават неоценимо ноу-хау за оценка на системи за управление.
Ще отговорите: ами контролният одит на сертификационната организация? Нали е за това? Да, така е, неговият смисъл е да следи съответствието на внедрената система за управление със стандарта във времето. За съжаление стремежът към запазване на клиенти и намаляването на одит дните в резултат на ценовата конкуренция между сертификационните организации повлияха напоследък на одиторската обективност. А това не е в полза на организациите, които искат да имат работеща система за управление.
Малките фирми в условията на криза не могат да си позволят да наемат компетентни специалисти за поддръжка на внедрената система. Предвид силното редуциране на персонала все по-трудно става и тези функции да бъдат възложени на някой от служителите на компанията като допълнителни отговорности. В тази ситуация много добро решение е възлагането на част от дейностите по поддръжка и оценка на системата за управление на външен консултант. Обичайно цената на услугата излиза доста по-ниско от разходите по издръжка на собствен специалист.
-------------------------------------------------------------------
www.mscservices.eu - Вашите ISO консултанти
-------------------------------------------------------------------
Какви услуги по абонаментна поддръжка биха били полезни за нашата система?
На първо място Вашата система за управление има нужда периодично от един външен, компетентен поглед върху нейното състояние. Това означава 2-3 пъти годишно компетентен външен консултант (за предпочитане с одиторски опит) да извършва частичен одит на внедрената система. Практически това са одити на отделни процеси или звена в обхвата на системата, които в тяхната цялост в рамките на една година напълно покриват обхвата й.
Ако организацията е голяма и разполага със служители, имащи необходимата компетентност за извършване на вътрешен одит, е ефективно на външен консултант да се възложи одита на критично важните процеси в обхвата на системата.
За по-малките организации, нямащи възможност да издържат собствен персонал по поддръжка и усъвършенстване на системата за управление, е ефективно възлагането на външен консултант и на дейности, свързани с актуализация на документи на системата, провеждане на вътрешни одити, подготовка на доклади за преглед от ръководството, консултантска помощ при преоценка на рисковете и други. За този тип фирми е много желателно външният консултант периодично да преглежда записите, пряко свързани с работните процеси и водени от служители на компанията. Накратко, ако сте средно голяма или малка организация, имате повече от една внедрена система за управление и нямате финансови възможности за наемане на персонал за поддръжката им, аз бих Ви препоръчал сключване на абонаментен договор с компетентен консултант, който Ви гарантира: провеждане на вътрешен одит, периодичен преглед на водените записи и определен брой дни консултантска помощ за усъвършенстване на системата.
Колко често имате нужда от услугите на консултанта при поддръжка на системата Ви?
Големите организации със собствен персонал по поддръжка на системите за управление имат нужда от помощта на компетентен консултант 1-2 пъти годишно за провеждане на специализирани одити на критичните процеси и инцидентно при промени на методики за оценка, преоценки на рискове, обновяване на планове за непрекъснатост на дейността и други базови промени, изискващи специализирани познания и опит.
Средните и малките организации, неразполагащи със собствен персонал по поддръжка на системите за управление имат доста по-често нужда от помощта на компетентен консултант. В такива случаи неговата помощ практически е нужна на всеки 3-4 месеца, той трябва постоянно да е близо до своя клиент. Казано по друг начин организацията трябва да „назначи на работа“ консултанта. Използването на консултант еднократно 1-2 седмици преди контролния одит от сертификатора за такива организации е меко казано неудачно. Защото няма как за една седмица бъде свършено това, което е трябвало да бъде вършено цяла година. Разбира се, има „опитни“ консултанти, които набързо могат да „произведат“ необходимия минимум записи за одита, но това рано или късно ще лъсне. А и докато за някои системи за управление (качество, околна среда, безопасни условия на труд) такава имитация е възможна в определена степен, то за други като системи за управление на сигурността на информацията, системи за управление на ИТ услугите и др. това е практически невъзможно.
Като заключение моят съвет е: използвайте компетентни консултантски услуги, за да гарантирате ефективната работа на Вашите системи за управление и да получите пряка икономическа изгода. Но помислете внимателно за какво точно давате парите си: до колко компетентен е Вашият консултант и какви точно услуги получавате срещу парите си.
За всякакви въпроси, свързани с темата, можете да използвате формата за обратна връзка на сайта ни: www.mscservices.eu. Екипът ще се постарае да отговори на всички Ваши запитвания.
