Обзорна статия

    Сертифицирането по ISO 27 001 и ISO 20 000– заявка за лидерска позиция

    25 ноември 2011, 10:30

    Внедряването на СУИС, СУИТУ и сертифицирането им дават системен подход на управление в компанията

    Най-добри резултати се постигат тогава, когато водещо е желанието за промяна

    Системите за управление са елемент на стратегическото планиране в една организация и мощен инструмент за постигане на по-голяма ефективност, фокусиране върху клиентите, редуциране на рисковете и повишаване нивото на бизнеса. Системите за управление на ифнорамционната сигурност (СУИС) и системите за управление на ИТ услугите (СУИТУ) и сертифицирането им предлагат подход за управление на рисковете, превръщат компанията в предпочитан партньор за контрагентите и внасят вътрешен ред.

    Най-добри резултати се постигат, когато водещо е желанието за промяна и подобрение в организацията. Това бяха основните изводи, около които се обединиха участниците в уебинар на тема "Сертифициране по ISO 27 001 и ISO 20 000 - заявка за лидерска позиция", организиран от технологичния сайт IDG.BG и Лойдс Регистър, проведен на 25-ти ноември в онлайн канала http://discussions.idg.bg

    Обучението на служителите в паралел с внедряването на СУИС и СУИТУ  

    Според Борис Гончаров, директор информационни технологии и информационна сигурност в Г4С Секюрити Сървисиз България, това е един очевиден проблем. Внедряването на повече от една система изисква добро познаване на организацията, основната терминология, същността на стандартите и как се съотнасят към конкретната компания. Когато бъдат определени екипите и отговорните за внедряването служители, тe трябва да бъдат правилно обучени. В хода на развитието на проектите би трябвало още нa етап внедряване да бъдат предвидени типовете обучение и изясняване на проблематиката. След внедряване обучението не спира, а трябва да продължи с развитието на системите. 

    По мнение на Петър Димков, главен консултант ИС в Лирекс, човешкият фактор е една от най-големите заплахи за информационната сигурност в компанията, затова на обучението на служителите трябва да се обръща голямо внимание. Днес рискът от пробив вътре в организацията е сред топ заплахите що се отнася до информационната сигурност, затова обучението на служителите не е за подценяване, съгласи се с него Светлин Ботев, продуктов мениджър „Информационна сигурност“ в Контракс.

    Бюджетиране на разходите

    Според Димков компания, желаеща да бъде сертифицирана по един от тези стандарти, би трябвало много точно да бюджетира разходите, които е склонна да отдели. Организацията, която се сертифицира трябва да отдели и човешки ресурс, който да участва във внедряването. Добра практика е да бъде създадена работна група, която да се консултира от външен консултант по изграждането и внедряването.

    Според Детелин Александров, директор дирекция "Консултантски услуги" в Стоун Компютърс, разходите са няколко вида: разходи за външна консултантска организация, които са предвидими и могат да бъдат планирани; разходи за сертификация и издаване на сертификат, но тъй като двата стандарта са много технологични, тези разходи не са добре предвидими и периодични разходи за поддържане и усъвършенстване на СУИС и СУИТУ. „„Скъпо удоволствие“ е човек да поддържа на ниво тези технологични регламенти и съответните сертификати“, добави Александров.

    Много често, по мнение на Орлин Маринов, старши консултант в ITCE, при внедряването на тези системи се изисква внедряване на определени технологии, затова трябва да се предвидят още на етапа на бюджетиране на проекта. Ако една организация планира сертификация и по двата стандарта, идеалният вариант би бил да се внедрят паралелно - това значително ще намали разходите за внедряване и ще избегне дублиране на усилия. 

    Финансирането и ролята на консултанта

    След средата на декември месец тази година, на страницата на Оперативна програма „Конкурентоспособност“, както и на страницата на ИАНМСП, ще бъдат оповестени възможностите за финансиране на проекти по програмата, заяви Деница Николова, партньор и мениджър "Европейски проекти" в ИЮ Консулт.

    Николова добави, че един проект, независимо дали по ОП „Конкурентоспособност“ или по ОП „Развитие на човешките ресурси“, е свързан с минимум 6 месеца подготвителен етап, което е времето за подготовка на проектно предложение от обявяване на процедура за прием на проекти. Според нея много от фирмите кандидати нямат готовност, не са запознати с процедурите. Затова е добре консултантите по европейски проекти да дадат реалистична представа на изпълнителите още на етап на предприемане на инициативата, добави тя. 

    Успешното реализиране на проектите според Гергана Праматарова, директор дирекция ”Външни партньори, европрограми и кореспондентски отношения” в Първа инвестиционна банка, се дължи на няколко фактора – освен наличието на добър консултант за подготовка и изпълнение е необходим и финансов ресурс. 75% от финансирането на проекта по ОП „Конкурентоспособност“ се дават накрая, което според нея е основният проблем.

    Тъй като почти в края на програмния период са усвоени едва 15 %, Праматарова призова към използване средствата на ЕС и посъветва всички кандидати да осигурят финансиране още в самото начало на кандидатстване. Според нея ролята на консултанта е от решаващо значение – той трябва да познава цялата нормативна база, да има опит и да познава всички „подводни камъни". 

    Kонсултантът запознава кандидата с наличните възможности за финансиране, с условията и административните изисквания за всяка процедура, по която има възможност да се получи финансиране, съдейства за изрядната подготовка на документацията и трябва да дава реалистична преценка за очаквания резултат. След одобрение финансиране на проектното предложение, максимално спестява бюрократичните процедури и дококлкото е възможно помага за изпълнението на проекта, заяви Николова.

    Сертификационен одит – етапи и продължителност

    Когато компаниите са в напреднал етап на своята подготовка те могат да проверят дали са  достатъчно добре подготвени за същинската сертификация, което се нарича предварителен или preliminary одит, обясни Даниел Неделчев, водещ одитор в Лойдс Регистър. Предварителният одит има за цел в договорен с клиента лимитиран времеви интервал, да се прегледат части, в които те се чувстват неуверени.

    Следващият одит, който предхожда предварителната сертификация е т.нар. Gap Analysis – чек лист по изискванията на стандарта, независимо дали ISO 27 001 или ISO 20 000, по който се проверява дали фирмата е покрила достатъчно добре неговите изисквания, под формата на доклад на одитора до края на деня.

    След което следва същинският одит, който се разделя на два етапа. Етап 1, документален одит, има за цел да  провери дали документираната система отговаря на изискванията на стандарта, за който фирмата се явява на сертификация. Етап 2, същинският одит, има за цел да установи дали тази документация е достатъчно добре приложена от фирмата. Относно продължителността на тези одити първите два, предварителните, които не са задължителни са изцяло договорени с клиента. За етап 1 и 2 акредитиращите органи са задали определени изисквания, обясни Даниел Неделчев.

    Александров допълни, че етап 2 от сертификационния одит не е само одит с цел търсене съответствието при изпълнение на процедурите, а същинският одит, по който се търси как функционират технологиите, системите, техническите средства. Той обърна внимание на често срещан проблем, в който е изпратен одитор, познаващ перфектно регламента на стандарта, но няма необходимата техническа подготовка.

    Физическа защита – важна част информационната сигурност

    Според Гончаров не би трябвало да има ясно разграничаване на елементите на оперативния риск, рискът за физическа сигурност, информационна сигурност, защото това раздробява и накъсва системата. Една организация би трябвало да има стратегически подход към сигурността и ако наистина търси полза от внедряването на тези стандарти, би трябвало да подходи интегрирано към този въпрос - в крайна сметка физическата и информационната сигурност имат еднакви цели – защита на активи и процеси.