Прилики и разлики между ISO 27001 и BS 25999-2

Прилики и разлики между ISO 27001 и BS 25999-2
от Деян Кошутич

На пръв поглед сигурността на информацията и непрекъсваемостта на бизнеса нямат много общо помежду си - някои биха добавили, че единствената прилика е, че и двете са за ИТ.
Управлението на сигурността на информацията е най-добре дефинирано в международния стандарт ISO / IEC 27001, а управлението на непрекъсваемостта се определя в британския стандарт BS 25999-2 - следователно ако искаме да сравняваме тези две теми, най-мъдрото нещо, което трябва да направим, е да погледнем какво имат да кажат тези два стандарта.

Първо, ИТ е важна част и от двете -  ISO 27001 и BS 25999-2, но по никакъв начин тези два стандарта не само за ИТ - акцентът е върху бизнес процеси и активи, и свързаните с това рискове. Вярно е, че ИТ е основният инструмент за обработка на данни, но остава фактът, че най-големите рискове са свързани със злонамерени и непредвидени дейности на хора. Ето защо рисковете, свързани със сигурността на информацията или непрекъсваемостта на бизнеса не могат да бъдат решени само чрез информационните технологии - много по-важно е да се дефинират организацията, процесите и отговорностите си в организацията.

Но какво е по същество сигурността на информацията? ISO 27001 я определя като "запазване на конфиденциалността, интегритета и достъпността на информацията". От друга страна, BS 25999-2 дефинира непрекъсваемостта на бизнеса като "стратегически и тактически възможности на организацията да планира и да реагират на инциденти и бизнес прекъсвания, за да продължи бизнес операциите на приемливо, предварително зададено ниво".
===================================================

www.mscservices.eu - Вашите ISO консултанти

===================================================
Двете не изглежда много да си приличат. Все пак, има едно нещо, което ги прави много сходни - наличността. Фокусът на двете – и на сигурността на информацията,  и на непрекъсваемостта на бизнеса, е да се съхранява информация, достъпна за тези, които се нуждаят от нея - в тази връзка приложение А на ISO 27001 предлага някои контроли, посветени единствено на непрекъсваемостта на бизнеса.

Освен това двата стандарта изискват извършване на оценка на риска с цел да се идентифицират потенциалните проблеми, свързани с информацията; двата стандарта изискват управление на документи, провеждане на вътрешни одити, прегледи от ръководството и коригиращи и превантивни действия. Това означава, че ако вече имате документация за ISO 27001, можете да използвате същите тези процедури за BS 25999-2 (с малки корекции).

Какви са разликите? Основната разлика е в нивото на детайлизация. ISO 27001 обхваща много по-широка област и следователно не е много точен, когато става въпрос за непрекъсваемост на бизнеса; от друга страна, BS 25999-2 описва подробно как да се извърши анализ на въздействието върху бизнеса, как да се определи стратегията за непрекъсваемост на дейността, или какво трябва да е съдържанието на плановете за бизнес непрекъсвамеост и др.

В заключение - основното тук е, че можеш да мислиш за непрекъсваемост на  бизнеса като част от сигурността на информацията. Практическото приложение на това е, че когато става въпрос за внедряване на непрекъсваемост на бизнеса в контекста на ISO 27001, най-добре е да използвате BS 25999-2 като насока

www.mscservices.eu - Вашите ISO консултанти

ISO 20000: Изборът на подходящия процес за внедряване

ISO 20000: Изборът на подходящия процес за внедряване
от Изабел Перон.

Повечето ИТ организации започват процеса на внедряване на ISO 20000 или ITIL с много малък опит. И защо не? Един интелигентен човек трябва да бъде в състояние да вземете наръчник, да го прочете и да го приложи в своята организация, нали?
Е, това е вярно, но трябва първо да вземеш в ръце такъв наръчник. Моите клиенти често ме питат дали знам книга, която компетентно да разглежда методологията за изпълнение. Въпреки че има множество книги, които разглеждат теорията на ИТ процесите и го правят много добре, аз все още търся такъв, който обхваща цялостно внедряването на тези процеси. Що се отнася до методологиите за внедряване сами по себе си, те са най-дълго и  добре пазените тайни, които консултантските фирми са склонни да продават чрез своите услуги, но са доста срамежливи да ги споделят безплатно.

Е, познайте какво? Аз не съм!
Една от най-популярните и общоприети методологии е традиционният 5-стъпков подход. Този подход може да бъде обобщен както следва:
• Стъпка 1 - Опишете сегашното положение - каквото е;
• Стъпка 2 - Определете целевия процес - да бъде;
• Стъпка 3 - Документирайте разликата между текущия и целевия процес;
• Стъпка 4 - Планирайте стъпките за покриване на разликата;
• Стъпка 5 - Изпълнете плана.

Този подход често води до катастрофални последици. Първо, за да опише настоящата ситуация и да определи целевия процес, организацията обикновено инвестира много време и пари в създаването на един много сложен документ за бъдещия процес - обикновено схема, която много малко хора разбират, само един-единствен всъщност използва.
Тогава започва веселбата. Фазата на анализа на разликите е мястото, където се създава паника. ИТ организацията осъзнава колко много неща трябва да се променят, за да отговори на целевия процес и колко проблеми всъщност имат. Те също така виждат, че процеса, който е изпълняван преди в един отдел, сега трябва да бъдат еднакъв във всички отдели. Това обикновено е времето, когато някой споменава Р-думата: реорганизация, и нейният неизбежен страничен ефект: подновяват се СВ-та и хора напускат компанията в най-неподходящото време.

=====================================

www.mscservices.eu - Вашите ISO консултанти

=====================================

Използването на този подход води до време на цикъла за внедряване в диапазона от 6 до 12 месеца. Отнемайки 9 месеца средно на процес,  то би отнело на организацията 7,5 години за изпълнение на 10 процеса по този начин. Очевидно е, че това не е приемлив график за никого.
Процесът на внедряване не трябва да бъде дълъг или скъп. Години на творческо мислене, практическо тестване и фина настройка са довели до развитието на един рационализиран и ефикасен - още и прост - начин да се намали драстично времето и разходите за цикъла на  внедряване на ИТ процесите – надолу до 12 седмици средно за процес. Решението: малки групи от процеси чрез ускорени итеративни PDCA (планирай, направи, провери, действай) цикли..

Внедряването на процес е процес само по себе си. То не трябва да продължава вечно и не трябва да струва цяло състояние. С течение на годините, стъпките за внедряване на икономични ИТ процеси са подобрени по начин, който позволява на ИТ организациите успешно внедряване в рекордно кратко време с минимални инвестиции.
Няма магия зад постигането на сертифициране по ISO 20000 за 18 месеца, когато се изплолзва неразточителен подход. Процесно прототипната методика за внедряване – един доказан, новаторски подход за внедряване на ИТ процеси, се фокусира върху постигането на интегрирани, развити процеси и подобряване на ИТ услугите в цялата ИТ организация. Методологията е гръбнакът на проектен план - подробни етапи и фази - пригоден за внедряване на ИТ процеса и обхващащ всички фази на проект за внедряване на ИТ процес, от обхвата до ISO сертифицирането.

Предложената методология е разбита на 4 етапа:
• Етап 1: Създаване на прототип на процеса
• Етап 2: Изграждане на процеса
• Етап 3: Внедряване на процеса
• Етап 4: Настройване на процеса
... и 4 фази:
• Фаза 1: Среща за ориентиране
• Фаза 2: Одобряване на процеса
• Фаза 3: Разписване на процеса
• Фаза 4: Одит на процеса.


www.mscservices.eu - Вашите ISO консултанти