Как я бы выбрал консультанта для построения системы управления (ISO системы)?

Как я бы выбрал консультанта для построения системы управления (ISO системы)?
Славчо Ненков - iSMS Lead auditor; QMS, iSMS, ITSMS, BCMS consultant

Прежде всего я хотел бы уточнить, что эта статья не относится к менеджерам, которые хотели бы «купить» систему управления, или говоря короче - купить сертификат. Для них критерий вибора только один - самая низкая цена, и эта статья является пустой затратой времени. Эта статья предназначена для менеджеров, которые кроме сертификата хотели бы получить и преимущества действительно работающей системы управления в своей организации.

Как поступают все когда решили, что пора внедрить систему менеджмента (ISO системы) в своей организации? Нет проблемов - ответите вы - на рынке большое количество консалтинговых организаций. Обычно все обращаются к консультанту, который уже строил вам другую систему управления. Или ищут рекомендации для консультанта который строил систему управления у знакомого. Или просто делают поиск в Интернете по ключевым словам, выбирают 2-3 консультантов с первой страницы Google и выбирают консультанта дающий лучшее финансовое предложение.

А вы уверены ли что делаете так лучший выбор? Любой человек может ответить себе, но вот как бы я действовал на основе прошлого опыта в этой области:

Идея для первичного отбора среди консультантов, строили систему для вас или ваших коллег, хорошая - это дает информацию о коректности консультанта. Если у меня нет такой возможности, я бы посмотрел в Интернете по ключевым словам, описывающие максимально желаемую систему управления.

После отбора потенциальных консультантов, мы должны выбрать своего консультанта.

Во-первых, я бы запросил информацию и доказательства какие системы строил каждый из этих отобранных консультантов.

Некоторые системы управления считаются «массовыми» - системы менеджмента качества, охраны окружающей среды, безопасносных условий труда, разработаны в соответствии с требованиями ISO 9001, ISO 14001, OHSAS 18001. По построению этих систем работают на практике почти все консультанты и здесь риск нахождения неопытного консультанта не очень большой. Однако внедрение таких систем также требует компетентности и я бы искал доказательства построения таких систем и обратную связь с предыдущими клиентами.

Несколько иначе обстоит вопрос об осуществлении некоторых систем, которые требуют специальных знаний и опыта - такие системы строятся в соответствии с требованиями новых стандартов для рынка СНГ - это ISO 20000-1 (системы управления услугами) ISO 27001 (для систем управления информационной безопасностью), ISO 22000 (для систем управления безопасностью пищевых продуктов), ISO 22301 (для систем управления непрерывности бизнеса), ISO 50001 (для системы энергоменеджмента), ISO 31000 (управление рисками). Выбор консультанта по этим стандартам является значительно более рискованным, потому что там не так много консультантов с опытом работы в странаг СНГ (за исключением ISO 22000).

В этом случае первостепенное значение имеет тщательное изучение опыта консалтинговых организаций. Здесь вы можете легко быть введены в заблуждение, вот некоторые популярные способы:

==========================================================

www.mscservices.eu - ISO 9001, ISO 27001, ISO 20000, ISO 22301, ISO 31000

==========================================================

1. Выбираете консультантов с первых страниц Google

Ошибка - рейтинг в Google основан на платных услугах, или просто на очень хорошей SEO оптимизации, а не на консалтинговой компетентности.

2. Выбираете консультанта, который показал огромное количество стандартов на своей странице.

Ошибка - некоторые консультанты пишут в своей странице все известные им стандарты и ждут когда некоторый клиент "укусить" через поисковые системы любой из них.

Честно говоря, я бы выбрал специализированного консультанта, а не "эксперта во всем». Объяснит это не сложно - каждый из этих стандартов имеет свои особенности и требует глубокого знания, а во многих случаях физически невозможно изучить такую разнообразную и объемную информацию по всем стандартам.

Например, в стандартах группы ISO 27000 насчитывается более 20 стандартов, необходимые для внедрения и аудита систем менеджмента информационной безопасности. Учитывая, что консалтинговые компании как правило имеют не больше 6-7 специалистов по системам управления, вы понимаете что практически невозможно одной компанией охватить в глубине все ведущие стандарты.

3. Выбираете самую низкую предложенную цену и кратчайшие сроки построения.

Большая ошибка - это обычно означает, что вы получите только т.наз. шаблоны, после которого в будущем вы должны своими силами оптимизировать свой бизнес. И не пытаясь быть наставником, я бы сказал, что цены ниже 22 000 - 25 000  USD для построения ISO 27001 в небольшой организации являются подозрительными, а для внедрения ISO 20000-1, ISO 22301 - прямо скажем это смешно.

Кроме того, сроки реализации меньше 5-6 месяцев достаточно нереальные.

После того как я изучил профессиональный опыт и выбрал своего консультанта, необходимо четко определить обязательства сторон, план построения и способ отчета этапов проекта.

Распространенная ошибка со стороны заказчика здесь - не входя в детали плана, сроков и ответственностей за выполнение. Таким образом вы можете получить что-то различное от того, что вы ожидали, а при отсутствии четкого регламента можете попасть в бесконечный спор с консультантом.

И еще одна важная вещь, которую я бы не пропустил - обязательно привлечь своих сотрудников к активному участию в процессе построения. На первый взгляд, это пустая трата ресурсов, потому что мы заплатили за построение консультанту. Но в долгосрочной перспективе я буду иметь подготовленных сотрудников для управления системой и успею снизить зависимость от будущих консультантов.

Я надеюсь, эта статья была полезной для тех, которые решилш внедрить систему управления. А почему консультант будет писать такие статьи? - Потому что консультанты, работающие професионально, предпочитают работать с клиентами, которые знают «правила игры».

По всем дополнительным вопросам, пожалуйста обращайтесь к www.mscservices.eu.

ISO 20000 - Сложно ли внедрить систему управления услугами?

ISO 20000 - Сложно ли внедрить систему управления услугами?
Славчо Ненков - 16.04.2012

Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду.

Если в вашей организации уже внедрили систему менеджмента качества (ISO 9001), систему менеджмента информационной безопасности (ISO 27001) и процессы ITIL-a (IT Infrastructure Library), без особых усилий вы можете развернуть свою системu управления услугами (ISO 20000). Потому что у вас и вашего руководства уже есть понимание важности и навыки для внедрения и поддержания систем управления. У вас уже есть основные процедуры, требуемые стандартов как: процедуры для управления документами и записями, для внутренних аудитов, для предупреждающих и корректирующих действий. Вы уже внедрили процессы анализа со стороны руководства и улучшения системы. У вас работают процессы ITIL-а, которые требуются по ISO 20000-1:2011.Вам нужно только привести свои документы к требованиям стандарта, интегрировать свою систему менеджмента сервисов с существующей системой управления качеством и системой управления информационной безопасностью и без особых усилий у вас будет свой ISO 20000.

===================================

http://www.mscservices.eu/ - Ваши ISO консультанты

===================================
Вы скажете - ну, так действительно легко, но сколько таких организациий, которые уже внедрили ISO 9001, ISO 27001 и процессы ITIL-а? Ну не так уж мало.
Тем не менее, продолжим дальше - предположим, что ваша организация большая или средная ИТ-компания, которая имеет опыт сотрудничества с крупнымм международным поставщиком ИТ и телекоммуникационных решений.В этом случае вы неизбежно уже ввели систему управления качеством и систему управления информационной безопасностью из-за требования клиентов (государственные учреждения, банки, телекоммуникационные компании и др). Вы неизбежно должны иметь специалистов, которые знакомы с процессами ITIL-а снова из-за характера Вашей работы. Партнерство с установленными поставщиками ИТ и телекоммуникационных решений неибежно привело вам к внедрению лучших практик в поставки сервисов, потому что это практика крупных производителей - они требуют от своих партнеров соблюдения определенных правил в отношении предоставления услуг и выполняют ежегодные аудиты что бы проверить, как вы соблюдаете их. В этом случае с большой уверенностью можно сказать, что у вас уже реализованы следующие функции и процессы ITIL-а: help desk, планирование и внедрение новых или измененных сервисов, управление уровнем сервисов, отчетность сервисов, управление непрерывностью и доступностью сервисов, управление инцидентами и проблемами, управление изменениями, процесса ввода в эксплуатацию и развертывания. Процесс управления информационной безопасностью обеспечивается внедренной системой управления информационной безопасностью. Процессы управления поставщиками и деловыми отношениями могутбыть предоставлены внедренной системой менеджмента качества. В этом случае необходимо реализовать некоторые дополнительные процессы, такие как: бюджетирование и бухгалтерский учет сервисов, управление емкости, управление конфигурациями, которое при наличии приобретенных навыков организации для внедрения и поддержания процессов, никак не сложно.

Ну, а если ваша организация не имеет опыта сотрудничества с международным производителем ИТ и коммуникационного оборудования и не внедряла ни одного из вышеуказанных процессов? Ну, тогда вам нужно реализовать все это. Конечно, если у вас действует система менеджмента качества и система менеджмента информационной безопасности, это облегчит вашу работу так как вы можете использовать их для обеспечения процессов управления поставщиками, деловыми отношениями и безопасностью информации.

А если вы не внедрили ISO 9001 и ISO 27001? Ну, тогда вам придется больше поработать. Вот почему я начал статью с этим "зависит".
Впрочем вполне нормально ожидать от организации, в которой возникла необходимость осуществления ISO 20000, что она использует передовой опыт в области ИТ-сервисов . ..

http://www.mscservices.eu/ - Ваши ISO консультанты

"Облачные" услуги и ISO 27001 / BS 25999

"Облачные" услуги и ISO 27001 / BS 25999Деян Кошутич - 30 мая 2011

Все чаще и чаще люди спрашивают меня что делать с "облачными" сервисами в контексте ISO 27001 и BS 25999. Мой ответ: руководствуйтесь здравым смыслом.
Их дилемма вполне понятна - эти стандарты были написаны до того времени пока "облачные" услуги не были настолько серьезный фактор и следовательно нет особого акцента на "облачные" услуги в любом из этих стандартов. Что еще хуже, перебои в поставках "облачных" услуг  вызвали серьезные проблемы для других бизнесов, работающих в интернете, как это было недавно в случае с Amazon Web Services (более подробную информацию о AWS и ISO 27001 можете прочитать в статье Означает ли ISO 27001 что информация на 100% безопасна?).
Поэтому их позиция: поскольку мы не можем контролировать информацию в "облаке", безопасность информации в данном случае это просто мертвое слово.

Новая концепция?
Я не согласен с этим. Дело в том - "облачные" услуги являются не чем иным, кроме аутсорсинга (хранения или обработки информации).
А вы уже делаете аутсорсинг иной деятельности, которая может создать угрозу для безопасности вашей информации - программное обеспечение, как правило, разработано вне организации; вы наверное имеете внешних поставщиков, которые поддерживают ваше апаратное и программное обеспечение (иногда с возможностью удаленного доступа к сети); скорее всего у вас есть какой-то внешный обслуживающий персонал на месте (например для инфраструктуры); наверняка у вас есть консультанты и/или аудиторы на месте (которые знают уязвимости вашей компании), и скорее всего, у вас есть внешный персонал по очистке (и они имеют доступ к большей части оборудования, когда никого нет там).
Поэтому, я бы сказал, что хотя "облачные" услуги являются новыми технологическими возможностями, главная проблема аутсорсинга остается прежней - насколько вы можете верить своему аутсорсинг партнеру?

Здравый смысл
Здесь нужно применить здравый смысл, или иными словами исполнить требования ISO 27001 и BS 25999-2 - вы должны сделать  оценку рисков, чтобы узнать потенциальные риски, а затем ви должны выбрать своего партнера мудро и применить необходимые средства управления для уменьшения этих рисков.
В своем механизме контроля ??A.6.2.1 ISO 27001 требует определить "... риски для информации организации и средств обработки информации, вытекающие из бизнес-процессов с участием внешних сторон"; A.6.2.3 требует рассмотрение вопросов безопасности в соглашениях, которые «... должны охватывать все соответствующие требования безопасности "; есть также различные другие средства управления определяющие резервное копирование информации (A.10.5.1), контроль доступа (А.11), классификация (A.7.2.1) и др. В пункте 4.1.1 BS 25999-2 требует "... выявить все зависимости, имеющие отношение к критической деятельности, включая поставщиков и аутсорсинг партнеров", в пункте 4.1.2 "... понять угрозы и уязвимости ... в том числе вызванные поставщиками и аутсорсинг партнерами", а в пункте 4.2 «... определить, как будет восстанавливать каждую критическую деятельность ... в том числе продукты и услуги поставщиков и аутсорсинг партнеров".

========================================================

http://www.mscservices.eu/ - Ваши ISO консультанты

========================================================
Так что же можно сделать, чтобы уменьшить риск от "облачных" сервисов? Вот несколько очень простых советов:

• Сделайте тщательную проверку потенциального поставщика - не только записей его производителности, но и биографии его руководства, были ли реализованы политики и процедуры по информационной безопасности и непрерывности бизнеса, финансовой стабильности, правовых рисков и т.д.
• Введите очень конкретные пункты по безопасности в договоре с поставщиком, где самый большой акцент будет на вопросах, которые вызвали самые высокие опасения в ходе оценки рисков.
• Храните резервное копие информации локально - несмотря на то, что поставщики "облачных" услуг будут (возможно) делать регулярное резервное копирование, это всегда хорошая идея чтобы иметь прямой контроль над информацией. (например, банковские регуляторы в некоторых странах ввели правила для местных банков сохранять резервное копие в стране именно из-за этого риска.) 
• Разработайте свою стратегию о том, как вернуть обработку/архивирование информации обратно в вашу компанию (ре-инсорсинг) в случае возникновения проблем у поставщика "облачных" услуг - вы должны знать какие шаги необходимы, а также какие ресурсы.
• стратегией выхода может быть также иметь альтернативных поставщиков "облачных" услуг, готовы подключиться если существующий партнер работает плохо.
• Регулярно выполняйте проверки вашего поставщика, чтобы узнать соблюдает ли он пункты по безопасности в соглашении.
Конечно, большинство из вещей, упомянутых здесь, кажется невозможны для небольших компаний. Но в таком случае, вы действительно доверите ли им вашу важную информацию, не имея никаких гарантий? Иногда для вас лучше без "облачных" услуг - это то, что ваше руководство должно решить: они должны найти баланс между ценой, удобством и рисками.

Управляйте свои риски
Я не хочу сказать здесь, что риски "облачных" услуг такие же как другие риски аутсорсинга, потому что это не так - "облачные" услуги обычно несут более высокие риски. Я также не хочу сказать, что ISO 27001 и BS 25999-2 (вскоре ставший ISO 22301), не должны быть более конкретными в области "облачных" услуг, потому что они должны быть. Я также думаю, что законодательство должно решить эту проблему очень быстро.

Вот что я хочу сказать здесь: несмотря на то, что риски связанные с "облачными" услугами являются высокими, это не означает что они не могут быть уменьшены.

Поэтому вы должны использовать здравый смысл при выборе поставщика "облачных" сервисов - если вы не верите своему поставщику в полном объеме, то не доверяйте ему свою ценную информацию.

http://www.mscservices.eu/ - Ваши ISO консультанты

Является ли ISO 27001“техническим” стандартом?

 

Я вижу в своей практике, что подавляющее большинство клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены что это чисто технический ИТ-проект. Многие люди, которые не участвовали в таких реализаций, но слышали о ISO 27001 стандартe, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты в области ИТ и коммуникаций, которые слышали о стандарте, но никогда не читали его. И между прочим, данный стандарт, классифицируется в группе стандартов ISO- Information technology (Информационные технологии). Кроме того, большая часть средств для управления информационной безопасностью в информационной системе - технические - программное и аппаратное обеспечение. Все эти средства управляются серьезно обученными ИТ специалистами.

А что это значит? Означает, что стандарт технический.

Да, но это не так. ISO 27001 –не технический, а прежде всего организационный стандарт, какие еще ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не следует вводить нас в заблуждение. Информация может существовать в различных формах: в письменной форме на бумаге, в электронной форме, в виде микрофильмов, обмен информацией в разговоре. И в каждой форме ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасности (конфиденциальности, целостности и доступности). Как ни странно это звучит, вполне возможно строить, сертифицировать и эксплуатировать СУИБ организации без компютеров.

Основные задачи в строительстве СУИБ являются: определение области применения системы, определение политики информационной безопасности, оценка рисков. Это, прежде всего стратегические и организационные задачи.

=====================================

www.mscservices.eu/ru - Ваши ISO консультанты

===================================== 

 

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренных аудитов, корректирующих и предупреждающих действий практически идентичны тем, которые в ISO 9001, с небольшими дополнениями.

А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.

Знаете ли вы, откуда берутся крупнейшие потенциальные угрозиы для системы? Нет, хакеры не являются самыми опасными для вашей системы. Персонал. крупнейшие потенциальные угрозы для системы происходят от ваших сотрудников- из-за некомпетентных или злонамеренных действий или бездействий. И основные средства управления, которые применяются здесь - правовые и организационные действия.

А как же, для таких важных вопросов, таких как предоставление ресурсов для системы со стороны руководства или анализа системы? Являются ли они техническими, а не организационными мероприятиями?

Да, конечно, для обеспечения информационной безопасности системы, в области применения которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует прежде всего усилия в разработке и реализации организационных мер, даже если онш в области ИТ.

В поддержку этого заявления я расскажу вам о случае неудачной реализации СУИБ. Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущий ITIL специалист. Проект длился около 8 месяцев и компания инвестировала более € 80 000 в передовых ИТ-технологий для проекта, а также и немало денег для оплаты консультанта. Во время сертификационного аудита были подняты 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И угадайте какие корректируюшие меры были предложены после дополнительных 4-х месяцев со стороны компании – организационные меры !

Я надеюсь, что подняты в статье вопрос вызовет различные комментарии и мнения на эту тему.

www.mscservices.eu/ru