Advicom uzyskała certyfikat ISO 27001 w zakresie zarządzania bezpieczeństwem informacji oraz ISO 20000 w zakresie zarządzania jakością usług IT
Advicom spółka informatyczna należąca do JSW SA uzyskała certyfikat ISO 27001 w zakresie zarządzania bezpieczeństwem informacji oraz ISO 20000w zakresie zarządzania jakością usług IT.
Proces certyfikacji przeprowadzony został przez jednostkę certyfikacyjną w listopadzie 2011r. System spotkał się z bardzo dużym uznaniem audytorów jednostki certyfikacyjnej, której przedstawiciele wręczyli stosowne certyfikaty w grudniu 2011r.
Projekt wdrożenia obu systemów powierzony został PBSG. W całości prace obejmowały:
| Etap 1 | Planowanie systemu zarządzania | 1. Opracowanie koncepcji systemu – zebranie informacji i uzgodnienie podejścia w zakresie struktury ról, katalogu usług, klasyfikacji informacji oraz analizy ryzyka
2. Opracowanie struktury ról i odpowiedzialności – określenie i uzgodnienie ról w systemie zarządzania wraz z osobami je sprawującymi, określenie odpowiedzialności i uprawnienia, przygotowanie modyfikacji regulaminu organizacyjnego i stanowiskowych kart pracy 3. Opracowanie wytycznych do katalogu usług biznesowych, umów SLA, analizy ryzyka i klasyfikacji informacji – określenie i uzgodnienie struktury katalogu usług, opisu usług, umów SLA oraz modelu klasyfikacji informacji i analizy ryzyka 4. Powołanie zespołu roboczego 5. Szkolenie dla zespołu roboczego – przygotowanie i przeprowadzenie szkolenia dla członków zespołu roboczego |
| Etap1A | Opracowanie dokumentacji w zakresie danych osobowych | 1. Wykonie audytu systemów informatycznych powierzonych do administracji w celu rozpoznania systemów przetwarzających dane osobowe. |
| Etap 2 | Budowa podstaw systemu zarządzania | 1. Budowa metodyk – opracowanie i uzgodnienie w zespole roboczym metodyki klasyfikacji informacji oraz analizy ryzyka, wraz z przygotowaniem narzędzi
2. Przeprowadzenie Klasyfikacji informacji – zespół roboczy dokona identyfikacji informacji podlegających ochronie oraz określi zasady postępowania z poszczególnymi typami informacji 3. Przeprowadzenie Analizy ryzyka – zespół roboczy zidentyfikuje zagrożenia i podatności oraz oceni ryzyko bezpieczeństwa informacji 4. Raport oraz Plan minimalizacji ryzyka – zespół roboczy podsumuje wyniki analizy oraz określi działania niezbędne w celu minimalizacji ryzyk 5. Uzgodnienie Raportu – raport zostanie uzgodniony wewnętrznie 6. Budowa Katalogu usług i SLA – zespół roboczy zidentyfikuje usługi informatyczne, dokona ich opisu oraz opracuje szablon umowy SLA 7. Uzgodnienie Katalogu usług i SLA z Biznesem – opracowany Katalog usług oraz propozycje umów SLA zostaną zaprezentowane przez przedstawiciela zespołu roboczego Biznesowi i uzgodnione z nim |
| Etap 3 | Opracowanie dokumentacji procesów systemu zarządzania | 1. Modelowanie procesów – opracowanie przez zespół mapy procesów
2. Opracowanie dokumentów dla procesów – opracowanie przez zespół szczegółowych elementów poszczególnych procesów (opis procesu, procedury, instrukcje) 3. Uzgodnienie dokumentacji – przedstawienie dokumentacji opracowanej przez zespół pozostałym jednostkom organizacyjnym w celu uzgodnienia ich postaci końcowej oraz naniesienie niezbędnych modyfikacji 4. Zatwierdzenie dokumentacji – skompletowanie i zamknięcie dokumentacji przez zespół roboczy, zatwierdzenie dokumentacji przez Kierownictwo do opublikowania po przeprowadzeniu szkoleń, publikacja dokumentacji |
| Etap 4 | Opracowanie planów | 1. Opracowanie i testowanie Planu ciągłości działania – opracowanie przez zespół planów ciągłości działania dla wyznaczonych usług/systemów oraz przez przeprowadzenie i udokumentowanie testów
2. Opracowanie i weryfikacja Planu rozwoju usług – opracowanie przez zespół roboczy planu rozwoju usług IT ujętych w Katalogu usług |
| Etap 5 | Wdrożenie systemu zarządzania | 1. Przygotowanie i przeprowadzenie szkoleń dla osób sprawujących kluczowe role – konsultanci opracują i przeprowadzą szkolenia dla pracowników sprawujących kluczowe role, tj. pełnomocnika, właścicieli procesów, właścicieli usług, koordynatorów obszarów
2. Przygotowanie i przeprowadzenie szkolenia dla Pracowników – wyznaczone osoby z zespołu roboczego przygotują i przeprowadzą szkolenia dla pracowników z opracowaniej dokumentacji systemu zarządzania 3. Wdrożenie dokumentacji – uruchomienie systemu zarządzania, publikacja dokumentacji, obwieszczenie pracownikom startu systemu, aktualizacja regulaminów |
| Etap 6 | Doskonalenie systemu zarządzania | 1. Szkolenie Audytorów wewnętrznych – opracowanie i przeprowadzenie przez konsultantów szkoleń dla audytorów wewnętrznych (dwudniowe szkolenie z wymagań norm oraz zasad audytowania, kończące się egzaminem i wydanem certyfikatu audytora wewnętrznego)
2. Audyty wewnętrzne i raportowanie – zaplanowanie, przeprowadzenie i udokumentowanie audytów wewnętrznych przez przeszkolonych audytorów pod nadzorem konsultantów 3. Ponowna Analiza ryzyka i ocena Usług – przeprowadzenie przez zespół ponownej analizy ryzyka i oceny usług 4. Przegląd zarządzania – przeprowadzenie przeglądu zarządzania z udziałem kierownictwa, na podstawie wyników audytu, analizy ryzyka oraz innych informacji z systemu |
| Etap 7 | Certyfikacja systemu zarządzania | 1. Audyt zewnętrzny certyfikujący |