Nowe rozwiązania dla polityki bezpieczeństwa informacji

Nowe rozwiązania dla polityki bezpieczeństwa informacji (ISO27001) i zarządzania jakością usług

W październiku 2012 roku zostały wydane wytyczne dotyczące zintegrowanego wdrażania systemów zarządzania opartych o normy ISO/IEC 27001 i ISO/IEC 20000 – ISO/IEC 27013:2012. Celem normy jest przekazanie wskazówek, pomocnych organizacjom zarządzać zarówno systemem bezpieczeństwa informacji, jak i systemem zarządzania usługami IT – dwa systemy zarządzania, które uzupełniają i wzajemnie wspierają swoje cele.

Standard ten zawiera wytyczne dotyczące wdrożenia zintegrowanego systemu zarządzania bezpieczeństwem informacji i usługami IT – spełniającego wymagania norm ISO/IEC 27001:2005 oraz ISO/IEC 20000-1:2011 (specyfikacja zarządzania usługami IT oparta na bibliotece ITIL).

ISO/IEC 27013:2012 zaleca organizacjom wdrożenie zintegrowanego (podwójnego) systemu zarządzania opartego na jednolitych procesach oraz niezbędnej dokumentacji, na przykład:

  • uzupełnienie już funkcjonującego systemu ISO/IEC 20000-1 o system ISO/IEC 27001 lub odwrotnie
  • opracowanie od zera systemów ISO/IEC 27001 oraz ISO/IEC 20000-1
  • zintegrowanie poprzez ujednolicenie już posiadanych systemów ISO/IEC 27001 i ISO/IEC 20000-1

Standard określa ramy dla działania organizacji i priorytetów, w zakresie:

  • wyrównywania celów zarządzania bezpieczeństwem informacji i jakością usług IT
  • wspólnej wizji wspólnego słownika pojęć
  • połączonych korzyści biznesowe dla klientów i dostawców usług zapewnienia równego traktowania problemów objętych systemem zarządzania – nie dyskryminowanie jednego obszaru na rzecz innego
  • zmniejszenia liczby procedur, instrukcji i zapisów ujednolicenia dokumentacji systemu
  • jednolitego sposobu nadzoru nad dokumentacją
  • prowadzenia wspólnych audytów wewnętrznych, działań korygujących i zapobiegawczych oraz jednego przeglądu zarządzania oszczędność czasu audytów, a co za tym idzie zmniejszenie kosztów z nimi związanych
  • jednolitego cyklu doskonalenia systemu zapobiegania dublowaniu się ról takich, jak pełnomocnicy systemów czy audytorzy
  • obniżenia kosztów utrzymania jednego systemu

Według ekspertów PBSG wydanie normy potwierdza, że przyjęty naszych konsultantów model wprowadzania tych norm był właściwy. Od samego początku konsultanci zachęcali klientów do wdrażania norm w sposób zintegrowany, co miało przede wszystkim aspekt pratycznego wykorzystania. Pierwszy w Polsce tego typu projekt zrealizowany został dla Itelligence.