Няма такива стандарти!

Няма стандарт ISO 27001!

Няма стандарт ISO 20000-1!

Няма БДС EN ISO 27001!

НАИСТИНА НЯМА!

Ще видите тези  и други грешни означения в сайтове, включително и на авторитетни фирми!

Няма да повярвате, но грешни означения на тези популярни стандарти ще видите и в издадени сертификати за съответствие на системи, на които сертификати отгоре стои логото на още по-авторитетни органи за сертифициране, а отдолу - подписи на техни представители!

Срещат се тук и там още по-екзотични грешки - например ISO EN 27001.

На човек не му идва на ум какво може да се направи, за да се спре тази лоша практика.

Аспект на сигурността на информацията е да се прави грешно посочване и цитиране на документи. А пък ако документите са стандарти ... човек просто няма думи!

Правилните означения са ...

на стандарта за системите за управление на сигурността на информацията

ISO/IEC 27001 или ISO/IEC 27001:2005

БДС ISO/IEC 27001 или БДС ISO/IEC 27001:2006

(предстои скоро да излезе ISO/IEC 27001:2013 - сега той е на етап FDIS)

на стандарта за системи за управление на услугите

ISO/IEC 20000-1 или ISO/IEC 20000-1:2011

БДС ISO/IEC 20000-1 или БДС ISO/IEC 20000-1:2012

Имайте "едно на ум", ако срещнете грешните означения в оферти, писма, сайтове, покани за курсове и други примамки... Рибите подминават кукичка, ако видят да виси умряло червейче!

Нека внимаваме, когато пишем за тези стандарти, когато документираме системи по тях, а най-вече и когато сядаме да пишем сертификати за съответствие. Благодарим в аванс!

Отново за политиките ...

Трудно е да се провери при одит онази част в системите за управление, която се отнася до политиката. Всъщност, не е толкова трудно, ако проверката наблегне и се ограничи до тривиалните изисквания - политиката да е документирана, огласена и обяснена, да е преглеждана за актуалност и т. н. А дали наистина е разбрана и дали се прилага?

Дали политиката е разбрана и се прилага - за това като че ли се стига до констатации някакси по индуктивен път (най-често в резултат на разговори, един от които непременно е с първия ръководител). Сигурно така трябва и да бъде, но е добре, ако при това имаме и някои по-силни и убедително говорящи доказателства. Тук се сещаме поне за две такива ...

Първото - ако одиторът разговаря с човек и го попита как разбира и как прилага политиката, нека един от най-добрите отговори е - "Аз работя това и това. В моята работа е особено важно да постигам ... и да внимавам за ... . Иначе колегите, които са след мен, а и клиентите ни ще бъдат недоволни. Ако се случи така, то ще бъде нарушение на нашата Политика, защото в нея е казано .... и от всички нас се изисква да ... ". При това човекът няма нужда да дава буквални цитати на текстове от политиката. Достатъчно е каже нещата със свои думи. На мен би ми било симпатично дори ако се случи човекът да добави и нещо от себе си - нещо, което го няма в текстовете на политиката. Все едно, че той, осмисляйки политиката, вижда необходимост да добави нещо към нея и така да има някаква "своя си политика".

Второто е по-особено и може би е дискутируемо. Ако разберем, че е имало случаи, в които хора са били изправени пред неочаквани, непредвидени и "нестандартни" ситуации - ситуации, за които всички документи в цялата ни система не дават ясно или не дават никакво предписание за действие и въпреки това хората са реагирали правилно ... не се ли дължи това, дори отчасти, на една наистина позната и добре осмислена политика? Или само на здрав разум?

Трето? Има ли трето, четвърто?

За всичко писано тук, а и в предишния материал (със заглавие "За политиките ..."), важат някои много необходими важни условия:

• политиката е съставена от или с участие на първия ръководител и носи дух и отпечатък, които са специфични и уникални за организацията и нейния ръководител.
  Не е преписана от друга организация (все едно чужда автобиография да обявиш за своя);
• текстът на политиката е достъпен, разбираем, и поради това - убедителен за всички;
• веднъж обявена, политиката не само че е достъпна (всеки може да я види - тя не стои прибрана в папки и чекмеджета), но за нея се говори във всеки случай, когато  е подходящо да се позоваваме на нея и да я ползваме за репер.

Виждал съм одитори "от трета страна", които одитират политика по тривиалните изисквания и гарнират получените доказателства с любезен разговор с първия ръководител.

Но съм виждал и други одитори, които имат грижа да получат и доказателства за разбиране и прилагане на политика, като заплащат това не само с похарчено време, но и с усилия, които дават резултат, защото са базирани на неоспорима компетентност

Недокументираните процедури

Били ли сте на концерт и да видите музикантите насядали да чакат диригента, за да започнат? Не сте? И няма да бъдете! Нещо като "недокументирана процедура" са няколко добре познати прости изисквания, които едва ли ги пише някъде, но се изпълняват винаги и то по най-добрия начин - например, последното настройване на струнните инструменти. А струните се настройват само след като инструментът е добре темпериран. Диригентът търпеливо чака зад кулисите тази "процедура" да се изпълни. 

Сигурно може и при действащите системи за управление на качеството (а и при други видове системи) да има действия, които са много важни и то толкова много важни, че изобщо не се налага да се описват. Те са в съществените части на добрите практики - в смисъл, че ако си позволиш да не ги изпълниш както трябва, ще те познаят че си профан или аджамия. Като че ли има и друга хипотеза и тя е точно обратна на първата. Не можеш да имаш документирана процедура за изпълнения с уникален характер. Кой може да напише процедура за това как се дава юридическа консултация или как се поставя медицинска диагноза? Може, но само донякъде и то не по същество, а само колкото да засегнеш подготвителни и заключителни дейности. Няма как ... Иначе какво - щяхме да четем процедури и да даваме адвокатски съвети?! Да, май е смешно... Но никак не е до смях, ако ти се падне одитор, на който да смънкаш, че ти, а и колегите ти също, еди какво си просто си го правите добре и толкоз. Ще ти трябва доста време да обясниш, че това наистина е така, а след това и да ти повярват. Виждал съм случай, в който след такива пространни обяснения, одиторът, след като внимателно е слушал и кимал, накрая казва "ОК. А за това дето го разказа имаш ли доказателства?" (когато одитор каже "доказателства", той в 90% от случаите има предвид документ!). На темата "доказателства" трябва да се пише отделно, защото тя е много интересна и важна. 

Сега ще кажем накрая, че хитрите мениджъри на системи се самоизнасилват да съчинят що годе някаква процедура, макар от нея да няма нужда, за да им е рахат при одит. И със записите е така - стандартът не ти иска запис, практиката също не налага да има запис и всичко си върви идеално, но ... някои хора си казват "А бе, я по-добре да си имаме запис, че да не се мъчим при одити". Иначе стандартите нямат кусур - там си е казано точно какво трябва да имаш документирано, като накрая е посочено "и други документи, включително и записи, определени от организацията като необходими за ...". Да подчертаем дебело "определени от организацията", а не от някой който и да е друг. Ето тук "организацията" може да си каже думата и да си реши кои дейности/процеси има нужда да бъдат документирани. Всичко останало ще си остане "недокументирано". А от всички нас се очаква да приемем и да уважим преценката на организацията

За политиките ...

В бизнеса, погледнат откъм разбирането за системите за управление, има много важни изисквания, за които май няма как да се напишат инструкции (как да ги постигаш и спазваш) или процедури (как да се организираш и кой да отговаря). 

Тези изисквания ги знаем всички, защото сме ги чували - наричат ги "доверие" или "сигурност", или "загриженост", или нещо друго подобно. Трябва да имаш доверие към адвоката си, към доктора, към охранителя, към преводача ... Трябва да си сигурен, че услуга ще ти бъде доставена когато ти потрябва или че данните за теб и твоята фирма ще бъдат опазени. Трябва да очакваш, че избрания от теб консултант ще е истински загрижен за успеха ти. Очакваш одиторът, който оценява системата, да е обективен, независим и добронамерен ... Много са случаите, в които подобни "изисквания от висок порядък" са критично определящи и стоят над всякакви други "изисквания за просто техническо изпълнение", за поведение или друго, за което може да напишеш инструкция от типа "Прави ЕДНО! След това - ДВЕ! и т. н ...". Опиташ ли да съставиш инструкция за постигане и поддържане на доверие, резултатът ще е един - откровена глупост. Но може да е подходящо да има методически указания ...  

Мястото на изискванията от висок порядък е в политиката на системата -
там те трябва да се високопоставят и изговорят не от някой друг, а от Първия. 

Вероятно там е смисъла на текста "ръководството трябва да определи политиката ..."

Думата на ръководството за това кое е най-важно, трябва да се "чува" в политиката.

Няма кой друг и няма къде другаде в една система да се постанови - "Тука е така!"

И всеки, който е приел да се води от една Политика, няма как да прави друго