ISO 31000 - Кратко представяне на стандарта и на учебния модул М19

Материята „рискове“ се среща от доста време в различните стандарти за системи за управление, но представена по различни начини и в различна степен. Тази „различност“ е обяснима предвид спецификата на областите, в които се прилагат стандартите. Сега вече за рискове се говори и мисли не само на територията в приложните полета на стандартите, но и във всяка човешка практика, в която се поставят цели и се търсят решения при определени и/или очаквани условия.

Рисковете са факторът, които затруднява или пречи за постигане на цели и реализация на проекти и решения, или напротив – съдържа възможности, благодарение на които едни първоначални скромни сигурни резултати, получени в „безрискова среда“, биха се увеличили многократно при правилно преценен баланс на „рискове срещу възможности“. Владеенето на рисковете изисква непрекъснат обмен на информация и консултации със заинтересовани страни, да се държат „под око“ познатите рискове, периодично да се правят прегледи и на тази основа да се развиват средствата и методите за въздействие, докато т. нар. остатъчен риск спадне и бъде поет.

Стандартът ISO 31000 (БДС ISO 31000) – “Управление на риска. Принципи и указания” има стойност да е универсална общоприложима методическа опора за правилно разбиране и усвояване на свързани с управление на рисковете изисквания, поставени в различните стандарти или в други видове документи. Познаването на тази единна опора гарантира адекватно и пълноценно разработване на процеси за управление на рискове във всяка една сфера на приложение

ISO 31000 – ПРИНЦИПИ И УКАЗАНИЯ ПРИ УПРАВЛЕНИЕ НА РИСКОВЕ

Аудитория

Собственици, висши мениджъри, мениджъри на системи за управление, представители на ръководството и специалисти във фирми или в други организации, които или прилагат стандартизирани системи за управление (ISO 9001, ISO 14001, ISO/IEC 27001, ISO 28000 и др.), или им се налага да отчитат, оценяват и обработват рискове, свързани с извършвана работа.

Цели на обучението

Да представи общите принципи и базираните на тях насоки и указания за управление на рискове. Да създаде модел на мислене, основан на рискове, в полза на постигането на цели, за развитие и подобряване на организацията

Ползи

Участниците получават достъпно разбиране за работно и съчетано прилагане на общите принципи в управленските дейности на организацията. Получават информация за практики по оценяване на рискове и за различни варианти при определяне на най-подходящи въздействия променящи рисковете

Тематика

Термини и принципи в управлението на рискове

Елементи на организационната рамка за управление на рискове

Представяне, коментари и примери за процеса на управление на рискове

·     - обмен на информация и консултиране

·     - определяне на фактори на външна и вътрешна среда

·     - обстоятелства, свързани с процеса на управление на рискове

·     - последователност при оценяване на рискове

·     - въздействия върху рискове и избор на подходящи възможности

·     - планиране и изпълнение на планове за въздействие

·     - мониторинг и прегледи при управление на рискове

·     - документиране, приемственост и проследимост

ISO/IEC 20000-1 - Кратко представяне на стандарта и на учебния Модул 11

Битува отдавна една заблуда. Смята се, ей така само по инерция, че щом една услуга се базира на високи технологии и особено ако е осигурена със софтуер и последна дума техника, то такава услугата няма как да не удовлетворява клиентите. Само че клиентите по-скоро нямат никакви изисквания за технологичното ниво. Клиентите искат зад услугата да стоят специалисти и организация, които да го насочват, разбират и да му помагат, услугата да има точно обявени и постоянно поддържани характеристики, услугата да не прекъсва и да е постоянно налична, да не се „издънва“ откъм сигурност, да не се изменя произволно и несъгласувано, да е устойчива и да е възстановима за зададено време след сериозни катаклизми.

Истината е, че за да бъде качествено предоставяна една IT услуга, то тя трябва да гарантира всички по-горе изброени функции и много още други в допълнение, защото клиентите в IT сектора са взискателни и с многообразни профили и нужди. Тъкмо затова във фирма за IT услуги, да се прилага само уж “универсалния” ISO 9001 стандарт, не че е недостатъчно, а си е по-скоро съвсем излишно.

Популярната и известна отдавна по света “IT-библия”, наречена ITIL e проектирана по подходящ начин в тялото на международния стандарт ISO/IEC 20000-1. Стандартът обхваща всички аспекти и специфики на услугите в IT бранша и гарантира, чрез постигане на изискванията му, че степента на удовлетвореност на клиентите ще е висока. Стандартът има едно решително предимство – в него са заложени и всички ключови изисквания на стандарта за управление на сигурността на информацията – ISO/IEC 27001. Така за IT организациите ще е напълно достатъчно да усвоят само ISO/IEC 20000-1 и да не се занимават с ISO/IEC 27001. Стандартът има и един притеснителен недостатък – изисква твърде много документи и записи, с което той става трудно приложим в две ситуации – ако IT организацията е малка по размер или ако организацията предлага много услуги.

Ние, в Алфа Куолити, умеем да компенсираме горният недостатък чрез прилагане на няколко наши решения за пестеливо и компактно документиране, при което се запазва изцяло съответствието със стандарта, но при това силите и вниманието на организациите се насочват в посока и в полза към клиентите и към собственото развитие, а не към документите

Модул 11 - ISO/IEC 20000-1 И СИСТЕМИ ЗА УПРАВЛЕНИЕ НА УСЛУГИТЕ В ICT СЕКТОРА

Аудитория

Собственици на фирми и висши мениджъри от ICT браншa. ICT сервизни специалисти. Системни администратори. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи, на клиентски софтуер и на обучения по ICT. Оператори на ICT, на специализирани и на публични услуги. Доставчици за ICT сектора

Цели на обучението

Да поясни понятията и процесите, свързани с проектиране или изменение на ICT услуги, както и процесите по доставка, бюджетиране, управление на капацитета, сигурността, решаване на спорове с доставчици и клиенти, управление на конфигурацията, пускане за ползване и разгръщане на ICT услуги. Да представи и коментира изискванията на стандарта ISO/IEC 20000-1.

Ползи

Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика

Общо представяне на ключовите стандарти от серията ISO/IEC 20000-X

Структура и изисквания на системата за управление на ICT услугите

Обхват и схема за управление на системата по метода PDCA

Документиране на системата и управление на документи и записи

Процеси, свързани с управлението на ICT услугите

      - планиране, проектиране, преход или голямо изменение на услуга;
- доставка на услуга – ниво, непрекъснатост и наличност;
- бюджетиране и отчетност за услуга;
- управление на капацитета;
- управление на сигурността на информацията;
- взаимодействия на доставчика на услуга с други страни;
- управление на инциденти и проблеми;
- процеси на контрол.

ISO/IEC 27001 - Кратко представяне на стандарта и на учебния модул М7

След години на колебания, на въпроси и съмнения от типа „Има ли това почва ...“, към днешна дата вече няма нужда никой да бъде убеждаван, че сигурността на информацията е критично важна. Почти не остана сайт на държавна организация, който да не бил съсипван от хакерски атаки. Станаха емблематични случаите на изчезнали секретни документи и веществени доказателства, видяхме как изборната администрация беше блокирана за часове от Denial of Service атака. Чрез неправомерен достъп до документи и данни ежедневно се краде собственост и се присвояват чужди имоти и фирми. 

Едно е сигурно – занапред това ще продължава и ще се засилва!

Трябва да бъдем честни! Въвеждането на система за управление на сигурността на информацията е необходимо, но системата няма да дава достатъчна защита и вечно спокойствие. Колкото по-съвършени стават защитите ни, толкова повече растат апетитите за неправомерен достъп до информация и средствата за атака и за разкриване стават все по-изобретателни. Но има една или две много сигурни ползи от една добре направена система за сигурност на информацията и те са такива, че не могат да бъдат накърнени. Първо, ако има система, хората разбират и осъзнават значението на проблема, променят начина си на мислене и на действие и, дори и да претърпят инцидент със сигурността, те вече знаят как да се справят със ситуацията и как да се предпазят от повторението й. И второ – висшето ръководство на организацията поема задължения да поставя цели, да определя политики, да дава ресурси, да изисква от персонала и да го подкрепя.

Ние, партньорите на Алфа Куолити България винаги се стараем системите за управление на сигурността на нашите клиенти да бъдат адекватни и да са оразмерени индивидуално според особеностите на бизнес процесите в организацията и според броя и големината на реални за процесите рискове

Модул 7 - ISO/IEC 27001 И УПРАВЛЕНИЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА

Аудитория

Собственици на фирми и висши мениджъри от всички браншове. Системни администратори. IT сервизни специалисти. Ръководители и специалисти от държавната и общинска администрации. Проектанти на информационни системи и на клиентски софтуер. Оператори на IT, на специализирани и на публични услуги. Доставчици на услуги и продукти за „чувствителни“ сектори

Цели на обучението

Да поясни подробно понятията за сигурност на информацията, заплахи, рискове и обработки на рискове. Да представи принципите, върху които се базират системите за сигурност на информацията и коментира изискванията на стандарта ISO/IEC 27001 и направленията за изграждане на защити

Ползи

Участниците получават достъпно и ясно изложение, съпроводено с примери и с казуси за обсъждане. Коментират се степените на свобода, заложени в съдържанието на изискванията, и варианти за лесна и ефикасна реализация на система. Идеи за цялостно и достатъчно, но пестеливо документиране

Тематика

Общо представяне на ключовите стандарти от серията ISO/IEC 2700X

Изясняване и коментар на основни понятия в сферата на сигурността

Връзка на външните и вътрешни фактори с обхвата и рисковете

Планиране, свързано с критерии, оценяване и обработване на рискове

Ресурси в полза на сигурността. Документиране на системата. Примери

Мониторинг, одити и прегледи на системата. Примери

Структура и основно съдържание на „контролите“ от Приложение А

Насочване към информационни източници и към „гуру“ центрове

Консултантът трябва да управлява клиента си, за да не стане точно обратното ...

А обратното е клиентът да поеме управление над консултанта...
Как е възможно това? Просто е - само че може да стане някак неусетно.

Още с първото си посещение при клиента консултантът вижда, че ръководството и хората във фирмата са твърде много заети. Работят яко! Ако пък случайно консултантът е дал вид, че не е разбрал това, все някой от фирмата ще му го каже ясно, категорично и в прав текст, от който се разбира, че "Нямаме никаква възможност сега да се занимаваме с това ISO ..."

Какво следва от това? 
Следват ето такива неща ...

1. Срещите на консултанта с хора от фирмата са пределно недостатъчни и кратки, така че той не получава цялата информация, която му трябва, за да се захване с проектирането на система.

2. Консултантът услужливо и с разбиране поема сам да разработи всички необходими за системата документи, при това с минимално или даже при никакво съдействие от клиента.

3. Хората от фирмата, а най-вече ръководството, нямат достатъчно време, за да прегледат предадените проекти на документи. Може даже да нямат никакво време за преглед, а имат време просто да подпишат документите "за да върви работата".

4. Накрая системата се получава като прост сбор от задължителни (т.е. изискваните от самия стандарт) документи, които в най-добрия случай са четени "по диагонала", камо ли да става дума за ангажирано, подпомогнато от консултанта, реално внедряване.

5. Че документите не са четени и обсъдени както трябва е по-малка беда. Друга беда е, че има доста неща, които не могат или не е подходящо да се пишат - консултантът трябва да ги каже в нарочен разговор и тази форма на предаване на знания, препоръки и внушения е доста по-ефикасна от купищата документи. Само че такива разговори просто не се получават или се претупват, или по време на разговора човекът отсреща слуша, ама с "половин ухо".

Това изброяване лесно може да стигне до точка десета, че и нататък ... Но няма смисъл да се продължава ... Защото и само това е достатъчно, за да се получи нежелания резултат.

За какво става дума?
Просто е - идва моментът, в който работата по така "изградената" система трябва да се представи пред одитор на Орган за сертификация. Вече се знае, че одиторът ще бъде на проверка един, два или три дена. Тези дни ръководството и всички във фирмата, колкото и да са заети, ги прежалват и, просто защото няма как, отделят цялото си време за одита и са в плътен контакт с одитора. "Той е човекът от когото всичко зависи да мине успешно!"

Одиторът, много е вероятно, да усети цялата работа - хората не си познават системата, а не я познават, защото не са я правили и не са я внедрявали както трябва. Не му е приятно това на одитора, но той най-често се опитва да спаси одита с цената на това, че му се налага да дава разяснения и да си помага, за да бъдат въпросите му правилно разбрани, с примери и с какви ли не коментари. В 99% от случаите одиторът казва неща, които и консултантът е могъл да каже, стига да е имало кой да го слуша когато е трябвало. Само че има няколко важни разлики.

1) За разлика от консултанта, който познава фирмата и работата на хората от няколко месеца, одиторът "опознава" фирмата само от тези няколко дни, през които одитира. Ако одиторът е бил в други подобни фирми това не помага особено за опознаването, защото всяка фирма си има специфики, а сляпото пренасяне на опит изкушава, но не се препоръчва. С две думи - рискът да се направят неточни и неподходящи изказвания е доста голям. Даже и да усетят това, хората във фирмата се оказват с недостатъчни "съпротивителни сили" или просто не искат да влизат в спор с одитор, защото се знае, че ще го загубят.

Липсата на съпротивителни сили за спор често поставя фирмите в изнасилено положение да правят неща, които са им казали - макар да не виждат разум и смисъл. "Така каза одитора!"
За съжаление, случват се такива неща. Даже се случва и ръководството рязко и сляпо (безкритично) да смени мнение или решение, върху което изначално е построена системата.
 
2) По-лошо е когато одиторът каже точно каквото трябва. Защо? Защото отсреща хората вече не го слушат с "половин ухо", а го "гледат в устата какво казва". И не само това - те разбират какво им се казва и даже се радват "Я, че то било толкова ясно и просто!"

3) Но най-лошо е ситуация (2) да се разиграе в присъствие на консултанта. Консултантът знае, че не е страна по одита и си трае. И както си мълчи чува онова, което самия той е трябвало да каже, ама не е могъл ("Как да им кажа? Опитвах се, но ... те са толкова заети!") или пък го е казал, но никой не е обърнал внимание ("Да, да ... но сега имаме по-важни неща за вършене!").

Да резюмираме...
Ако си консултант трябва да направиш всичко възможно, за да те чуят и за да успееш да дадеш информацията, от която се нуждаят хората. Колкото и да са заети те, ще трябва да се отдели време и контактът да се реализира. От честотата и плътността на взаимодействията "клиент"-"консултант" зависи в крайна сметка качеството на цялата работа. В краен случай може да стане така, че консултантът да се оттегли от проекта, щом като вижда, че фирмата няма ресурси (човешки, време и други) да се заеме сериозно с работа по проекта.

Ако си клиент на консултант задачата ти е да вземеш от консултанта всичко, което той може да ти даде, да го гониш непрекъснато за получаване на нови знания и за търсене на решения. Нали за това си даваш парите ... Няма никаква файда да демонстрираш колко много си зает, колко много и колко важна работа вършиш. Или, ако правиш някакви демонстрации, то те всъщност се оказват свидетелство на това как не си способен да си организираш работата по проект, който сам си поискал и ти е нужен