Přezkoumání systému řízení v kontextu ochrany informací a certifikace dle ISO 27001

Přezkoumání systému řízení v kontextu ochrany informací a certifikace dle ISO 27001


ABSTRAKT

- Obsah přezkoumání musí / může / má pro účely organizace

- Pravidelný rytmus a přesně uvědomělá odpovědnost

- Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit

- Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?

- Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů

- Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů

- Obnovitelnost

Požadavky a povinné prvky přezkoumání systému informační bezpečnosti ISMS dle ISO 27001

  • Pohled standardního systému IMS (integrovaného systému řízení)

  • Kritické oblasti přístupu a posuzování přezkoumání vedením vrcholovými představiteli organizací a firem

    • Vstupy, hodnocení a předcházející období
    • Výstupy, zaměření a budoucí období
    • Doporučení ke zvýšení efektivity hodnocení, využitelnosti a komplexnosti nástroje vrcholového vedení

Přezkoumání vedením ISMS článek č.7 normy ISO 27001:2005

7.1. Všeobecně

Vedení organizace musí provádět přezkoumání ISMS organizace v plánovaných intervalech ( alespoň jednou za rok), aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost.

Toto přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti.

Výsledky přezkoumání musí být jasně zdokumentovány a musí být o nich udržovány záznamy


7.1. Všeobecně – závěry z nichž vyplývají klíčován témata a problematické oblasti

- Čas

- Vedení organizace

- Zlepšování, tedy trendy a vyhodnocování

- Změny

- Dokumentace a vedení záznamů (v souladu s 4.3.3 Řízení záznamů)

- Musí

 

Jaké jsou povinné prvky přezkoumání systému ISMS dle ISO 27001

7.2. Vstup pro přezkoumání

Vstupy pro přezkoumání vedením musí zahrnovat informace o:

- Výsledcích auditů a přezkoumáních ISMS

  • interní, externí, roky, systémové trendy, závěry a hodnocení, nebezpečí, neshody, prevence, ….

- Zpětné vazbě od zainteresovaných stran

  • dodavatelé, vlastníci, zaměstnanci, zákazníci, ….

- Technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a účinnosti ISMS

  • možnosti rozvoje, zlepšování, vyhodnocení hrozeb a akceptovaných rizik, nápravné opatření, prevence, ….

- Stavu preventivních opatření a opatření k nápravě

  • Kde jsou, jak identifikovat, záznamy, protokoly, cíle, opatření, projekty, ….

- Zranitelnostech nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost

  • ….

Povinné prvky přezkoumání systému ISMS dle ISO 27001

7.3. Výstup z přezkoumání

Výstup z přezkoumání prováděného vedením organizace musí zahrnovat rozhodnutí a činnosti vztahující se k:

- Zvyšování účinnosti ISMS

  • cíle, závěry, projekty, aktivity, ….

- Aktualizaci hodnocení rizik a plánu zvládání rizik

  • Aktualizace, akceptace, priority, řešení, investice,….

- Nezbytným změnám postupů v bezpečnosti informací, v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS

  • procesy a činnosti organizace, bezpečnostní požadavky, klienty a smlouvy, rizika a jejich akceptovatelnosti,….

- Potřebě zdrojů

  • Lidé, technika, technologie, finance, komunikace, ….

- Zlepšování postupů měření účinnosti opatření

  • ….


Jaký je pohled standardního IMS (integrovaného systému řízení) – vstupy (kvalita -Q, životní prostředí -E, BOZP -S)

Kapitola 5.6. ISO 9001

Kapitola 4.6. ISO 14001 a OHSAS 18001

Hodnocení managementem organizace, přiměřené, plánované, pravidelné, realizované, zdokumentované, záznamy

  • Q/E/S – výsledky auditů =
  • Q – zpětná vazba od zákazníků ~
  • Q – výkony procesů a konformita produktu ~
  • Q/E/S – Status preventivních a nápravných opatření =
  • Q/E/S – výsledky a opatření z předcházejících přezkoumání =
  • Q/E/S – změny, které mohou mít vliv na IMS a doporučení ke zlepšování =
  • E/S – výsledky posouzení a plnění právních požadavků =
  • E/S – informace a vstupy od zainteresovaných stran =
  • E – vztah, výkony, hodnocení z pohledu životního prostředí #
  • S – vztah, výkony, hodnocení z pohledu bezp.práce #
  • E/S – dosažení cílových hodnot a programů #
  • S – hodnocení rizik, hrozeb a zúčastněných stran =


Kajé jsou tedy kritické oblasti přístupu:

Vstupy:

  • Čas (kdy, …)
  • Pravidelnost (jak často…..)
  • Systémové hodnocení (např. interní audity, neshody, …)
  • Konkrétnost (údaje, čísla, přesnost,….)
  • Rozsah (musí…., může….)
  • Účast (vrcholový management, ….)
  • Historie (trendy v oblastech – např. incidenty, úrazy, finanční ukazatelé, fluktuace, …)

Výstupy:

  • Konkrétní
  • Časově ohraničený (termín)
  • Měřitelný

 

Závěrečné doporučení ke zvýšení efektivity:

  • Obsah přezkoumání musí / může / má pro účely organizace
  • Pravidelný rytmus a přesně uvědomělá odpovědnost
  • Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit
  • Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?
  • Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů
  • Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů
  • Obnovitelnost

[1] Ing. Petr Kopecký, Leadauditor, Trainer, Regionsmanager CZ&SK, Qualityaustria GmbH & CIS GmbH

Technická univerzita v Košiciach – doktorand katedra IMS, fakulta Hutnická





Komentáře