zlatibor integracija iso27001 i iso20000

IT/ICT Security conferenceZlatibor 24-26 April, 2014

ISO 20000 i ISO 27001 integracija za bolji IT

Dr. Zdenko AdelsbergerBluefield [email protected]

O predavaču …

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 2

Dr. Zdenko Adelsberger, informatičke nauke

• EOQ menadžer i auditor za: ISMS (ISO/IEC 27001)QMS (ISO 9001)EMS (ISO 14001)OHSAS (18001)

• CIS menadžer za ISMS• IRCA LA za ISMS

Trener i konzultant za ISMS, RM, ITSMS

Agenda


• Osnovni pojmovi sistema upravljanja

• Što je to ISO/IEC 27001 i njegov značaj?

• Što je to ISO/IEC 20000 i njegov značaj?

• Integracija ISO/IEC 27001 i ISO/IEC 20000 i značaj za IT

• Zaključak

Što je SISTEM ?


Sistem je uređeni skup aktivnosti koje su na temelju pravila i funkcionalno vezanih resursa usmjereni na ostvarivanje svoje misije.

SISTEM

Granice

Okruženje

Elementi sistema upravljanja


Misija

Vizija

Politike

Procesi

Strategije

Ciljevi

Ciljevi

Funkcija upravljanja je

osigurati postizanje

ciljeva i poboljšanje

Sigurnost postizanja ciljeva

temelji se na:UPRAVLJANJU

RIZICIMA

Postizanje poboljšanja temelji

se na:MJERENJU

UČINKOVITOSTI

Definicija procesa


(Poslovni)PROCES

Resursi

Pravila

Ula

zni z

ahtj

evi

Zad

ovo

lje

nje

ula

znih

za

htj

eva

Jedini razlog postojanja poslovnih procesa je: zadovoljenje ulazne

zahtjeve.

Pojedine zainteresirane strane mogu imati potpuno različite ulazne zahtjeve na

istom procesu

Aktivnost ili niz aktivnosti gdje se

upotrebljavaju resursi i kojima se upravlja kako bi se

omogućila pretvorba ulaza u

izlaz mogu se smatrati procesom.

(ISO 9001:2008)

PDCA krug za upravljanje procesimaPrema ISO 9001:2008


1

23

4

Odnos pojmova procesa i procedure


PROCES PROCEDURA

U realnosti U dokumentaciji

Povezanost sistema upravljanja


Doprinosi sistema upravljanja


ISO 9001 ISO/IEC 27001

ISO/IEC 20000-1

Korektivne radnjePreventivne radnje

Upravljanje dokumentacijom

Interni auditiUpravina ocjena

Procesni pristupUpravljanje nabavom

Upravljanje incidentimaUpravljanje promjenama

Dostupnost uslugeBCP

Upravljanje sigurnošću

ISO/IEC 27001:2013


Sistem za upravljanje sigurnošću informacija

ISMSInformation Security Management System

Dobit od ISO/IEC 27001


Poslovni rizik Poslovna potreba Značajka standarda Prednost(kako to koristi?)

Dobit

Neuspjela zaštita informacija kupaca

Smanjenje rizika incidenata Postupak za utvrđivanje relevantnih rizika, razumijevanje o tome kako se rizik formirana i ocjenjivanje poboljšanja.

Bolja svijest i razumijevanje rizika.Bolje upravljanje rizikom.Manje incidenata i nesreća.

Manje incidenta. Manje smetnji.Manje vremena utrošeno na saniranju nesreća i nezgoda.Više se vremena troši na proaktivne mjere.Niži zahtjevi nadzora i audita klijenata.

Gubitak od kupaca i investitora zbog oštećenog ugleda informacijske nesigurnosti

Kako bi zaštitili i povećati ugled.Za uspjeh više ponuda.Privući što više ulagača

Operativne kontrole će bit na mjestu

Smanjenje incidenata i nesreća.Bolje upravljanje incidentima i nesrećama.

Manje negativnog pritiska što znači manje vremena i novca potrošenog na mjere ograničenih šteta. Manje resursa se troši na pronalaženje novih kupaca i investitora.Mogućnosti za pozitivan PR

Nedovoljno razumijevanje i prijetnje za poslovanje

Odlučivanje na temelju poslovnih podataka

Uloge i odgovornosti će biti definirane.Osoblje će biti osposobljeno i kompetentno.Komunikacija učesnika i uključenost rješavanje zahtjeva ISMS

Djelatnici su svjesni svoje uloge i odgovornosti u potrebe informacijske sigurnosti.Veća vjerojatnost da će učesnici uočiti i izbjeći potencijalne opasnosti. Manji gubitak vremena na incidentima.

Veća produktivnost.Manje vremena i novca potrošeno na odgovaranje na incidente.

Prekid poslova, kao posljedica informacijskih incidenata

Kontrola informacija, ali ne pretjerani utjecaj na poslovne procese

Operativne kontrole moraju biti na mjestu.Postupci za pregled i ispitivanje biti na mjestu.

Manja vjerojatnost incidenata.Bolja pripremljenost u slučaju incidenta, što znači brži odgovor i smanji utjecaj. Učinkovitije poslovanje.

Razumijevanje poslovnih informacijskih procesa.Bolje mogućnosti uvjeravanja kupca i unutarnje strane.

Što je informacija?


1000110011001011100111111010101111001000

Signali (znakovi)

7910 je PODATAK

7910

PIN: 7910

7910 je INFORMACIJA

(kontekst označava da je to PIN kartice)

(može biti npr. nadmorska visina, prva kozmička

brzina, profit organizacije, itd.)

Glavne karakteristike informacije


CJELOVITOSTIntegrity

RASPOLOŽIVOSTAvailability

INFORMACIJA

TAJNOSTConfidentiality

C-I-A

Što o informaciji kaže ISO/IEC 27002:2013


“Informacija je imovina koja kao i ostala

važna imovina u poslovanju ima

vrijednost za organizaciju i mora biti

stalno odgovarajuće štićena.”

U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje karakteristika informacije:

tajnosti, cjelovitosti i raspoloživosti.

Šta je informacijski sistem?


Informacijski sistem (IS) je sistem koji

prikuplja, pohranjuje, čuva, obrađuje, i isporučuje potrebne informacije uz pomoć odgovarajućih resursa i pravila, na način da su

informacije dostupne svim članovima neke

zajednice (organizacije) koji se njima žele

koristiti te imaju odgovarajuću autorizaciju.

Važna činjenica: IT ≠ IS

Relevantni nosioci informacija u poslovnom sistemu


Informacije na serverima i mreži Informacije na lokalnim kompjuterima

Informacije prenošene telefonskim linijama i/ili Internetom

Informacije zapisanena papiru Informacije štampane

na papiru

Informacije spremljenena diskovima, trakama,

CD-ovima, USB memorijama, ...

Informacije fax strojeva

Zaposlenici ipartneri

Informacijski sistemi su uvijek postojali


Slika A

ISIT

Slika B

ISIT

Komponente sigurnosnog rješenja


Tehničkarješenja Organizacijska

rješenja

Procjenarizika

Politike

ProcedureSvjesnostLegitimnost

20% 80%SIGURNOSNORJEŠENJE

Upravljanje informacijskom sigurnošću obuhvaća 3 široka područja


Upravljanje informacijskom

sigurnošću

Upravljanje IT i fizičkom

zaštitom

Upravljanje legislativom, regulativom i

ugovornim obvezama

Upravljanje ljudima, procesima,

poslovanjem, operacijama,

treningom / sviješću


Serija standarda za područje informacijske sigurnosti

Kratka povijest ISO/IEC 27001


• 1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.

• 1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.

• 1996Support and compliance tools begin to emerge, such as COBRA.

• 1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.

• 2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).

• 2001The 'ISO 17799 Toolkit' is launched.

• 2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.

• 2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..

• 2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001

• 2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)


ISO/IEC 27001:2013 Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization

4.1 Understanding the organization and its context4.2 Understanding the needs and expectations of interested parties4.3 Determining the scope of the information security management system4.4 Information security management system

5 Leadership5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities

6 Planning6.1 Actions to address risks and opportunities6.2 Information security objectives and planning to achieve them

7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information

8 Operation8.1 Operational planning and control8.2 Information security risk assessment8.3 Information security risk treatment

9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review

10 Improvement10.1 Nonconformity and corrective action10.2 Continual improvement

Annex A (normative) Reference control objectives and controlsBibliography


ISO/IEC 27001:2013Predgovor0 Uvod1 Opseg2 Normativne reference3 Pojmovi i definicije4 Kontekst organizacije

4.1 Razumijevanje organizacije i njenog konteksta4.2 Razumijevanje potreba i očekivanja zainteresiranih strana4.3 Određivanje opsega sustava za upravljanje informacijskom sigurnošću4.4 Sustav za upravljanje informacijskom sigurnošću

5 Rukovođenje5.1 Rukovođenje i predanost5.2 Politika5.3 Organizacijske uloge, odgovornosti i ovlasti

6 Planiranje6.1 Akcije za rješavanje rizika i prilika 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje

7 Podrška7.1 Resursi7.2 Kompetencije7.3 Svjesnost7.4 Komunikacija7.5 Dokumentirane informacije

8 Operacije8.1 Operativno planiranje i kontrola8.2 Procjena rizika informacijske sigurnosti8.3 Obrada rizika informacijske sigurnosti

9 Ocjenjivanje uspješnosti9.1 Nadzor, mjerenje, analiza i ocjena9.2 Unutarnji audit9.3 Upravina ocjena

10 Poboljšanje10.1 Nesukladnost i korektivne akcije10.2 Kontinuirano poboljšanje

Aneks A (normativni) Referenca ciljeva kontrola i kontrolaBibliografija

Sigurnosna područja prema 27001:2013 Aneks A


1 A.5. Politike informacijske sigurnosti

2 A.6. Organizacija informacijske sigurnosti

3 A.7. Sigurnost ljudskih resursa

4 A.8. Upravljanje imovinom

5 A.9. Kontrola pristupa

6 A.10. Kriptografija

7 A.11. Fizička sigurnost i sigurnost okoliša

8 A.12. Operativna sigurnost

9 A.13. Sigurnost komunikacija

10 A.14. Nabavka sustava, razvoj i održavanje

11 A.15. Odnosi s dobavljačima

12 A.16. Upravljanje incidentima informacijske sigurnosti

13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja

14 A.18. Usuglašenost

Veza između ISO/IEC 27001 i ISO/IEC 27002


Sigurnosno područje X

Sigurnosni cilj X1

Kontrola 1Uputstvo za

primjenuOstale

informacije

Kontrola 2Uputstvo za

primjenuOstale

informacije

Kontrola nUputstvo za

primjenuOstale

informacije

Sigurnosno područje X

Sigurnosni cilj X1

Kontrola 1

Kontrola 2

Kontrola n

Aneks A u ISO/IEC 27001:2013

Sadržaj ISO/IEC 27002:2013

Broj sigurnosnih područja 14

Broj sigurnosnih ciljeva 35

Broj kontrola 114

Primjer veze 27001 - 27002


ISO/IEC 27001:2013

Annex A

ISO/IEC 27002:2013

Faze implementacije ISMS


P

DC

A

PROJEKT

IMPLEMENTACIJE

ISMS

PROCES

UPRAVLJANJA

ISMS

AUDIT

(CERTIFIKACIJA)Početak

projekta

implementacije

ISMS

PRIPREMA ZA

PROJEKT

IMPLEMENTACIJE

ISMS

• Animacija vrhovne uprave

• Obrazovanje tima za

implementaciju (procjenu

rizika)

Projekt implementacije ISMS prema ISO/IEC 27001


Definiranje

opsega

Evidencija

imovine

Odgovornosti

Klasifikacija

Upravljanje

dokumentacijom

Plan procjene rizika

Izjava o

primjenljivosti

(SoA)

i preostalom

riziku

Implementacija

ISMS Procedure

za upravljanje

incidentima

Identifikacija i

implementacija

poboljšanja

Sigurnosna

politika

uprave

Procjena

rizika i

plan

obrade

Prihvaćanje

i odobrenje

uprave

Priprema

dokumentacije

Trening i

svijesnost

Monitoring,

pregledi,

testiranje,

audit

P D C A

Dokumentacija za ISMS


Procedure

Radne upute,

check liste,

formulari

Zapisi

ISMS

DOKUMENTACIJA

Sigurnosne upute

(Manual)Sigurnosna politika,područje djelovanja,

procjena rizika,SoA

PROCEDURE:tko, šta, kada, gdje?

RADNE UPUTE:Detaljni opis zadataka i aktivnosti

ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima

NIVO 2

NIVO 3

NIVO 4

NIVO 1

Op

era

cio

na

ra

zin

aO

rga

niz

ac

ijs

ka

ra

zin

a

ISO/IEC 2000-1:2011


IT servis menadžment

ITSMInformation technology Service management

Nastanak i razvoj ITSM


• 1995/1998 - A code of practice for Service Management• BS 15000:2000 - Specification for Service Management• PD0015:2000 IT Service Management: Self-assessment Workbook• 2000 – 2002 Early adopters trials BS 15000-1:2002 • ITSMF Certification scheme - Nov 2003• ISO/IEC 20000 Parts 1 and 2 – Dec 2005

Neki pojmovi prema ISO/IEC 20000-1 (1/2)


service componentsingle unit of a service that when combined with other units will deliver a complete service. EXAMPLES Hardware, software, tools, applications, documentation, information, processes or supporting services.NOTE A service component can consist of one or more configuration items.

komponenta uslugejedna jedinica usluge koja u kombinaciji s drugim jedinicama isporučuje kompletnu uslugu, npr. hardver, softver, alat, aplikacija, dokumentacija, informacija, procesi i prateće usluge.NAPOMENA dio usluga može se sastojati od jedne ili više konfiguracija elemenata.

service continuitycapability to manage risks and events that could have serious impact on a service or services in order to continually deliver services at agreed levels

kontinuitet uslugaSposobnost za upravljanje rizicima i događajima koji bi mogli imati ozbiljan utjecaj na uslugu ili usluge kako bi se kontinuirano pružaju usluge na dogovorenim nivoima

service level agreement - SLAdocumented agreement between the service provider and customer that identifies services and service targetsNOTE 1 A service level agreement can also be established between the service provider and a supplier, an internalgroup or a customer acting as a supplier.NOTE 2 A service level agreement can be included in a contract or another type of documented agreement.

ugovor o razini usluge - SLAdokumentirani dogovor između pružatelja usluga i kupca koji identificira usluge i ciljeve službeNAPOMENA 1 ugovor o razini usluge također može biti uspostavljen između pružatelja usluga i dobavljača, interne skupine ili kupca koji djeluje kao dobavljač.NAPOMENA 2 Ugovor o razini usluge može biti uključeni u ugovor ili drugu vrstu dokumentiranog sporazuma.

service managementset of capabilities and processes to direct and control the service provider's activities and resources for the design, transition, delivery and improvement of services to fulfil the service requirements

upravljanje uslugamaset sposobnosti i procesa za upravljanje i kontrolu aktivnosti davatelja usluga i resursa za projektiranje, tranziciju, isporuku i poboljšanje usluga u cilju ispunjavanja zahtjeva usluga

Neki pojmovi prema ISO/IEC 20000-1 (2/2)


service management system - SMSmanagement system to direct and control the service management activities of the service providerNOTE 1 A management system is a set of interrelated or interacting elements to establish policy and objectives and toachieve those objectives.NOTE 2 The SMS includes all service management policies, objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements in this part of ISO/IEC 20000.NOTE 3 Adapted from the definition of “quality management system” in ISO 9000:2005.

sistem za upravljanje uslugama - SMSSistem upravljanja za upravljanje i kontrolu aktivnosti upravljanja u službi davatelja uslugaNAPOMENA 1 Sistem upravljanja je skup međusobno povezanih ili među-interaktivnih elemenata sa uspostavljenom politikom i ciljevima, te postizanjem tih ciljeva.NAPOMENA 2 SMS uključuje sve politike upravljanja uslugama, ciljeve, planove, procese, dokumentaciju i resurse potrebne za projektiranje, tranziciju, isporuku i poboljšanje usluga kroz zadovoljenje zahtjeva ISO/IEC 20000.NAPOMENA 3 Prilagođeno iz definicije "sistem upravljanja kvalitetom ISO 9000:2005" u.

service providerorganization or part of an organization that manages and delivers a service or services to the customerNOTE A customer can be internal or external to the service provider's organization.

dobavljač uslugaorganizacija ili dio organizacije koja upravlja i pruža uslugu ili usluge za kupcaNAPOMENA kupac može biti unutarnja ili vanjska organizacija davatelja usluga.

service requestrequest for information, advice, access to a service or a pre-approved change

zahtjev za serviszahtjev za informacije, savjete, pristup usluzi ili pred-odobrene promjene

service requirementneeds of the customer and the users of the service, including service level requirements, and the needs of the service provider

zahtjev uslugepotrebe kupca i korisnika usluga, uključujući i zahtjeve o nivou usluge, kao i potrebe davatelja usluga

Što je standard ISO/IEC 20000-1?


Standard ISO/IEC 20000-1 objavljen je od strane Međunarodne organizacije za standarde (ISO) i on je certifikacijski.

Zamjenjuje standard BS 15000 i predstavlja međunarodno prihvaćenu standard za upravljanje IT uslugama. Standard se većim dijelom temelji na sadržaju BS 15000, ali tako posložen da odgovara i bude harmoniziran sa ostalim međunarodnim standardima.

Standard je dobro podržan i oslanja se na druge dokumente uključujući srodan standard ISO/IEC 20000-2, koji predstavlja Kodeks prakse Upravljanja IT Uslugama sa široko prihvaćenim smjernicom IT Infrastructure Library (ITIL®).

Po svojoj namjeni, ISO/IEC 2000-1 je skup zahtjeva koje se MORA ispuniti, ako se želi certificirati uspostavljeni, održavani i poboljšavani sistem upravljanja uslugama.

Kome je namijenjen IS/IEC 20000-1?


Prije svega, standard pomaže organizacijama da:

• steknu uvid u kvalitetu usluga koje isporučuju,

• specificiraju sve procese, i

• stvore sliku o tome šta bi trebalo unaprediti radi povećanja kvaliteta usluga.

Kada se govori o primjeni standarda ISO/IEC 20000, misli se prvenstveno na ispunjavanje zahtjeva danih u ISO/IEC 20000-1:2011, dok su ostali dokumenti u okviru ovog standarda smjernice namijenjene da pomognu organizaciji da se na što bolji i lakši način ispune zahtjeve.

Familija standarda ISO/IEC 20000


ISO/IEC 20000-1:2011 (Part 1: Service management system requirements) bliže opisuje sistem upravljanja

uslugama (SMS - Service Management System). Njime su obuhvaćeni svi zahtjevi koje bi organizacija trebalo da ispuni u cilju planiranja, uspostavljanja, primjene, provođenja, nadgledanja, revidiranja, održavanja i poboljšavanja Service Management sistema. Standard sadrži ukupno 256 zahtjeva, podijeljenih u 6 grupa, a koji se odnose na dizajn, promjenu, isporuku u poboljšanje usluga.

ISO/IEC 20000-2:2012 (Part 2: Guidance on the application of service management systems) sadrži smjernice

(upute) za primjenu SMS-a, na osnovu zahtjeva opisanih u ISO 20000-1. Sadrži primjere i prijedloge primjene sistema, a omogućava organizacijama da na što vjerodostojniji način interpretiraju i primjene ISO/IEC 20000-1.

ISO/IEC TR 20000-3:2009 (Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1): Odnosi

se na definiranje opsega i primjenljivosti standarda ISO/IEC 20000-1 u određenoj organizaciji. Dopunjuje dokument ISO 20000-2, koji sadrži opća iskustva i može pomoći, kako organizacijama koje posluju prema navedenom standardu, tako i organizacijama koje su zainteresirane da uvedu standard ISO/IEC 20000-1 u svoje poslovanje.

ISO/IEC TR 20000-4:2010 (Part 4: Process reference model) bliže opisuje i olakšava primjenu modela

procjene procesa, opisanog standardom ISO/IEC 15504 (IT - Process assessment ). Model opisan ovim standardom je logičan prikaz elemenata procesa u okviru upravljanja uslugama koji se mogu provoditi na osnovnom nivou. On opisuje sve procese na apstraktnom nivou, uključujući i procese SMS-a opisanih u ISO/IEC 20000-1 standardu.

ISO/IEC TR 20000-5:2010 (Part 5: Exemplar implementation plan for ISO/IEC 20000-1) predstavlja primjer

plana implementacije, koji daje bliže upute kako primijeniti SMS u cilju ispunjavanja zahtjeva opisanih ISO 20000-1 standardom. Obuhvaća savjete u vezi kojim redom bi trebalo planirati i primjeniti poboljšanja.

ZAHTJEVI

Primjeri(ITIL)

Opseg

Procjena procesa

Plan implementacije

Koristi od primjene ISO/IEC 20000


• Usuglašenost IT usluga sa poslovnim ciljevima,

• Stvaranje okvira za poboljšanje kvalitete usluga,

• Usporedivost sa najboljima iz područja IT usluga,

• Smanjenje rizika i troškova IT usluga,

• Stvaranje neophodne hijerarhije i kulture u okviru same organizacije,

• Stvaranje konkurentske prednosti kroz promoviranje stabilnih i isplativih usluga,

• Kreiranje stabilnog okvira koji potiče automatizaciju u upravljanju uslugama.

Standard ISO/IEC 20000 pruža pomoć organizaciji u vidu sagledavanja i poboljšanja nivoa IT usluga i demonstracije sposobnosti organizacije da ispuni sve neophodne zahtjeve korisnika. Konkretne koristi koje primjena ovog standarda može se prikazati kroz:

Sistem upravljanja servisom (SMS)prema ISO/IEC 20000-1:2011


Kupci(i ostale

zainteresirane strane)

Kupci(i ostale

zainteresirane strane)

Zahtjevi za uslugom

Usluga

SMS - zahtjevi• Odgovornost uprave• Upravljanje procesima

drugih strana

• Dokumentacija za upravljanje• Upravljanje resursima• Uspostava i poboljšanje SMS

Projektiranje i tranzicija nove usluge ili promjena usluga

Procesi isporuka usluga• Upravljanje kapacitetom• Kontinuitet usluga i dostupnost• Upravljanje nivoima servisa

• Izvještavanje o uslugama• Upravljanje sigurnošću• Računovodstvo za usluge

Kontrolni procesi• Upravljanje konfiguracijom• Upravljanje promjenama• Upravljanje verzijama i primjena

Procesi razlučivosti• Upravljanje incidentima i

zahtjevima usluge• Upravljanje problemima

Procesi odnosa• Upravljanje poslovnim

odnosima• Upravljanje dobavljačima

Faze implementacije ISO/IEC 20000-1


1) Imenujte tim i definirajte Vašu strategijuUsvajanje sistema upravljanja mora biti strateška odluka cijele organizacije. Važno je da Vaša Uprava bude uključena u process. Oni odlučuju o poslovnoj strategiji kojuučinkovit sistem upravljanja podržava. U dodatku, trebate odabrati tim koji će razvijati i implementirati Vaš sistem upravljanja.

2) Identificirajte potrebe edukacijeČlanovi tima koji su odgovorni za implementaciju i održavanje sistema upravljanja trebaju znati sve detalje o primjenjivom standardu. Postoji velik izbor seminara i radionicakoji su dostupni kako bi zadovoljili Vaše potrebe.

3) Procijenite Vaše opcije za konzultanteNeovisni konzultanti će Vas moći savjetovati oko izvedivog, objektivnog strateškog plana, sa što manje troška za implementaciju.

4) Izradite priručnik sustava upravljanjaVaš priručnik sistema upravljanja treba opisivati politiku i poslovanje Vaše tvrtke. Kroz priručnik, pružit ćete točan opis organizacije i najbolju praksu koja je primijenjenakako bi kontinuirano ispunjavali očekivanja Vaših klijenata.

5) Izradite procedureProcedure opisuju procese Vaše organizacije i najbolju praksu kako postići te procese. Ove procedure trebaju odgovoriti na slijedeća pitanja za svaki proces: Zašto? Tko?Kada? Gdje? Što?

6) Implementirajte Vaš sistem upravljanjaKomunikacija i edukacija su ključni za uspješnu implementaciju. Tokom faze implementiranja, Vaša će organizacija raditi prema ovim procedurama koje su razvijene kako bidokumentirale i demonstrirale učinkovitost sistema upravljanja.

7) Razmotrite potrebu procjene stanjaMožete odabrati da se održi procjena stanja implementiranog sistema upravljanja od strane certifikacijske kuće. Njena svrha je identificiranje područja nesukladnosti iomogućavanje da se ta područja poprave prije nego krenete u proces akreditirane certifikacije. Dobivanje nesukladnosti znači da određeni dio Vašeg sistema upravljanjanije usklađen sa zahtjevima norme.

Implementacija ISO/IEC 20000-1


1SvijestVizija i opsegProcjenaGrubi plan

2Poslovni slučajSponzor

3ProgramPlanUpravljanje programom

4ProcesUspostava sistema upravljanjaDefiniranje politika, planova, SLARazvoj procesa i proceduraMonitoringKontinuirano poboljšanje

5LjudiDefiniranje i alociranje ulogaMjerenje kompetentnostiIdentificirati promjenu kulturePotrebeKomunikaciona strategija

6TehnologijaPregled postojećeg slupa alataDefiniranje zahtjeva tehnologijeRazvoj opcijaImplementacija alata

7CertifikacijaOdabira vanjskog auditoraPred-certifikacijski auditCertifikacijski auditUkazivanje na kontrole

8Mjerenje koristiOdržavanjeUsklađenostProširenje opsega

ITSMS

Kakva je sprega ISMS i ITSM ?


ISMS

ISO/IEC 20013:2012


Smjernica za integralni implementacijuISO/IEC 27001 i ISO/IEC 20000-1

ITSMInformation technology — Security techniques —

Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Prednosti integracije ISMS i ITSM


Odnos između informacijske sigurnosti i upravljanja uslugama je tako usko vezan da su mnoge organizacije prepoznale prednosti usvajanja oba standarda ISO/IEC 27001 za informacijsku sigurnost, i ISO/IEC 20000-1 za upravljanje uslugama.

Postoji niz prednosti u provedbi integriranog sistema upravljanja koji će uzeti u obzir ne samo usluge koje se pružaju, nego i zaštitu informacija. Te prednosti se mogu postići implementacijom prvo jednog pa onda drugog sistema, ili oba standardi implementirati istodobno. Uprava i organizacijski procesi, posebno, može izvući korist iz sličnosti i zajedničkih ciljeva oba standarda.

Ključne prednosti integracije ISMS i ITSM uključuju


a) kredibilitet, internim i vanjskim kupcima organizacije, učinkovite i sigurne usluge;

b)niže cijene cjelovitog programa dvaju projekata, gdje se postiže i upravljanje uslugama i sigurnost informacija što su dio strategije organizacije;

c) smanjenje vrijeme provedbe zbog integriranog razvoja zajedničkih procesa oba standarda;

d)eliminacija nepotrebnih dupliciranja;

e)veće razumijevanje međusobnih stavova od strane menadžmenta usluga i sigurnosnog osoblja;

f) organizacija certificirana za ISO/IEC 27001 će lakše ispuniti zahtjeve za informacijsku sigurnost u ISO/IEC 20000-1:2011.

Područje primjene standarda ISO/IEC 27013:2012


a) implementirati ISO/IEC 27001, kada je ISO/IEC 20000-1 već implementiran, ili obrnuto;

b) provoditi implementaciju istodobno po ISO/IEC 27001 i ISO/IEC 20000-1;c) integrirati postojeće ISO/IEC 27001 i ISO/IEC 20000-1 sisteme upravljanja.

Ovaj Međunarodni standard fokusira se isključivo na integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1.

U praksi, ISO/IEC 27001 i ISO/IEC 20000-1 mogu biti integrirani s ostalim sistemima upravljanja, kao što su npr. ISO 9001 i ISO 14001, itd.

Ovaj međunarodni standard daje smjernice za integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1, za one organizacije koje se namjeravaju bilo:


KONCEPT ISO/IEC 27001

ISO/IEC 27001 pruža model za uspostavljanje, implementaciju,upravljanje, nadzor, pregled, održavanje i usavršavanje ISMS ucilju zaštite informacijske imovine. Informacijska imovinaobuhvaća informacije u bilo kojem obliku, pohranjene u bilokojem obliku, a koristi se za bilo koju svrhu, od strane ili okruženjuorganizacije.Da bi se postigla sukladnost s ISO/IEC 27001, organizacija trebaimplementirati ISMS koji se temelji na procesu procjene rizikakako bi identificirala rizike za informacijsku imovinu. Kao dio ovogposla, organizacija treba odabrati, implementirati, nadzirati ipregledati razne mjere za upravljanje tim rizicima. Ove mjere supoznate kao kontrole. Organizacija mora odrediti prihvatljiverazine rizika, uzimajući u obzir poslovne zahtjeve i definiranezahtjeve. Primjeri definiranih zahtjeva su zakonski i regulatornizahtjevi ili ugovorne obveze.ISO/IEC 27001 mogu koristiti bilo koje vrste i veličine organizacije.

KONCEPT ISO/IEC 20000-1

ISO/IEC 20000-1 može biti korišten od strane organizacija, ili dijelovaorganizacije, koje koriste ili pružaju usluge. To dodaje vrijednost i zakupca i davatelja usluga. Međutim, svi procesi obuhvaćenistandardom su kontrolirani od strane davatelja usluga, i on je jedinikoji može postići sukladnost s ISO/IEC 20000-1. Standard seprvenstveno bavi osiguranjem da usluge ispunjavaju uvjete usluga iosiguravaju vrijednost i za kupca i davatelja usluga.Upravljanje uslugama usmjerava i nadzire aktivnosti i sredstvadavatelja usluge u dizajnu, razvoju, tranziciji, isporuci i poboljšanjuusluga u cilju da ispuni zahtjeve usluga u dogovoru sa svojim kupcima.Da bi se ispunili zahtjevi standarda, davatelj usluga bi morao provestiniz određenih procesa. To su procesi, kao npr.: upravljanjeincidentima, upravljanje promjenama i upravljanje problema, itd.Upravljanje sigurnošću je jedan procesa u ISO/IEC 20000-1.

ISO/IEC 20000-1 može se koristiti bilo koje vrste i veličine organizacije.

Usporedba koncepata ISO/IEC 27001 i ISO/IEC 20000-1


Specifično zaISO/IEC 27001

•Klasifikacija informacijske imovine

•Upravljanje informacijskom Imovinom

Dijeljeni dijelovi (djelomično su isti, djelomično se razlikuju)

Specifično zaISO/IEC 20000-1

•Budžetiranje i vođenje troškova usluga

•Upravljanje poslovnim odnosima

•Dizajn i tranzicija novih i izmijenjenih usluga

•Upravljanje nivoom usluge

•Upravljanje kapacitetom•Upravljanje promjenama•Upravljanje

konfiguracijom•Upravljanje

dokumentima•Upravljanje incidentima•Upravljanje problemima•Upravljanje razvojem i

verzijama

•Upravljanje resursima•Upravljanje rizikom•Odgovornosti i ovlaštenja•Upravljanje sigurnošću•Upravljanje

kontinuitetom poslovanja

•Upravljanje podugovaračima

Zajednički dijelovi (identični za obadva standarda)

• Kontinuirano poboljšavanje• Zakonska i regulativna usuglašenost• Preispitivanje od strane rukovodstva

• PDCA• Trening i svijest• Upravljanje dokumentima

ISO/IEC 27001 ISO/IEC 20000-1

ORGANIZACIJAFokus na informacijsku

imovinuFokus na uslugu

Odnos između informacijske imovine u ISO/IEC 27001 i konfiguracijskog elementa (CI) u ISO/IEC 20000-1


Informacijska imovina

Informacijska imovina koja se ne koristi u

okviru SM

CI

CI koji nisu dio informacijske

imovine

Informacijska imovina koja

je CI

CI = Configuration Item – element koji treba biti kontroliran vezano za isporuku usluge ili usluga

Ilustracija odnosa standarda i upravljanja incidentima


ISO/IEC 27001 Upravljanje incidentima

ISO/IEC 20000-1 Upravljanje incidentima

Incidenti uvjetovani servisom i sigurnošću

Trebaju li dva sistema upravljanja incidentima?

Trebaju li dva Help-deska za evidenciju incidenata?

Integracija procesa sigurnosti u organizaciju


CSO - Chief Security Officer – je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je

direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika,

odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.

Top

menadžmentCSO

Odbor za

sigurnost

Po definiciji članovi su:• Menadžeri ISMS, ITSM, QMS, OHSAS, ...

• Predstavnici nekih od zainteresiranih strana

• Vanjski suradnici - konzultanti

Vanjski suradnici –

specijalisti sa iskustvom

Tim za

procjenu rizika

Sektor 1 Sektor 2 Sektor n

Kako do kvalitetnog ISMS & ITSM ?


Postani i ostani kompetentan

Izbori se za budžet

Izbori se za podršku uprave

Upravljaj sa IS

(C-I-A)

Isporučuj ugovorenu

uslugu (SLA)

Analiziraj postignute rezultate

Predloži poboljšanje

Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (1/2)


Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (2/2)


Primjer usporedbe definicije pojmova u ISMS i ITSM


zlatibor integracija iso27001 i iso20000

Education

zdenko adelsberger iso

integracija za bolji

ems iso

qms iso

znaaj za

auditor za

postupci za

za uspjeh