integracija - iso27001-iso20000

IT/ICT Security conferenceZlatibor 24-26 April, 2014

ISO 20000 i ISO 27001 integracija za bolji IT

Dr. Zdenko AdelsbergerBluefield [email protected]

O predavau

Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 2

Dr. Zdenko Adelsberger, informatike nauke

EOQ menader i auditor za: ISMS (ISO/IEC 27001)QMS (ISO 9001)EMS (ISO 14001)OHSAS (18001)

CIS menader za ISMS IRCA LA za ISMS

Trener i konzultant za ISMS, RM, ITSMS

Agenda


Osnovni pojmovi sistema upravljanja

to je to ISO/IEC 27001 i njegov znaaj?

to je to ISO/IEC 20000 i njegov znaaj?

Integracija ISO/IEC 27001 i ISO/IEC 20000 i znaaj za IT

Zakljuak

to je SISTEM ?


Sistem je ureeni skup aktivnosti koje su na temelju pravila i funkcionalno vezanih resursa usmjereni na ostvarivanje svoje misije.

SISTEM

Granice

Okruenje

Elementi sistema upravljanja


Misija

Vizija

Politike

Procesi

Strategije

Ciljevi

Ciljevi

Funkcija upravljanja je

osigurati postizanje

ciljeva i poboljanje

Sigurnost postizanja ciljeva

temelji se na:UPRAVLJANJU

RIZICIMA

Postizanje poboljanja temelji

se na:MJERENJU

UINKOVITOSTI

Definicija procesa


(Poslovni)PROCES

Resursi

Pravila

Ula

zni z

ahtj

evi

Zad

ovo

lje

nje

ula

znih

za

htj

eva

Jedini razlog postojanja poslovnih procesa je: zadovoljenje ulazne

zahtjeve.

Pojedine zainteresirane strane mogu imati potpuno razliite ulazne zahtjeve na

istom procesu

Aktivnost ili niz aktivnosti gdje se

upotrebljavaju resursi i kojima se upravlja kako bi se

omoguila pretvorba ulaza u

izlaz mogu se smatrati procesom.

(ISO 9001:2008)

PDCA krug za upravljanje procesimaPrema ISO 9001:2008


1

23

4

Odnos pojmova procesa i procedure


PROCES PROCEDURA

U realnosti U dokumentaciji

Povezanost sistema upravljanja


Doprinosi sistema upravljanja


ISO 9001 ISO/IEC 27001

ISO/IEC 20000-1

Korektivne radnjePreventivne radnje

Upravljanje dokumentacijom

Interni auditiUpravina ocjena

Procesni pristupUpravljanje nabavom

Upravljanje incidentimaUpravljanje promjenama

Dostupnost uslugeBCP

Upravljanje sigurnou

ISO/IEC 27001:2013


Sistem za upravljanje sigurnou informacija

ISMSInformation Security Management System

Dobit od ISO/IEC 27001


Poslovni rizik Poslovna potreba Znaajka standarda Prednost(kako to koristi?)

Dobit

Neuspjela zatita informacija kupaca

Smanjenje rizika incidenata Postupak za utvrivanje relevantnih rizika, razumijevanje o tome kako se rizik formirana i ocjenjivanje poboljanja.

Bolja svijest i razumijevanje rizika.Bolje upravljanje rizikom.Manje incidenata i nesrea.

Manje incidenta. Manje smetnji.Manje vremena utroeno na saniranju nesrea i nezgoda.Vie se vremena troi na proaktivne mjere.Nii zahtjevi nadzora i audita klijenata.

Gubitak od kupaca i investitora zbog oteenog ugleda informacijske nesigurnosti

Kako bi zatitili i poveati ugled.Za uspjeh vie ponuda.Privui to vie ulagaa

Operativne kontrole e bit na mjestu

Smanjenje incidenata i nesrea.Bolje upravljanje incidentima i nesreama.

Manje negativnog pritiska to znai manje vremena i novca potroenog na mjere ogranienih teta. Manje resursa se troi na pronalaenje novih kupaca i investitora.Mogunosti za pozitivan PR

Nedovoljno razumijevanje i prijetnje za poslovanje

Odluivanje na temelju poslovnih podataka

Uloge i odgovornosti e biti definirane.Osoblje e biti osposobljeno i kompetentno.Komunikacija uesnika i ukljuenost rjeavanje zahtjeva ISMS

Djelatnici su svjesni svoje uloge i odgovornosti u potrebe informacijske sigurnosti.Vea vjerojatnost da e uesnici uoiti i izbjei potencijalne opasnosti. Manji gubitak vremena na incidentima.

Vea produktivnost.Manje vremena i novca potroeno na odgovaranje na incidente.

Prekid poslova, kao posljedica informacijskih incidenata

Kontrola informacija, ali ne pretjerani utjecaj na poslovne procese

Operativne kontrole moraju biti na mjestu.Postupci za pregled i ispitivanje biti na mjestu.

Manja vjerojatnost incidenata.Bolja pripremljenost u sluaju incidenta, to znai bri odgovor i smanji utjecaj. Uinkovitije poslovanje.

Razumijevanje poslovnih informacijskih procesa.Bolje mogunosti uvjeravanja kupca i unutarnje strane.

to je informacija?


1000110011001011100111111010101111001000

Signali (znakovi)

7910 je PODATAK

7910

PIN: 7910

7910 je INFORMACIJA

(kontekst oznaava da je to PIN kartice)

(moe biti npr. nadmorska visina, prva kozmika

brzina, profit organizacije, itd.)

Glavne karakteristike informacije


CJELOVITOSTIntegrity

RASPOLOIVOSTAvailability

INFORMACIJA

TAJNOSTConfidentiality

C-I-A

to o informaciji kae ISO/IEC 27002:2013


Informacija je imovina koja kao i ostala vana imovina u poslovanju ima vrijednost za organizaciju i mora biti

stalno odgovarajue tiena.

U kontekstu ISO/IEC 27001 pod tienjem informacija se smatra ouvanje karakteristika informacije:

tajnosti, cjelovitosti i raspoloivosti.

ta je informacijski sistem?


Informacijski sistem (IS) je sistem koji prikuplja, pohranjuje, uva, obrauje, i isporuuje potrebne informacije uz pomo odgovarajuih resursa i pravila, na nain da su informacije dostupne svim lanovima neke zajednice (organizacije) koji se njima ele koristiti te imaju odgovarajuu autorizaciju.

Vana injenica: IT IS

Relevantni nosioci informacija u poslovnom sistemu


Informacije na serverima i mrei Informacije na lokalnim kompjuterima

Informacije prenoene telefonskim linijama i/ili Internetom

Informacije zapisanena papiru Informacije tampane

na papiru

Informacije spremljenena diskovima, trakama,

CD-ovima, USB memorijama, ...

Informacije fax strojeva

Zaposlenici ipartneri

Informacijski sistemi su uvijek postojali


Slika A

ISIT

Slika B

ISIT

Komponente sigurnosnog rjeenja


Tehnikarjeenja Organizacijska

rjeenja

Procjenarizika

Politike

ProcedureSvjesnostLegitimnost

20% 80%SIGURNOSNORJEENJE

Upravljanje informacijskom sigurnou obuhvaa 3 iroka podruja


Upravljanje informacijskom

sigurnou

Upravljanje IT i fizikom

zatitom

Upravljanje legislativom, regulativom i

ugovornim obvezama

Upravljanje ljudima, procesima,

poslovanjem, operacijama,

treningom / svijeu


Serija standarda za podruje informacijske sigurnosti

Kratka povijest ISO/IEC 27001


1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.

1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.

1996Support and compliance tools begin to emerge, such as COBRA.

1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.

2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).

2001The 'ISO 17799 Toolkit' is launched.

2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.

2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..

2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001

2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)


ISO/IEC 27001:2013 Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization

4.1 Understanding the organization and its context4.2 Understanding the needs and expectations of interested parties4.3 Determining the scope of the information security management system4.4 Information security management system

5 Leadership5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities

6 Planning6.1 Actions to address risks and opportunities6.2 Information security objectives and planning to achieve them

7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information

8 Operation8.1 Operational planning and control8.2 Information security risk assessment8.3 Information security risk treatment

9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review

10 Improvement10.1 Nonconformity and corrective action10.2 Continual improvement

Annex A (normative) Reference control objectives and controlsBibliography


ISO/IEC 27001:2013Predgovor0 Uvod1 Opseg2 Normativne reference3 Pojmovi i definicije4 Kontekst organizacije

4.1 Razumijevanje organizacije i njenog konteksta4.2 Razumijevanje potreba i oekivanja zainteresiranih strana4.3 Odreivanje opsega sustava za upravljanje informacijskom sigurnou4.4 Sustav za upravljanje informacijskom sigurnou

5 Rukovoenje5.1 Rukovoenje i predanost5.2 Politika5.3 Organizacijske uloge, odgovornosti i ovlasti

6 Planiranje6.1 Akcije za rjeavanje rizika i prilika 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje

7 Podrka7.1 Resursi7.2 Kompetencije7.3 Svjesnost7.4 Komunikacija7.5 Dokumentirane informacije

8 Operacije8.1 Operativno planiranje i kontrola8.2 Procjena rizika informacijske sigurnosti8.3 Obrada rizika informacijske sigurnosti

9 Ocjenjivanje uspjenosti9.1 Nadzor, mjerenje, analiza i ocjena9.2 Unutarnji audit9.3 Upravina ocjena

10 Poboljanje10.1 Nesukladnost i korektivne akcije10.2 Kontinuirano poboljanje

Aneks A (normativni) Referenca ciljeva kontrola i kontrolaBibliografija

Sigurnosna podruja prema 27001:2013 Aneks A


1 A.5. Politike informacijske sigurnosti

2 A.6. Organizacija informacijske sigurnosti

3 A.7. Sigurnost ljudskih resursa

4 A.8. Upravljanje imovinom

5 A.9. Kontrola pristupa

6 A.10. Kriptografija

7 A.11. Fizika sigurnost i sigurnost okolia

8 A.12. Operativna sigurnost

9 A.13. Sigurnost komunikacija

10 A.14. Nabavka sustava, razvoj i odravanje

11 A.15. Odnosi s dobavljaima

12 A.16. Upravljanje incidentima informacijske sigurnosti

13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja

14 A.18. Usuglaenost

Veza izmeu ISO/IEC 27001 i ISO/IEC 27002


Sigurnosno podruje X

Sigurnosni cilj X1

Kontrola 1Uputstvo za

primjenuOstale

informacije

Kontrola 2Uputstvo za

primjenuOstale

informacije

Kontrola nUputstvo za

primjenuOstale

informacije

Sigurnosno podruje X

Sigurnosni cilj X1

Kontrola 1

Kontrola 2

Kontrola n

Aneks A u ISO/IEC 27001:2013

Sadraj ISO/IEC 27002:2013

Broj sigurnosnih podruja 14

Broj sigurnosnih ciljeva 35

Broj kontrola 114

Primjer veze 27001 - 27002


ISO/IEC 27001:2013

Annex A

ISO/IEC 27002:2013

Faze implementacije ISMS


P

DC

A

PROJEKT

IMPLEMENTACIJE

ISMS

PROCES

UPRAVLJANJA

ISMS

AUDIT

(CERTIFIKACIJA)Poetak projekta

implementacije

ISMS

PRIPREMA ZA

PROJEKT

IMPLEMENTACIJE

ISMS

Animacija vrhovne uprave Obrazovanje tima za

implementaciju (procjenu

rizika)

Projekt implementacije ISMS prema ISO/IEC 27001


Definiranje

opsega

Evidencija

imovine

Odgovornosti

Klasifikacija

Upravljanje

dokumentacijom

Plan procjene rizika

Izjava o

primjenljivosti

(SoA)

i preostalom

riziku

Implementacija

ISMS Procedure

za upravljanje

incidentima

Identifikacija i

implementacija

poboljanja

Sigurnosna

politika

uprave

Procjena

rizika i

plan

obrade

Prihvaanje i odobrenje

uprave

Priprema

dokumentacije

Trening i

svijesnost

Monitoring,

pregledi,

testiranje,

audit

P D C A

Dokumentacija za ISMS


Procedure

Radne upute,

check liste,

formulari

Zapisi

ISMS

DOKUMENTACIJA

Sigurnosne upute

(Manual)Sigurnosna politika,podruje djelovanja,

procjena rizika,SoA

PROCEDURE:tko, ta, kada, gdje?

RADNE UPUTE:Detaljni opis zadataka i aktivnosti

ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima

NIVO 2

NIVO 3

NIVO 4

NIVO 1

Op

era

cio

na

ra

zin

aO

rga

niz

ac

ijs

ka

ra

zin

a

ISO/IEC 2000-1:2011


IT servis menadment

ITSMInformation technology Service management

Nastanak i razvoj ITSM


1995/1998 - A code of practice for Service Management BS 15000:2000 - Specification for Service Management PD0015:2000 IT Service Management: Self-assessment Workbook 2000 2002 Early adopters trials BS 15000-1:2002 ITSMF Certification scheme - Nov 2003 ISO/IEC 20000 Parts 1 and 2 Dec 2005

Neki pojmovi prema ISO/IEC 20000-1 (1/2)


service componentsingle unit of a service that when combined with other units will deliver a complete service. EXAMPLES Hardware, software, tools, applications, documentation, information, processes or supporting services.NOTE A service component can consist of one or more configuration items.

komponenta uslugejedna jedinica usluge koja u kombinaciji s drugim jedinicama isporuuje kompletnu uslugu, npr. hardver, softver, alat, aplikacija, dokumentacija, informacija, procesi i pratee usluge.NAPOMENA dio usluga moe se sastojati od jedne ili vie konfiguracija elemenata.

service continuitycapability to manage risks and events that could have serious impact on a service or services in order to continually deliver services at agreed levels

kontinuitet uslugaSposobnost za upravljanje rizicima i dogaajima koji bi mogli imati ozbiljan utjecaj na uslugu ili usluge kako bi se kontinuirano pruaju usluge na dogovorenim nivoima

service level agreement - SLAdocumented agreement between the service provider and customer that identifies services and service targetsNOTE 1 A service level agreement can also be established between the service provider and a supplier, an internalgroup or a customer acting as a supplier.NOTE 2 A service level agreement can be included in a contract or another type of documented agreement.

ugovor o razini usluge - SLAdokumentirani dogovor izmeu pruatelja usluga i kupca koji identificira usluge i ciljeve slubeNAPOMENA 1 ugovor o razini usluge takoer moe biti uspostavljen izmeu pruatelja usluga i dobavljaa, interne skupine ili kupca koji djeluje kao dobavlja.NAPOMENA 2 Ugovor o razini usluge moe biti ukljueni u ugovor ili drugu vrstu dokumentiranog sporazuma.

service managementset of capabilities and processes to direct and control the service provider's activities and resources for the design, transition, delivery and improvement of services to fulfil the service requirements

upravljanje uslugamaset sposobnosti i procesa za upravljanje i kontrolu aktivnosti davatelja usluga i resursa za projektiranje, tranziciju, isporuku i poboljanje usluga u cilju ispunjavanja zahtjeva usluga

Neki pojmovi prema ISO/IEC 20000-1 (2/2)


service management system - SMSmanagement system to direct and control the service management activities of the service providerNOTE 1 A management system is a set of interrelated or interacting elements to establish policy and objectives and toachieve those objectives.NOTE 2 The SMS includes all service management policies, objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements in this part of ISO/IEC 20000.NOTE 3 Adapted from the definition of quality management system in ISO 9000:2005.

sistem za upravljanje uslugama - SMSSistem upravljanja za upravljanje i kontrolu aktivnosti upravljanja u slubi davatelja uslugaNAPOMENA 1 Sistem upravljanja je skup meusobno povezanih ili meu-interaktivnih elemenata sa uspostavljenom politikom i ciljevima, te postizanjem tih ciljeva.NAPOMENA 2 SMS ukljuuje sve politike upravljanja uslugama, ciljeve, planove, procese, dokumentaciju i resurse potrebne za projektiranje, tranziciju, isporuku i poboljanje usluga kroz zadovoljenje zahtjeva ISO/IEC 20000.NAPOMENA 3 Prilagoeno iz definicije "sistem upravljanja kvalitetom ISO 9000:2005" u.

service providerorganization or part of an organization that manages and delivers a service or services to the customerNOTE A customer can be internal or external to the service provider's organization.

dobavlja uslugaorganizacija ili dio organizacije koja upravlja i prua uslugu ili usluge za kupcaNAPOMENA kupac moe biti unutarnja ili vanjska organizacija davatelja usluga.

service requestrequest for information, advice, access to a service or a pre-approved change

zahtjev za serviszahtjev za informacije, savjete, pristup usluzi ili pred-odobrene promjene

service requirementneeds of the customer and the users of the service, including service level requirements, and the needs of the service provider

zahtjev uslugepotrebe kupca i korisnika usluga, ukljuujui i zahtjeve o nivou usluge, kao i potrebe davatelja usluga

to je standard ISO/IEC 20000-1?


Standard ISO/IEC 20000-1 objavljen je od strane Meunarodne organizacije za standarde (ISO) i on je certifikacijski.

Zamjenjuje standard BS 15000 i predstavlja meunarodno prihvaenu standard za upravljanje IT uslugama. Standard se veim dijelom temelji na sadraju BS 15000, ali tako posloen da odgovara i bude harmoniziran sa ostalim meunarodnim standardima.

Standard je dobro podran i oslanja se na druge dokumente ukljuujui srodan standard ISO/IEC 20000-2, koji predstavlja Kodeks prakse Upravljanja IT Uslugama sa iroko prihvaenim smjernicom IT Infrastructure Library (ITIL).

Po svojoj namjeni, ISO/IEC 2000-1 je skup zahtjeva koje se MORA ispuniti, ako se eli certificirati uspostavljeni, odravani i poboljavani sistem upravljanja uslugama.

Kome je namijenjen IS/IEC 20000-1?


Prije svega, standard pomae organizacijama da:

steknu uvid u kvalitetu usluga koje isporuuju,

specificiraju sve procese, i

stvore sliku o tome ta bi trebalo unaprediti radi poveanja kvaliteta usluga.

Kada se govori o primjeni standarda ISO/IEC 20000, misli se prvenstveno na ispunjavanje zahtjeva danih u ISO/IEC 20000-1:2011, dok su ostali dokumenti u okviru ovog standarda smjernice namijenjene da pomognu organizaciji da se na to bolji i laki nain ispune zahtjeve.

Familija standarda ISO/IEC 20000


ISO/IEC 20000-1:2011 (Part 1: Service management system requirements) blie opisuje sistem upravljanja uslugama (SMS - Service Management System). Njime su obuhvaeni svi zahtjevi koje bi organizacija trebalo da ispuni u cilju planiranja, uspostavljanja, primjene, provoenja, nadgledanja, revidiranja, odravanja i poboljavanja Service Management sistema. Standard sadri ukupno 256 zahtjeva, podijeljenih u 6 grupa, a koji se odnose na dizajn, promjenu, isporuku u poboljanje usluga.

ISO/IEC 20000-2:2012 (Part 2: Guidance on the application of service management systems) sadri smjernice (upute) za primjenu SMS-a, na osnovu zahtjeva opisanih u ISO 20000-1. Sadri primjere i prijedloge primjene sistema, a omoguava organizacijama da na to vjerodostojniji nain interpretiraju i primjene ISO/IEC 20000-1.

ISO/IEC TR 20000-3:2009 (Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1): Odnosi se na definiranje opsega i primjenljivosti standarda ISO/IEC 20000-1 u odreenoj organizaciji. Dopunjuje dokument ISO 20000-2, koji sadri opa iskustva i moe pomoi, kako organizacijama koje posluju prema navedenom standardu, tako i organizacijama koje su zainteresirane da uvedu standard ISO/IEC 20000-1 u svoje poslovanje.

ISO/IEC TR 20000-4:2010 (Part 4: Process reference model) blie opisuje i olakava primjenu modela procjene procesa, opisanog standardom ISO/IEC 15504 (IT - Process assessment ). Model opisan ovim standardom je logian prikaz elemenata procesa u okviru upravljanja uslugama koji se mogu provoditi na osnovnom nivou. On opisuje sve procese na apstraktnom nivou, ukljuujui i procese SMS-a opisanih u ISO/IEC 20000-1 standardu.

ISO/IEC TR 20000-5:2010 (Part 5: Exemplar implementation plan for ISO/IEC 20000-1) predstavlja primjer plana implementacije, koji daje blie upute kako primijeniti SMS u cilju ispunjavanja zahtjeva opisanih ISO 20000-1 standardom. Obuhvaa savjete u vezi kojim redom bi trebalo planirati i primjeniti poboljanja.

ZAHTJEVI

Primjeri(ITIL)

Opseg

Procjena procesa

Plan implementacije

Koristi od primjene ISO/IEC 20000


Usuglaenost IT usluga sa poslovnim ciljevima,

Stvaranje okvira za poboljanje kvalitete usluga,

Usporedivost sa najboljima iz podruja IT usluga,

Smanjenje rizika i trokova IT usluga,

Stvaranje neophodne hijerarhije i kulture u okviru same organizacije,

Stvaranje konkurentske prednosti kroz promoviranje stabilnih i isplativih usluga,

Kreiranje stabilnog okvira koji potie automatizaciju u upravljanju uslugama.

Standard ISO/IEC 20000 prua pomo organizaciji u vidu sagledavanja i poboljanja nivoa IT usluga i demonstracije sposobnosti organizacije da ispuni sve neophodne zahtjeve korisnika. Konkretne koristi koje primjena ovog standarda moe se prikazati kroz:

Sistem upravljanja servisom (SMS)prema ISO/IEC 20000-1:2011


Kupci(i ostale

zainteresirane strane)

Kupci(i ostale

zainteresirane strane)

Zahtjevi za uslugom

Usluga

SMS - zahtjevi Odgovornost uprave Upravljanje procesima

drugih strana

Dokumentacija za upravljanje Upravljanje resursima Uspostava i poboljanje SMS

Projektiranje i tranzicija nove usluge ili promjena usluga

Procesi isporuka usluga Upravljanje kapacitetom Kontinuitet usluga i dostupnost Upravljanje nivoima servisa

Izvjetavanje o uslugama Upravljanje sigurnou Raunovodstvo za usluge

Kontrolni procesi Upravljanje konfiguracijom Upravljanje promjenama Upravljanje verzijama i primjena

Procesi razluivosti Upravljanje incidentima i

zahtjevima usluge Upravljanje problemima

Procesi odnosa Upravljanje poslovnim

odnosima Upravljanje dobavljaima

Faze implementacije ISO/IEC 20000-1


1) Imenujte tim i definirajte Vau strategijuUsvajanje sistema upravljanja mora biti strateka odluka cijele organizacije. Vano je da Vaa Uprava bude ukljuena u process. Oni odluuju o poslovnoj strategiji kojuuinkovit sistem upravljanja podrava. U dodatku, trebate odabrati tim koji e razvijati i implementirati Va sistem upravljanja.

2) Identificirajte potrebe edukacijelanovi tima koji su odgovorni za implementaciju i odravanje sistema upravljanja trebaju znati sve detalje o primjenjivom standardu. Postoji velik izbor seminara i radionicakoji su dostupni kako bi zadovoljili Vae potrebe.

3) Procijenite Vae opcije za konzultanteNeovisni konzultanti e Vas moi savjetovati oko izvedivog, objektivnog stratekog plana, sa to manje troka za implementaciju.

4) Izradite prirunik sustava upravljanjaVa prirunik sistema upravljanja treba opisivati politiku i poslovanje Vae tvrtke. Kroz prirunik, pruit ete toan opis organizacije i najbolju praksu koja je primijenjenakako bi kontinuirano ispunjavali oekivanja Vaih klijenata.

5) Izradite procedureProcedure opisuju procese Vae organizacije i najbolju praksu kako postii te procese. Ove procedure trebaju odgovoriti na slijedea pitanja za svaki proces: Zato? Tko?Kada? Gdje? to?

6) Implementirajte Va sistem upravljanjaKomunikacija i edukacija su kljuni za uspjenu implementaciju. Tokom faze implementiranja, Vaa e organizacija raditi prema ovim procedurama koje su razvijene kako bidokumentirale i demonstrirale uinkovitost sistema upravljanja.

7) Razmotrite potrebu procjene stanjaMoete odabrati da se odri procjena stanja implementiranog sistema upravljanja od strane certifikacijske kue. Njena svrha je identificiranje podruja nesukladnosti iomoguavanje da se ta podruja poprave prije nego krenete u proces akreditirane certifikacije. Dobivanje nesukladnosti znai da odreeni dio Vaeg sistema upravljanjanije usklaen sa zahtjevima norme.

Implementacija ISO/IEC 20000-1


1SvijestVizija i opsegProcjenaGrubi plan

2Poslovni sluajSponzor

3ProgramPlanUpravljanje programom

4ProcesUspostava sistema upravljanjaDefiniranje politika, planova, SLARazvoj procesa i proceduraMonitoringKontinuirano poboljanje

5LjudiDefiniranje i alociranje ulogaMjerenje kompetentnostiIdentificirati promjenu kulturePotrebeKomunikaciona strategija

6TehnologijaPregled postojeeg slupa alataDefiniranje zahtjeva tehnologijeRazvoj opcijaImplementacija alata

7CertifikacijaOdabira vanjskog auditoraPred-certifikacijski auditCertifikacijski auditUkazivanje na kontrole

8Mjerenje koristiOdravanjeUsklaenostProirenje opsega

ITSMS

Kakva je sprega ISMS i ITSM ?


ISMS

ISO/IEC 20013:2012


Smjernica za integralni implementacijuISO/IEC 27001 i ISO/IEC 20000-1

ITSMInformation technology Security techniques

Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Prednosti integracije ISMS i ITSM


Odnos izmeu informacijske sigurnosti i upravljanja uslugama je tako usko vezan da su mnoge organizacije prepoznale prednosti usvajanja oba standarda ISO/IEC 27001 za informacijsku sigurnost, i ISO/IEC 20000-1 za upravljanje uslugama.

Postoji niz prednosti u provedbi integriranog sistema upravljanja koji e uzeti u obzir ne samo usluge koje se pruaju, nego i zatitu informacija. Te prednosti se mogu postii implementacijom prvo jednog pa onda drugog sistema, ili oba standardi implementirati istodobno. Uprava i organizacijski procesi, posebno, moe izvui korist iz slinosti i zajednikih ciljeva oba standarda.

Kljune prednosti integracije ISMS i ITSM ukljuuju


a) kredibilitet, internim i vanjskim kupcima organizacije, uinkovite i sigurne usluge;

b)nie cijene cjelovitog programa dvaju projekata, gdje se postie i upravljanje uslugama i sigurnost informacija to su dio strategije organizacije;

c) smanjenje vrijeme provedbe zbog integriranog razvoja zajednikih procesa oba standarda;

d)eliminacija nepotrebnih dupliciranja;

e)vee razumijevanje meusobnih stavova od strane menadmenta usluga i sigurnosnog osoblja;

f) organizacija certificirana za ISO/IEC 27001 e lake ispuniti zahtjeve za informacijsku sigurnost u ISO/IEC 20000-1:2011.

Podruje primjene standarda ISO/IEC 27013:2012


a) implementirati ISO/IEC 27001, kada je ISO/IEC 20000-1 ve implementiran, ili obrnuto;

b) provoditi implementaciju istodobno po ISO/IEC 27001 i ISO/IEC 20000-1;c) integrirati postojee ISO/IEC 27001 i ISO/IEC 20000-1 sisteme upravljanja.

Ovaj Meunarodni standard fokusira se iskljuivo na integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1.

U praksi, ISO/IEC 27001 i ISO/IEC 20000-1 mogu biti integrirani s ostalim sistemima upravljanja, kao to su npr. ISO 9001 i ISO 14001, itd.

Ovaj meunarodni standard daje smjernice za integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1, za one organizacije koje se namjeravaju bilo:


KONCEPT ISO/IEC 27001

ISO/IEC 27001 prua model za uspostavljanje, implementaciju,upravljanje, nadzor, pregled, odravanje i usavravanje ISMS ucilju zatite informacijske imovine. Informacijska imovinaobuhvaa informacije u bilo kojem obliku, pohranjene u bilokojem obliku, a koristi se za bilo koju svrhu, od strane ili okruenjuorganizacije.Da bi se postigla sukladnost s ISO/IEC 27001, organizacija trebaimplementirati ISMS koji se temelji na procesu procjene rizikakako bi identificirala rizike za informacijsku imovinu. Kao dio ovogposla, organizacija treba odabrati, implementirati, nadzirati ipregledati razne mjere za upravljanje tim rizicima. Ove mjere supoznate kao kontrole. Organizacija mora odrediti prihvatljiverazine rizika, uzimajui u obzir poslovne zahtjeve i definiranezahtjeve. Primjeri definiranih zahtjeva su zakonski i regulatornizahtjevi ili ugovorne obveze.ISO/IEC 27001 mogu koristiti bilo koje vrste i veliine organizacije.

KONCEPT ISO/IEC 20000-1

ISO/IEC 20000-1 moe biti koriten od strane organizacija, ili dijelovaorganizacije, koje koriste ili pruaju usluge. To dodaje vrijednost i zakupca i davatelja usluga. Meutim, svi procesi obuhvaenistandardom su kontrolirani od strane davatelja usluga, i on je jedinikoji moe postii sukladnost s ISO/IEC 20000-1. Standard seprvenstveno bavi osiguranjem da usluge ispunjavaju uvjete usluga iosiguravaju vrijednost i za kupca i davatelja usluga.Upravljanje uslugama usmjerava i nadzire aktivnosti i sredstvadavatelja usluge u dizajnu, razvoju, tranziciji, isporuci i poboljanjuusluga u cilju da ispuni zahtjeve usluga u dogovoru sa svojim kupcima.Da bi se ispunili zahtjevi standarda, davatelj usluga bi morao provestiniz odreenih procesa. To su procesi, kao npr.: upravljanjeincidentima, upravljanje promjenama i upravljanje problema, itd.Upravljanje sigurnou je jedan procesa u ISO/IEC 20000-1.

ISO/IEC 20000-1 moe se koristiti bilo koje vrste i veliine organizacije.

Usporedba koncepata ISO/IEC 27001 i ISO/IEC 20000-1


Specifino zaISO/IEC 27001

Klasifikacija informacijske imovine

Upravljanje informacijskom Imovinom

Dijeljeni dijelovi (djelomino su isti, djelomino se razlikuju)

Specifino zaISO/IEC 20000-1

Budetiranje i voenje trokova usluga

Upravljanje poslovnim odnosima

Dizajn i tranzicija novih i izmijenjenih usluga

Upravljanje nivoom usluge

Upravljanje kapacitetomUpravljanje promjenamaUpravljanje

konfiguracijomUpravljanje

dokumentimaUpravljanje incidentimaUpravljanje problemimaUpravljanje razvojem i

verzijama

Upravljanje resursimaUpravljanje rizikomOdgovornosti i ovlatenjaUpravljanje sigurnouUpravljanje

kontinuitetom poslovanja

Upravljanje podugovaraima

Zajedniki dijelovi (identini za obadva standarda)

Kontinuirano poboljavanje Zakonska i regulativna usuglaenost Preispitivanje od strane rukovodstva

PDCA Trening i svijest Upravljanje dokumentima

ISO/IEC 27001 ISO/IEC 20000-1

ORGANIZACIJAFokus na informacijsku

imovinuFokus na uslugu

Odnos izmeu informacijske imovine u ISO/IEC 27001 i konfiguracijskog elementa (CI) u ISO/IEC 20000-1


Informacijska imovina

Informacijska imovina koja se ne koristi u

okviru SM

CI

CI koji nisu dio informacijske

imovine

Informacijska imovina koja

je CI

CI = Configuration Item element koji treba biti kontroliran vezano za isporuku usluge ili usluga

Ilustracija odnosa standarda i upravljanja incidentima


ISO/IEC 27001 Upravljanje incidentima

ISO/IEC 20000-1 Upravljanje incidentima

Incidenti uvjetovani servisom i sigurnou

Trebaju li dva sistema upravljanja incidentima?

Trebaju li dva Help-deska za evidenciju incidenata?

Integracija procesa sigurnosti u organizaciju


CSO - Chief Security Officer je najvia izvrna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO jedirektno odgovoran za identifikaciju, razvoj, implementaciju i odravanje procesa sigurnosti kroz postupke smanjivanja rizika,odgovore na incidente, smanjenje izloenosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.

Top

menadmentCSO

Odbor za

sigurnost

Po definiciji lanovi su: Menaderi ISMS, ITSM, QMS, OHSAS, ... Predstavnici nekih od zainteresiranih strana Vanjski suradnici - konzultanti

Vanjski suradnici specijalisti sa iskustvom

Tim za

procjenu rizika

Sektor 1 Sektor 2 Sektor n

Kako do kvalitetnog ISMS & ITSM ?


Postani i ostani kompetentan

Izbori se za budet

Izbori se za podrku uprave

Upravljaj sa IS

(C-I-A)

Isporuuj ugovorenu

uslugu (SLA)

Analiziraj postignute rezultate

Predloi poboljanje

Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (1/2)


Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (2/2)


Primjer usporedbe definicije pojmova u ISMS i ITSM


integracija - iso27001-iso20000

Documents

Transcript of integracija - iso27001-iso20000