Menaxhim Projektesh

Strategjitë kyçe për zbatimin e Sistemit të Menaxhimit të Sigurisë së Informacionit ISO/ IEC 27001:2005

Shk 1 2011
0 Shpërndarje
Strategjitë kyçe për zbatimin e Sistemit të Menaxhimit të Sigurisë së Informacionit ISO/ IEC 27001:2005

Në vitin 1995, Instituti Britanik i Standardeve(IBS, ang. BSI) publikoi standardinbritanik (BS) 7799, i cili përbënte njëgrup të gjerë të praktikave më të mira nëpërdorim dhe i ndihmonte organizatat nëzbatimin efektiv të menaxhimit të sigurisësë informacionit dhe në krijimin e kontrollevetë sigurisë për fusha të veçanta tëbiznesit.

Në tetor të vitit 2005, standardi është miratuar nga Organizata Ndërkombëtaree Standardizimit (ONS, ang. ISO).Si rezultat, zbatimi i BS 7799 – tani ISO27001: 2005 – është në fokusin e veçantë tëvëmendjes së kompanive të BashkimitEuropian dhe më gjerë.Në varësi të madhësisë së organizatës,natyrës së biznesit të saj dhe pjekurisë sëproceseve të saj, zbatimi i ISO 27001mund të përfshijë një investim të konsiderueshëmtë burimeve, çka kërkon domosdoshmërishtedhe angazhimin dhepërkushtimin e menaxhmentit të lartë.Përveç kësaj, për shkak të theksit të këtijstandardi në sigurinë e të dhënave, shumëauditorë të brendshëm kanë perceptiminse standardi duhet të jetë i përqendruar vetëm te teknologjia dhe shpesh rekomandojnëqë departamentet e Teknologjisë sëInformacionit të jenë në pajtueshmëri mekërkesat e standardit pa kuptuar sasinë ekohës dhe burimeve të nevojshme për tëarritur këtë konformitet. Për të siguruarsuksesin dhe pranimin e përgjithshëm,analizat fillestare dhe planifikimi janë merëndësi jetike. Po ashtu, auditorët e brend brendshëmjanë në gjendje të shtojnë vlerën eproceseve të TI-së së një organizate; atamund të ndihmojnë që departamentet eTI-së të përgatisin themelet e një strategjieefektive dhe efikase të zbatimit të ISO27001 gjatë fazës fillestare të planifikimit.Kjo do t’i ndihmojë kompanitë që të sigurohenqë proceset e tyre të IT-së janë të lidhuramë mirë me kërkesat e standardit,duke siguruar kështu përputhjen afatgjatemes tyre.

 

Rekomandimet për përputhjeefektive të ISO 27001

Zbatimi i ISO 27001 mund të kërkojë kohë dheburime të paparashikuara, sidomos nëse kompanitënuk kanë një plan zbatimi që në fillim. Për  të rritur përpjekjet e përputhshmërisë, auditorët e brendshëm mund t’i ndihmojnë kompanitë të identifikojnë objektivat kryesore të biznesit të tyre si dhe fushën e zbatimit. Auditorët duhet të punojnë me departamentet e TI-së për të përcaktuar nivelet aktuale të pjekurisë në krahasim me kërkesat e ISO 27001 si dhe për të analizuar procesin e kthimit të investimeve. Këta hapa mund të kryhen nga një ekip i anëtarëve të stafit të brendshëm ose konsulentëve të jashtëm, të cilët kanë përvojë paraprake në zbatimin e standardeve. Konsulentët e jashtëm duhet të punojnë në bashkëpunim me një ekip të brendshëm nga përfaqësues të njësive më të mëdha të kompanisë.

Identifikoni objektivat e biznesit

Planet për të miratuar ISO 27001 duhet të mbështeten nga një analizë konkrete e biznesit, që përfshin renditjen e objektivave kryesore të biznesit dhe siguron arritjen e një konsensusi me palët e interesuara. Objektivat e biznesit mund të rrjedhin nga misioni i kompanisë, plani strategjik dhe synimet ekzistuese të TI-së. Ato mund të përfshijnë:- sigurimin që rreziku menaxhohet në mënyrë efektive;- ruajtjen e avantazheve konkurruese të kompanisë, nëse industria si një e tërë merret me informata të ndjeshme;- ruajtjen e reputacionit të organizatës duke qëndruar mes udhëheqësve të industrisë;- sigurimin e klientëve dhe partnerëve që organizata angazhohet për mbrojtjen e të dhënave;- rritjen e të ardhurave të kompanisë dhe kursimet në zonat ku kontrollet mbrojtëse veprojnë mirë.Standardi gjithashtu thekson përmbushjen e detyrimeve kontraktuese, që mund të konsiderohet edhe një objektiv tjetër kryesor i biznesit. Për shembull, për divizionin e e-banking në një bankë, implementimi i standardit ISO 27001 do t’u japë klientëve dhe partnerëve një siguri më të madhe se rreziqet që rrjedhin nga përdorimi i sistemeve të informacionit menaxhohen siç duhet.

Zgjidhni fushën e zbatimit për implementimin e sistemit

Identifikimi i fushës së implementimit mund t’i shpëtojë organizatës kohë dhe mijëra euro. Në shumë raste, nuk është e nevojshme për një organizatë që të miratojë zbatimin e përgjithshëm të një standardi. Shtrirja e përputhshmërisë mund të kufizohet në një ndarje specifike, njësi biznesi, lloji shërbimi ose vendndodhje fizike. Përveç kësaj, nëse përputhshmëria me standardin në një fushë të zbatuar por të rëndësishme është arritur në mënyrë të suksesshme, atëherë ajo mund të zgjerohet nëpër njësi apo departamente të tjera.Zgjedhja e fushës së drejtë është një nga faktorët më të rëndësishëm gjatë gjithë ciklit të përputhshmërisë sepse ndikon në fizibilitetin dhe koston e zbatimit të standardit si dhe të kthimit të investimit të organizatës. Si rezultat, është e rëndësishme që fusha e zgjedhur të ndihmojë në arritjen e objektivave të identifikuara të biznesit. Për ta bërë këtë, organizata mund të vlerësojë mundësitë e ndryshme të fushës dhe të gamës së tyre bazuar në atë se sa mirë përshtaten me çdo objektiv. Organizatat gjithashtu mund të dëshirojnë të nënshkruajnë memorandume mirëkuptimi ose marrëveshje të nivelit të shërbimit me shitësit dhe partnerët për të zbatuar një formë të pajtueshmërisë indirekte me standardin.

Ecja përpara

Zbatimi i ISO 27001 kërkon mendim të kujdesshëm, planifikim dhe koordinim për të siguruar një adaptim të mirëfilltë të kontrolleve të sigurisë së informacionit. Vendimi se kur dhe si të zbatohet standardi mund të ndikohet nga një sërë faktorësh, duke përfshirë objektivat e ndryshme të biznesit, nivelet ekzistuese të pjekurisë së TI-së, pranueshmërinë e përdoruesve dhe vetëdijen, kërkesat e konsumatorëve ose detyrimet kontraktuale si dhe aftësinë e organizatës për t’iu përshtatur ndryshimit dhe proceseve të brendshme.