ABSTRAKT
- Obsah přezkoumání musí / může / má pro účely organizace
- Pravidelný rytmus a přesně uvědomělá odpovědnost
- Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit
- Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?
- Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů
- Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů
- Obnovitelnost
Požadavky a povinné prvky přezkoumání systému informační bezpečnosti ISMS dle ISO 27001
-
Pohled standardního systému IMS (integrovaného systému řízení)
-
Kritické oblasti přístupu a posuzování přezkoumání vedením vrcholovými představiteli organizací a firem
- Vstupy, hodnocení a předcházející období
- Výstupy, zaměření a budoucí období
- Doporučení ke zvýšení efektivity hodnocení, využitelnosti a komplexnosti nástroje vrcholového vedení
Přezkoumání vedením ISMS článek č.7 normy ISO 27001:2005
7.1. Všeobecně
Vedení organizace musí provádět přezkoumání ISMS organizace v plánovaných intervalech ( alespoň jednou za rok), aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost.
Toto přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti.
Výsledky přezkoumání musí být jasně zdokumentovány a musí být o nich udržovány záznamy
7.1. Všeobecně – závěry z nichž vyplývají klíčován témata a problematické oblasti
- Čas
- Vedení organizace
- Zlepšování, tedy trendy a vyhodnocování
- Změny
- Dokumentace a vedení záznamů (v souladu s 4.3.3 Řízení záznamů)
- Musí
Jaké jsou povinné prvky přezkoumání systému ISMS dle ISO 27001
7.2. Vstup pro přezkoumání
Vstupy pro přezkoumání vedením musí zahrnovat informace o:
- Výsledcích auditů a přezkoumáních ISMS
- interní, externí, roky, systémové trendy, závěry a hodnocení, nebezpečí, neshody, prevence, ….
- Zpětné vazbě od zainteresovaných stran
- dodavatelé, vlastníci, zaměstnanci, zákazníci, ….
- Technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a účinnosti ISMS
- možnosti rozvoje, zlepšování, vyhodnocení hrozeb a akceptovaných rizik, nápravné opatření, prevence, ….
- Stavu preventivních opatření a opatření k nápravě
- Kde jsou, jak identifikovat, záznamy, protokoly, cíle, opatření, projekty, ….
- Zranitelnostech nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost
- ….
Povinné prvky přezkoumání systému ISMS dle ISO 27001
7.3. Výstup z přezkoumání
Výstup z přezkoumání prováděného vedením organizace musí zahrnovat rozhodnutí a činnosti vztahující se k:
- Zvyšování účinnosti ISMS
- cíle, závěry, projekty, aktivity, ….
- Aktualizaci hodnocení rizik a plánu zvládání rizik
- Aktualizace, akceptace, priority, řešení, investice,….
- Nezbytným změnám postupů v bezpečnosti informací, v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS
- procesy a činnosti organizace, bezpečnostní požadavky, klienty a smlouvy, rizika a jejich akceptovatelnosti,….
- Potřebě zdrojů
- Lidé, technika, technologie, finance, komunikace, ….
- Zlepšování postupů měření účinnosti opatření
- ….
Jaký je pohled standardního IMS (integrovaného systému řízení) – vstupy (kvalita -Q, životní prostředí -E, BOZP -S)
Kapitola 5.6. ISO 9001
Kapitola 4.6. ISO 14001 a OHSAS 18001
Hodnocení managementem organizace, přiměřené, plánované, pravidelné, realizované, zdokumentované, záznamy
- Q/E/S – výsledky auditů =
- Q – zpětná vazba od zákazníků ~
- Q – výkony procesů a konformita produktu ~
- Q/E/S – Status preventivních a nápravných opatření =
- Q/E/S – výsledky a opatření z předcházejících přezkoumání =
- Q/E/S – změny, které mohou mít vliv na IMS a doporučení ke zlepšování =
- E/S – výsledky posouzení a plnění právních požadavků =
- E/S – informace a vstupy od zainteresovaných stran =
- E – vztah, výkony, hodnocení z pohledu životního prostředí #
- S – vztah, výkony, hodnocení z pohledu bezp.práce #
- E/S – dosažení cílových hodnot a programů #
- S – hodnocení rizik, hrozeb a zúčastněných stran =
Kajé jsou tedy kritické oblasti přístupu:
Vstupy:
- Čas (kdy, …)
- Pravidelnost (jak často…..)
- Systémové hodnocení (např. interní audity, neshody, …)
- Konkrétnost (údaje, čísla, přesnost,….)
- Rozsah (musí…., může….)
- Účast (vrcholový management, ….)
- Historie (trendy v oblastech – např. incidenty, úrazy, finanční ukazatelé, fluktuace, …)
Výstupy:
- Konkrétní
- Časově ohraničený (termín)
- Měřitelný
Závěrečné doporučení ke zvýšení efektivity:
- Obsah přezkoumání musí / může / má pro účely organizace
- Pravidelný rytmus a přesně uvědomělá odpovědnost
- Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit
- Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?
- Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů
- Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů
- Obnovitelnost
[1] Ing. Petr Kopecký, Leadauditor, Trainer, Regionsmanager CZ&SK, Qualityaustria GmbH & CIS GmbH
Technická univerzita v Košiciach – doktorand katedra IMS, fakulta Hutnická
PŘEDPLATNÉ
ČLÁNKY DO MAILU