Zlatibor integracija iso27001 i iso20000
-
Upload
dejan-jeremich -
Category
Education
-
view
272 -
download
3
description
Transcript of Zlatibor integracija iso27001 i iso20000
IT/ICT Security conferenceZlatibor 24-26 April, 2014
ISO 20000 i ISO 27001 integracija za bolji IT
Dr. Zdenko AdelsbergerBluefield [email protected]
O predavaču …
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 2
Dr. Zdenko Adelsberger, informatičke nauke
• EOQ menadžer i auditor za: ISMS (ISO/IEC 27001)QMS (ISO 9001)EMS (ISO 14001)OHSAS (18001)
• CIS menadžer za ISMS• IRCA LA za ISMS
Trener i konzultant za ISMS, RM, ITSMS
Agenda
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 3
• Osnovni pojmovi sistema upravljanja
• Što je to ISO/IEC 27001 i njegov značaj?
• Što je to ISO/IEC 20000 i njegov značaj?
• Integracija ISO/IEC 27001 i ISO/IEC 20000 i značaj za IT
• Zaključak
Što je SISTEM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 4
Sistem je uređeni skup aktivnosti koje su na temelju pravila i funkcionalno vezanih resursa usmjereni na ostvarivanje svoje misije.
SISTEM
Granice
Okruženje
Elementi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 5
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija upravljanja je
osigurati postizanje
ciljeva i poboljšanje
Sigurnost postizanja ciljeva
temelji se na:UPRAVLJANJU
RIZICIMA
Postizanje poboljšanja temelji
se na:MJERENJU
UČINKOVITOSTI
Definicija procesa
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 6
(Poslovni)PROCES
Resursi
Pravila
Ula
zni z
ahtj
evi
Zad
ovo
lje
nje
ula
znih
za
htj
eva
Jedini razlog postojanja poslovnih procesa je: zadovoljenje ulazne
zahtjeve.
Pojedine zainteresirane strane mogu imati potpuno različite ulazne zahtjeve na
istom procesu
Aktivnost ili niz aktivnosti gdje se
upotrebljavaju resursi i kojima se upravlja kako bi se
omogućila pretvorba ulaza u
izlaz mogu se smatrati procesom.
(ISO 9001:2008)
PDCA krug za upravljanje procesimaPrema ISO 9001:2008
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 7
1
23
4
Odnos pojmova procesa i procedure
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 8
PROCES PROCEDURA
U realnosti U dokumentaciji
Povezanost sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 9
Doprinosi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 10
ISO 9001 ISO/IEC 27001
ISO/IEC 20000-1
Korektivne radnjePreventivne radnje
Upravljanje dokumentacijom
Interni auditiUpravina ocjena
Procesni pristupUpravljanje nabavom
Upravljanje incidentimaUpravljanje promjenama
Dostupnost uslugeBCP
Upravljanje sigurnošću
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 11
Sistem za upravljanje sigurnošću informacija
ISMSInformation Security Management System
Dobit od ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 12
Poslovni rizik Poslovna potreba Značajka standarda Prednost(kako to koristi?)
Dobit
Neuspjela zaštita informacija kupaca
Smanjenje rizika incidenata Postupak za utvrđivanje relevantnih rizika, razumijevanje o tome kako se rizik formirana i ocjenjivanje poboljšanja.
Bolja svijest i razumijevanje rizika.Bolje upravljanje rizikom.Manje incidenata i nesreća.
Manje incidenta. Manje smetnji.Manje vremena utrošeno na saniranju nesreća i nezgoda.Više se vremena troši na proaktivne mjere.Niži zahtjevi nadzora i audita klijenata.
Gubitak od kupaca i investitora zbog oštećenog ugleda informacijske nesigurnosti
Kako bi zaštitili i povećati ugled.Za uspjeh više ponuda.Privući što više ulagača
Operativne kontrole će bit na mjestu
Smanjenje incidenata i nesreća.Bolje upravljanje incidentima i nesrećama.
Manje negativnog pritiska što znači manje vremena i novca potrošenog na mjere ograničenih šteta. Manje resursa se troši na pronalaženje novih kupaca i investitora.Mogućnosti za pozitivan PR
Nedovoljno razumijevanje i prijetnje za poslovanje
Odlučivanje na temelju poslovnih podataka
Uloge i odgovornosti će biti definirane.Osoblje će biti osposobljeno i kompetentno.Komunikacija učesnika i uključenost rješavanje zahtjeva ISMS
Djelatnici su svjesni svoje uloge i odgovornosti u potrebe informacijske sigurnosti.Veća vjerojatnost da će učesnici uočiti i izbjeći potencijalne opasnosti. Manji gubitak vremena na incidentima.
Veća produktivnost.Manje vremena i novca potrošeno na odgovaranje na incidente.
Prekid poslova, kao posljedica informacijskih incidenata
Kontrola informacija, ali ne pretjerani utjecaj na poslovne procese
Operativne kontrole moraju biti na mjestu.Postupci za pregled i ispitivanje biti na mjestu.
Manja vjerojatnost incidenata.Bolja pripremljenost u slučaju incidenta, što znači brži odgovor i smanji utjecaj. Učinkovitije poslovanje.
Razumijevanje poslovnih informacijskih procesa.Bolje mogućnosti uvjeravanja kupca i unutarnje strane.
Što je informacija?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 13
1000110011001011100111111010101111001000
Signali (znakovi)
7910 je PODATAK
7910
PIN: 7910
7910 je INFORMACIJA
(kontekst označava da je to PIN kartice)
(može biti npr. nadmorska visina, prva kozmička
brzina, profit organizacije, itd.)
Glavne karakteristike informacije
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 14
CJELOVITOSTIntegrity
RASPOLOŽIVOSTAvailability
INFORMACIJA
TAJNOSTConfidentiality
C-I-A
Što o informaciji kaže ISO/IEC 27002:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 15
“Informacija je imovina koja kao i ostala
važna imovina u poslovanju ima
vrijednost za organizaciju i mora biti
stalno odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje karakteristika informacije:
tajnosti, cjelovitosti i raspoloživosti.
Šta je informacijski sistem?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 16
Informacijski sistem (IS) je sistem koji
prikuplja, pohranjuje, čuva, obrađuje, i isporučuje potrebne informacije uz pomoć odgovarajućih resursa i pravila, na način da su
informacije dostupne svim članovima neke
zajednice (organizacije) koji se njima žele
koristiti te imaju odgovarajuću autorizaciju.
Važna činjenica: IT ≠ IS
Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 17
Informacije na serverima i mreži Informacije na lokalnim kompjuterima
Informacije prenošene telefonskim linijama i/ili Internetom
Informacije zapisanena papiru Informacije štampane
na papiru
Informacije spremljenena diskovima, trakama,
CD-ovima, USB memorijama, ...
Informacije fax strojeva
Zaposlenici ipartneri
Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 18
Slika A
ISIT
Slika B
ISIT
Komponente sigurnosnog rješenja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 19
Tehničkarješenja Organizacijska
rješenja
Procjenarizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNORJEŠENJE
Upravljanje informacijskom sigurnošću obuhvaća 3 široka područja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 20
Upravljanje informacijskom
sigurnošću
Upravljanje IT i fizičkom
zaštitom
Upravljanje legislativom, regulativom i
ugovornim obvezama
Upravljanje ljudima, procesima,
poslovanjem, operacijama,
treningom / sviješću
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 21
Serija standarda za područje informacijske sigurnosti
Kratka povijest ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 22
• 1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.
• 1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996Support and compliance tools begin to emerge, such as COBRA.
• 1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.
• 2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
• 2001The 'ISO 17799 Toolkit' is launched.
• 2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
• 2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 23
ISO/IEC 27001:2013 Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization
4.1 Understanding the organization and its context4.2 Understanding the needs and expectations of interested parties4.3 Determining the scope of the information security management system4.4 Information security management system
5 Leadership5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities
6 Planning6.1 Actions to address risks and opportunities6.2 Information security objectives and planning to achieve them
7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information
8 Operation8.1 Operational planning and control8.2 Information security risk assessment8.3 Information security risk treatment
9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review
10 Improvement10.1 Nonconformity and corrective action10.2 Continual improvement
Annex A (normative) Reference control objectives and controlsBibliography
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 24
ISO/IEC 27001:2013Predgovor0 Uvod1 Opseg2 Normativne reference3 Pojmovi i definicije4 Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta4.2 Razumijevanje potreba i očekivanja zainteresiranih strana4.3 Određivanje opsega sustava za upravljanje informacijskom sigurnošću4.4 Sustav za upravljanje informacijskom sigurnošću
5 Rukovođenje5.1 Rukovođenje i predanost5.2 Politika5.3 Organizacijske uloge, odgovornosti i ovlasti
6 Planiranje6.1 Akcije za rješavanje rizika i prilika 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje
7 Podrška7.1 Resursi7.2 Kompetencije7.3 Svjesnost7.4 Komunikacija7.5 Dokumentirane informacije
8 Operacije8.1 Operativno planiranje i kontrola8.2 Procjena rizika informacijske sigurnosti8.3 Obrada rizika informacijske sigurnosti
9 Ocjenjivanje uspješnosti9.1 Nadzor, mjerenje, analiza i ocjena9.2 Unutarnji audit9.3 Upravina ocjena
10 Poboljšanje10.1 Nesukladnost i korektivne akcije10.2 Kontinuirano poboljšanje
Aneks A (normativni) Referenca ciljeva kontrola i kontrolaBibliografija
Sigurnosna područja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 25
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizička sigurnost i sigurnost okoliša
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sustava, razvoj i održavanje
11 A.15. Odnosi s dobavljačima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglašenost
Veza između ISO/IEC 27001 i ISO/IEC 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 26
Sigurnosno područje X
Sigurnosni cilj X1
Kontrola 1Uputstvo za
primjenuOstale
informacije
Kontrola 2Uputstvo za
primjenuOstale
informacije
Kontrola nUputstvo za
primjenuOstale
informacije
Sigurnosno područje X
Sigurnosni cilj X1
Kontrola 1
Kontrola 2
Kontrola n
Aneks A u ISO/IEC 27001:2013
Sadržaj ISO/IEC 27002:2013
Broj sigurnosnih područja 14
Broj sigurnosnih ciljeva 35
Broj kontrola 114
Primjer veze 27001 - 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 27
ISO/IEC 27001:2013
Annex A
ISO/IEC 27002:2013
Faze implementacije ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 28
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)Početak
projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
• Animacija vrhovne uprave
• Obrazovanje tima za
implementaciju (procjenu
rizika)
Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 29
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljšanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaćanje
i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A
Dokumentacija za ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 30
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,područje djelovanja,
procjena rizika,SoA
PROCEDURE:tko, šta, kada, gdje?
RADNE UPUTE:Detaljni opis zadataka i aktivnosti
ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
Op
era
cio
na
ra
zin
aO
rga
niz
ac
ijs
ka
ra
zin
a
ISO/IEC 2000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 31
IT servis menadžment
ITSMInformation technology Service management
Nastanak i razvoj ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 32
• 1995/1998 - A code of practice for Service Management• BS 15000:2000 - Specification for Service Management• PD0015:2000 IT Service Management: Self-assessment Workbook• 2000 – 2002 Early adopters trials BS 15000-1:2002 • ITSMF Certification scheme - Nov 2003• ISO/IEC 20000 Parts 1 and 2 – Dec 2005
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 33
Neki pojmovi prema ISO/IEC 20000-1 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 34
service componentsingle unit of a service that when combined with other units will deliver a complete service. EXAMPLES Hardware, software, tools, applications, documentation, information, processes or supporting services.NOTE A service component can consist of one or more configuration items.
komponenta uslugejedna jedinica usluge koja u kombinaciji s drugim jedinicama isporučuje kompletnu uslugu, npr. hardver, softver, alat, aplikacija, dokumentacija, informacija, procesi i prateće usluge.NAPOMENA dio usluga može se sastojati od jedne ili više konfiguracija elemenata.
service continuitycapability to manage risks and events that could have serious impact on a service or services in order to continually deliver services at agreed levels
kontinuitet uslugaSposobnost za upravljanje rizicima i događajima koji bi mogli imati ozbiljan utjecaj na uslugu ili usluge kako bi se kontinuirano pružaju usluge na dogovorenim nivoima
service level agreement - SLAdocumented agreement between the service provider and customer that identifies services and service targetsNOTE 1 A service level agreement can also be established between the service provider and a supplier, an internalgroup or a customer acting as a supplier.NOTE 2 A service level agreement can be included in a contract or another type of documented agreement.
ugovor o razini usluge - SLAdokumentirani dogovor između pružatelja usluga i kupca koji identificira usluge i ciljeve službeNAPOMENA 1 ugovor o razini usluge također može biti uspostavljen između pružatelja usluga i dobavljača, interne skupine ili kupca koji djeluje kao dobavljač.NAPOMENA 2 Ugovor o razini usluge može biti uključeni u ugovor ili drugu vrstu dokumentiranog sporazuma.
service managementset of capabilities and processes to direct and control the service provider's activities and resources for the design, transition, delivery and improvement of services to fulfil the service requirements
upravljanje uslugamaset sposobnosti i procesa za upravljanje i kontrolu aktivnosti davatelja usluga i resursa za projektiranje, tranziciju, isporuku i poboljšanje usluga u cilju ispunjavanja zahtjeva usluga
Neki pojmovi prema ISO/IEC 20000-1 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 35
service management system - SMSmanagement system to direct and control the service management activities of the service providerNOTE 1 A management system is a set of interrelated or interacting elements to establish policy and objectives and toachieve those objectives.NOTE 2 The SMS includes all service management policies, objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements in this part of ISO/IEC 20000.NOTE 3 Adapted from the definition of “quality management system” in ISO 9000:2005.
sistem za upravljanje uslugama - SMSSistem upravljanja za upravljanje i kontrolu aktivnosti upravljanja u službi davatelja uslugaNAPOMENA 1 Sistem upravljanja je skup međusobno povezanih ili među-interaktivnih elemenata sa uspostavljenom politikom i ciljevima, te postizanjem tih ciljeva.NAPOMENA 2 SMS uključuje sve politike upravljanja uslugama, ciljeve, planove, procese, dokumentaciju i resurse potrebne za projektiranje, tranziciju, isporuku i poboljšanje usluga kroz zadovoljenje zahtjeva ISO/IEC 20000.NAPOMENA 3 Prilagođeno iz definicije "sistem upravljanja kvalitetom ISO 9000:2005" u.
service providerorganization or part of an organization that manages and delivers a service or services to the customerNOTE A customer can be internal or external to the service provider's organization.
dobavljač uslugaorganizacija ili dio organizacije koja upravlja i pruža uslugu ili usluge za kupcaNAPOMENA kupac može biti unutarnja ili vanjska organizacija davatelja usluga.
service requestrequest for information, advice, access to a service or a pre-approved change
zahtjev za serviszahtjev za informacije, savjete, pristup usluzi ili pred-odobrene promjene
service requirementneeds of the customer and the users of the service, including service level requirements, and the needs of the service provider
zahtjev uslugepotrebe kupca i korisnika usluga, uključujući i zahtjeve o nivou usluge, kao i potrebe davatelja usluga
Što je standard ISO/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 36
Standard ISO/IEC 20000-1 objavljen je od strane Međunarodne organizacije za standarde (ISO) i on je certifikacijski.
Zamjenjuje standard BS 15000 i predstavlja međunarodno prihvaćenu standard za upravljanje IT uslugama. Standard se većim dijelom temelji na sadržaju BS 15000, ali tako posložen da odgovara i bude harmoniziran sa ostalim međunarodnim standardima.
Standard je dobro podržan i oslanja se na druge dokumente uključujući srodan standard ISO/IEC 20000-2, koji predstavlja Kodeks prakse Upravljanja IT Uslugama sa široko prihvaćenim smjernicom IT Infrastructure Library (ITIL®).
Po svojoj namjeni, ISO/IEC 2000-1 je skup zahtjeva koje se MORA ispuniti, ako se želi certificirati uspostavljeni, održavani i poboljšavani sistem upravljanja uslugama.
Kome je namijenjen IS/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 37
Prije svega, standard pomaže organizacijama da:
• steknu uvid u kvalitetu usluga koje isporučuju,
• specificiraju sve procese, i
• stvore sliku o tome šta bi trebalo unaprediti radi povećanja kvaliteta usluga.
Kada se govori o primjeni standarda ISO/IEC 20000, misli se prvenstveno na ispunjavanje zahtjeva danih u ISO/IEC 20000-1:2011, dok su ostali dokumenti u okviru ovog standarda smjernice namijenjene da pomognu organizaciji da se na što bolji i lakši način ispune zahtjeve.
Familija standarda ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 38
ISO/IEC 20000-1:2011 (Part 1: Service management system requirements) bliže opisuje sistem upravljanja
uslugama (SMS - Service Management System). Njime su obuhvaćeni svi zahtjevi koje bi organizacija trebalo da ispuni u cilju planiranja, uspostavljanja, primjene, provođenja, nadgledanja, revidiranja, održavanja i poboljšavanja Service Management sistema. Standard sadrži ukupno 256 zahtjeva, podijeljenih u 6 grupa, a koji se odnose na dizajn, promjenu, isporuku u poboljšanje usluga.
ISO/IEC 20000-2:2012 (Part 2: Guidance on the application of service management systems) sadrži smjernice
(upute) za primjenu SMS-a, na osnovu zahtjeva opisanih u ISO 20000-1. Sadrži primjere i prijedloge primjene sistema, a omogućava organizacijama da na što vjerodostojniji način interpretiraju i primjene ISO/IEC 20000-1.
ISO/IEC TR 20000-3:2009 (Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1): Odnosi
se na definiranje opsega i primjenljivosti standarda ISO/IEC 20000-1 u određenoj organizaciji. Dopunjuje dokument ISO 20000-2, koji sadrži opća iskustva i može pomoći, kako organizacijama koje posluju prema navedenom standardu, tako i organizacijama koje su zainteresirane da uvedu standard ISO/IEC 20000-1 u svoje poslovanje.
ISO/IEC TR 20000-4:2010 (Part 4: Process reference model) bliže opisuje i olakšava primjenu modela
procjene procesa, opisanog standardom ISO/IEC 15504 (IT - Process assessment ). Model opisan ovim standardom je logičan prikaz elemenata procesa u okviru upravljanja uslugama koji se mogu provoditi na osnovnom nivou. On opisuje sve procese na apstraktnom nivou, uključujući i procese SMS-a opisanih u ISO/IEC 20000-1 standardu.
ISO/IEC TR 20000-5:2010 (Part 5: Exemplar implementation plan for ISO/IEC 20000-1) predstavlja primjer
plana implementacije, koji daje bliže upute kako primijeniti SMS u cilju ispunjavanja zahtjeva opisanih ISO 20000-1 standardom. Obuhvaća savjete u vezi kojim redom bi trebalo planirati i primjeniti poboljšanja.
ZAHTJEVI
Primjeri(ITIL)
Opseg
Procjena procesa
Plan implementacije
Koristi od primjene ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 39
• Usuglašenost IT usluga sa poslovnim ciljevima,
• Stvaranje okvira za poboljšanje kvalitete usluga,
• Usporedivost sa najboljima iz područja IT usluga,
• Smanjenje rizika i troškova IT usluga,
• Stvaranje neophodne hijerarhije i kulture u okviru same organizacije,
• Stvaranje konkurentske prednosti kroz promoviranje stabilnih i isplativih usluga,
• Kreiranje stabilnog okvira koji potiče automatizaciju u upravljanju uslugama.
Standard ISO/IEC 20000 pruža pomoć organizaciji u vidu sagledavanja i poboljšanja nivoa IT usluga i demonstracije sposobnosti organizacije da ispuni sve neophodne zahtjeve korisnika. Konkretne koristi koje primjena ovog standarda može se prikazati kroz:
Sistem upravljanja servisom (SMS)prema ISO/IEC 20000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 40
Kupci(i ostale
zainteresirane strane)
Kupci(i ostale
zainteresirane strane)
Zahtjevi za uslugom
Usluga
SMS - zahtjevi• Odgovornost uprave• Upravljanje procesima
drugih strana
• Dokumentacija za upravljanje• Upravljanje resursima• Uspostava i poboljšanje SMS
Projektiranje i tranzicija nove usluge ili promjena usluga
Procesi isporuka usluga• Upravljanje kapacitetom• Kontinuitet usluga i dostupnost• Upravljanje nivoima servisa
• Izvještavanje o uslugama• Upravljanje sigurnošću• Računovodstvo za usluge
Kontrolni procesi• Upravljanje konfiguracijom• Upravljanje promjenama• Upravljanje verzijama i primjena
Procesi razlučivosti• Upravljanje incidentima i
zahtjevima usluge• Upravljanje problemima
Procesi odnosa• Upravljanje poslovnim
odnosima• Upravljanje dobavljačima
Faze implementacije ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 41
1) Imenujte tim i definirajte Vašu strategijuUsvajanje sistema upravljanja mora biti strateška odluka cijele organizacije. Važno je da Vaša Uprava bude uključena u process. Oni odlučuju o poslovnoj strategiji kojuučinkovit sistem upravljanja podržava. U dodatku, trebate odabrati tim koji će razvijati i implementirati Vaš sistem upravljanja.
2) Identificirajte potrebe edukacijeČlanovi tima koji su odgovorni za implementaciju i održavanje sistema upravljanja trebaju znati sve detalje o primjenjivom standardu. Postoji velik izbor seminara i radionicakoji su dostupni kako bi zadovoljili Vaše potrebe.
3) Procijenite Vaše opcije za konzultanteNeovisni konzultanti će Vas moći savjetovati oko izvedivog, objektivnog strateškog plana, sa što manje troška za implementaciju.
4) Izradite priručnik sustava upravljanjaVaš priručnik sistema upravljanja treba opisivati politiku i poslovanje Vaše tvrtke. Kroz priručnik, pružit ćete točan opis organizacije i najbolju praksu koja je primijenjenakako bi kontinuirano ispunjavali očekivanja Vaših klijenata.
5) Izradite procedureProcedure opisuju procese Vaše organizacije i najbolju praksu kako postići te procese. Ove procedure trebaju odgovoriti na slijedeća pitanja za svaki proces: Zašto? Tko?Kada? Gdje? Što?
6) Implementirajte Vaš sistem upravljanjaKomunikacija i edukacija su ključni za uspješnu implementaciju. Tokom faze implementiranja, Vaša će organizacija raditi prema ovim procedurama koje su razvijene kako bidokumentirale i demonstrirale učinkovitost sistema upravljanja.
7) Razmotrite potrebu procjene stanjaMožete odabrati da se održi procjena stanja implementiranog sistema upravljanja od strane certifikacijske kuće. Njena svrha je identificiranje područja nesukladnosti iomogućavanje da se ta područja poprave prije nego krenete u proces akreditirane certifikacije. Dobivanje nesukladnosti znači da određeni dio Vašeg sistema upravljanjanije usklađen sa zahtjevima norme.
Implementacija ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 42
1SvijestVizija i opsegProcjenaGrubi plan
2Poslovni slučajSponzor
3ProgramPlanUpravljanje programom
4ProcesUspostava sistema upravljanjaDefiniranje politika, planova, SLARazvoj procesa i proceduraMonitoringKontinuirano poboljšanje
5LjudiDefiniranje i alociranje ulogaMjerenje kompetentnostiIdentificirati promjenu kulturePotrebeKomunikaciona strategija
6TehnologijaPregled postojećeg slupa alataDefiniranje zahtjeva tehnologijeRazvoj opcijaImplementacija alata
7CertifikacijaOdabira vanjskog auditoraPred-certifikacijski auditCertifikacijski auditUkazivanje na kontrole
8Mjerenje koristiOdržavanjeUsklađenostProširenje opsega
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 43
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 44
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 45
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 46
ITSMS
Kakva je sprega ISMS i ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 47
ISMS
ISO/IEC 20013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 48
Smjernica za integralni implementacijuISO/IEC 27001 i ISO/IEC 20000-1
ITSMInformation technology — Security techniques —
Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 49
Prednosti integracije ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 50
Odnos između informacijske sigurnosti i upravljanja uslugama je tako usko vezan da su mnoge organizacije prepoznale prednosti usvajanja oba standarda ISO/IEC 27001 za informacijsku sigurnost, i ISO/IEC 20000-1 za upravljanje uslugama.
Postoji niz prednosti u provedbi integriranog sistema upravljanja koji će uzeti u obzir ne samo usluge koje se pružaju, nego i zaštitu informacija. Te prednosti se mogu postići implementacijom prvo jednog pa onda drugog sistema, ili oba standardi implementirati istodobno. Uprava i organizacijski procesi, posebno, može izvući korist iz sličnosti i zajedničkih ciljeva oba standarda.
Ključne prednosti integracije ISMS i ITSM uključuju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 51
a) kredibilitet, internim i vanjskim kupcima organizacije, učinkovite i sigurne usluge;
b)niže cijene cjelovitog programa dvaju projekata, gdje se postiže i upravljanje uslugama i sigurnost informacija što su dio strategije organizacije;
c) smanjenje vrijeme provedbe zbog integriranog razvoja zajedničkih procesa oba standarda;
d)eliminacija nepotrebnih dupliciranja;
e)veće razumijevanje međusobnih stavova od strane menadžmenta usluga i sigurnosnog osoblja;
f) organizacija certificirana za ISO/IEC 27001 će lakše ispuniti zahtjeve za informacijsku sigurnost u ISO/IEC 20000-1:2011.
Područje primjene standarda ISO/IEC 27013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 52
a) implementirati ISO/IEC 27001, kada je ISO/IEC 20000-1 već implementiran, ili obrnuto;
b) provoditi implementaciju istodobno po ISO/IEC 27001 i ISO/IEC 20000-1;c) integrirati postojeće ISO/IEC 27001 i ISO/IEC 20000-1 sisteme upravljanja.
Ovaj Međunarodni standard fokusira se isključivo na integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1.
U praksi, ISO/IEC 27001 i ISO/IEC 20000-1 mogu biti integrirani s ostalim sistemima upravljanja, kao što su npr. ISO 9001 i ISO 14001, itd.
Ovaj međunarodni standard daje smjernice za integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1, za one organizacije koje se namjeravaju bilo:
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 53
KONCEPT ISO/IEC 27001
ISO/IEC 27001 pruža model za uspostavljanje, implementaciju,upravljanje, nadzor, pregled, održavanje i usavršavanje ISMS ucilju zaštite informacijske imovine. Informacijska imovinaobuhvaća informacije u bilo kojem obliku, pohranjene u bilokojem obliku, a koristi se za bilo koju svrhu, od strane ili okruženjuorganizacije.Da bi se postigla sukladnost s ISO/IEC 27001, organizacija trebaimplementirati ISMS koji se temelji na procesu procjene rizikakako bi identificirala rizike za informacijsku imovinu. Kao dio ovogposla, organizacija treba odabrati, implementirati, nadzirati ipregledati razne mjere za upravljanje tim rizicima. Ove mjere supoznate kao kontrole. Organizacija mora odrediti prihvatljiverazine rizika, uzimajući u obzir poslovne zahtjeve i definiranezahtjeve. Primjeri definiranih zahtjeva su zakonski i regulatornizahtjevi ili ugovorne obveze.ISO/IEC 27001 mogu koristiti bilo koje vrste i veličine organizacije.
KONCEPT ISO/IEC 20000-1
ISO/IEC 20000-1 može biti korišten od strane organizacija, ili dijelovaorganizacije, koje koriste ili pružaju usluge. To dodaje vrijednost i zakupca i davatelja usluga. Međutim, svi procesi obuhvaćenistandardom su kontrolirani od strane davatelja usluga, i on je jedinikoji može postići sukladnost s ISO/IEC 20000-1. Standard seprvenstveno bavi osiguranjem da usluge ispunjavaju uvjete usluga iosiguravaju vrijednost i za kupca i davatelja usluga.Upravljanje uslugama usmjerava i nadzire aktivnosti i sredstvadavatelja usluge u dizajnu, razvoju, tranziciji, isporuci i poboljšanjuusluga u cilju da ispuni zahtjeve usluga u dogovoru sa svojim kupcima.Da bi se ispunili zahtjevi standarda, davatelj usluga bi morao provestiniz određenih procesa. To su procesi, kao npr.: upravljanjeincidentima, upravljanje promjenama i upravljanje problema, itd.Upravljanje sigurnošću je jedan procesa u ISO/IEC 20000-1.
ISO/IEC 20000-1 može se koristiti bilo koje vrste i veličine organizacije.
Usporedba koncepata ISO/IEC 27001 i ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 54
Specifično zaISO/IEC 27001
•Klasifikacija informacijske imovine
•Upravljanje informacijskom Imovinom
Dijeljeni dijelovi (djelomično su isti, djelomično se razlikuju)
Specifično zaISO/IEC 20000-1
•Budžetiranje i vođenje troškova usluga
•Upravljanje poslovnim odnosima
•Dizajn i tranzicija novih i izmijenjenih usluga
•Upravljanje nivoom usluge
•Upravljanje kapacitetom•Upravljanje promjenama•Upravljanje
konfiguracijom•Upravljanje
dokumentima•Upravljanje incidentima•Upravljanje problemima•Upravljanje razvojem i
verzijama
•Upravljanje resursima•Upravljanje rizikom•Odgovornosti i ovlaštenja•Upravljanje sigurnošću•Upravljanje
kontinuitetom poslovanja
•Upravljanje podugovaračima
Zajednički dijelovi (identični za obadva standarda)
• Kontinuirano poboljšavanje• Zakonska i regulativna usuglašenost• Preispitivanje od strane rukovodstva
• PDCA• Trening i svijest• Upravljanje dokumentima
ISO/IEC 27001 ISO/IEC 20000-1
ORGANIZACIJAFokus na informacijsku
imovinuFokus na uslugu
Odnos između informacijske imovine u ISO/IEC 27001 i konfiguracijskog elementa (CI) u ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 55
Informacijska imovina
Informacijska imovina koja se ne koristi u
okviru SM
CI
CI koji nisu dio informacijske
imovine
Informacijska imovina koja
je CI
CI = Configuration Item – element koji treba biti kontroliran vezano za isporuku usluge ili usluga
Ilustracija odnosa standarda i upravljanja incidentima
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 56
ISO/IEC 27001 Upravljanje incidentima
ISO/IEC 20000-1 Upravljanje incidentima
Incidenti uvjetovani servisom i sigurnošću
Trebaju li dva sistema upravljanja incidentima?
Trebaju li dva Help-deska za evidenciju incidenata?
Integracija procesa sigurnosti u organizaciju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 57
CSO - Chief Security Officer – je najviša izvršna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO je
direktno odgovoran za identifikaciju, razvoj, implementaciju i održavanje procesa sigurnosti kroz postupke smanjivanja rizika,
odgovore na incidente, smanjenje izloženosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.
Top
menadžmentCSO
Odbor za
sigurnost
Po definiciji članovi su:• Menadžeri ISMS, ITSM, QMS, OHSAS, ...
• Predstavnici nekih od zainteresiranih strana
• Vanjski suradnici - konzultanti
Vanjski suradnici –
specijalisti sa iskustvom
Tim za
procjenu rizika
Sektor 1 Sektor 2 Sektor n
Kako do kvalitetnog ISMS & ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 58
Postani i ostani kompetentan
Izbori se za budžet
Izbori se za podršku uprave
Upravljaj sa IS
(C-I-A)
Isporučuj ugovorenu
uslugu (SLA)
Analiziraj postignute rezultate
Predloži poboljšanje
Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 59
Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 60
Primjer usporedbe definicije pojmova u ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 61
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 62