integracija - iso27001-iso20000
DESCRIPTION
integracija - iso27001-iso20000TRANSCRIPT
-
IT/ICT Security conferenceZlatibor 24-26 April, 2014
ISO 20000 i ISO 27001 integracija za bolji IT
Dr. Zdenko AdelsbergerBluefield [email protected]
-
O predavau
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 2
Dr. Zdenko Adelsberger, informatike nauke
EOQ menader i auditor za: ISMS (ISO/IEC 27001)QMS (ISO 9001)EMS (ISO 14001)OHSAS (18001)
CIS menader za ISMS IRCA LA za ISMS
Trener i konzultant za ISMS, RM, ITSMS
-
Agenda
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 3
Osnovni pojmovi sistema upravljanja
to je to ISO/IEC 27001 i njegov znaaj?
to je to ISO/IEC 20000 i njegov znaaj?
Integracija ISO/IEC 27001 i ISO/IEC 20000 i znaaj za IT
Zakljuak
-
to je SISTEM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 4
Sistem je ureeni skup aktivnosti koje su na temelju pravila i funkcionalno vezanih resursa usmjereni na ostvarivanje svoje misije.
SISTEM
Granice
Okruenje
-
Elementi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 5
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija upravljanja je
osigurati postizanje
ciljeva i poboljanje
Sigurnost postizanja ciljeva
temelji se na:UPRAVLJANJU
RIZICIMA
Postizanje poboljanja temelji
se na:MJERENJU
UINKOVITOSTI
-
Definicija procesa
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 6
(Poslovni)PROCES
Resursi
Pravila
Ula
zni z
ahtj
evi
Zad
ovo
lje
nje
ula
znih
za
htj
eva
Jedini razlog postojanja poslovnih procesa je: zadovoljenje ulazne
zahtjeve.
Pojedine zainteresirane strane mogu imati potpuno razliite ulazne zahtjeve na
istom procesu
Aktivnost ili niz aktivnosti gdje se
upotrebljavaju resursi i kojima se upravlja kako bi se
omoguila pretvorba ulaza u
izlaz mogu se smatrati procesom.
(ISO 9001:2008)
-
PDCA krug za upravljanje procesimaPrema ISO 9001:2008
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 7
1
23
4
-
Odnos pojmova procesa i procedure
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 8
PROCES PROCEDURA
U realnosti U dokumentaciji
-
Povezanost sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 9
-
Doprinosi sistema upravljanja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 10
ISO 9001 ISO/IEC 27001
ISO/IEC 20000-1
Korektivne radnjePreventivne radnje
Upravljanje dokumentacijom
Interni auditiUpravina ocjena
Procesni pristupUpravljanje nabavom
Upravljanje incidentimaUpravljanje promjenama
Dostupnost uslugeBCP
Upravljanje sigurnou
-
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 11
Sistem za upravljanje sigurnou informacija
ISMSInformation Security Management System
-
Dobit od ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 12
Poslovni rizik Poslovna potreba Znaajka standarda Prednost(kako to koristi?)
Dobit
Neuspjela zatita informacija kupaca
Smanjenje rizika incidenata Postupak za utvrivanje relevantnih rizika, razumijevanje o tome kako se rizik formirana i ocjenjivanje poboljanja.
Bolja svijest i razumijevanje rizika.Bolje upravljanje rizikom.Manje incidenata i nesrea.
Manje incidenta. Manje smetnji.Manje vremena utroeno na saniranju nesrea i nezgoda.Vie se vremena troi na proaktivne mjere.Nii zahtjevi nadzora i audita klijenata.
Gubitak od kupaca i investitora zbog oteenog ugleda informacijske nesigurnosti
Kako bi zatitili i poveati ugled.Za uspjeh vie ponuda.Privui to vie ulagaa
Operativne kontrole e bit na mjestu
Smanjenje incidenata i nesrea.Bolje upravljanje incidentima i nesreama.
Manje negativnog pritiska to znai manje vremena i novca potroenog na mjere ogranienih teta. Manje resursa se troi na pronalaenje novih kupaca i investitora.Mogunosti za pozitivan PR
Nedovoljno razumijevanje i prijetnje za poslovanje
Odluivanje na temelju poslovnih podataka
Uloge i odgovornosti e biti definirane.Osoblje e biti osposobljeno i kompetentno.Komunikacija uesnika i ukljuenost rjeavanje zahtjeva ISMS
Djelatnici su svjesni svoje uloge i odgovornosti u potrebe informacijske sigurnosti.Vea vjerojatnost da e uesnici uoiti i izbjei potencijalne opasnosti. Manji gubitak vremena na incidentima.
Vea produktivnost.Manje vremena i novca potroeno na odgovaranje na incidente.
Prekid poslova, kao posljedica informacijskih incidenata
Kontrola informacija, ali ne pretjerani utjecaj na poslovne procese
Operativne kontrole moraju biti na mjestu.Postupci za pregled i ispitivanje biti na mjestu.
Manja vjerojatnost incidenata.Bolja pripremljenost u sluaju incidenta, to znai bri odgovor i smanji utjecaj. Uinkovitije poslovanje.
Razumijevanje poslovnih informacijskih procesa.Bolje mogunosti uvjeravanja kupca i unutarnje strane.
-
to je informacija?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 13
1000110011001011100111111010101111001000
Signali (znakovi)
7910 je PODATAK
7910
PIN: 7910
7910 je INFORMACIJA
(kontekst oznaava da je to PIN kartice)
(moe biti npr. nadmorska visina, prva kozmika
brzina, profit organizacije, itd.)
-
Glavne karakteristike informacije
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 14
CJELOVITOSTIntegrity
RASPOLOIVOSTAvailability
INFORMACIJA
TAJNOSTConfidentiality
C-I-A
-
to o informaciji kae ISO/IEC 27002:2013
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 15
Informacija je imovina koja kao i ostala vana imovina u poslovanju ima vrijednost za organizaciju i mora biti
stalno odgovarajue tiena.
U kontekstu ISO/IEC 27001 pod tienjem informacija se smatra ouvanje karakteristika informacije:
tajnosti, cjelovitosti i raspoloivosti.
-
ta je informacijski sistem?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 16
Informacijski sistem (IS) je sistem koji prikuplja, pohranjuje, uva, obrauje, i isporuuje potrebne informacije uz pomo odgovarajuih resursa i pravila, na nain da su informacije dostupne svim lanovima neke zajednice (organizacije) koji se njima ele koristiti te imaju odgovarajuu autorizaciju.
Vana injenica: IT IS
-
Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 17
Informacije na serverima i mrei Informacije na lokalnim kompjuterima
Informacije prenoene telefonskim linijama i/ili Internetom
Informacije zapisanena papiru Informacije tampane
na papiru
Informacije spremljenena diskovima, trakama,
CD-ovima, USB memorijama, ...
Informacije fax strojeva
Zaposlenici ipartneri
-
Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 18
Slika A
ISIT
Slika B
ISIT
-
Komponente sigurnosnog rjeenja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 19
Tehnikarjeenja Organizacijska
rjeenja
Procjenarizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNORJEENJE
-
Upravljanje informacijskom sigurnou obuhvaa 3 iroka podruja
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 20
Upravljanje informacijskom
sigurnou
Upravljanje IT i fizikom
zatitom
Upravljanje legislativom, regulativom i
ugovornim obvezama
Upravljanje ljudima, procesima,
poslovanjem, operacijama,
treningom / svijeu
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 21
Serija standarda za podruje informacijske sigurnosti
-
Kratka povijest ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 22
1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.
1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
1996Support and compliance tools begin to emerge, such as COBRA.
1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.
2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
2001The 'ISO 17799 Toolkit' is launched.
2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 23
ISO/IEC 27001:2013 Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization
4.1 Understanding the organization and its context4.2 Understanding the needs and expectations of interested parties4.3 Determining the scope of the information security management system4.4 Information security management system
5 Leadership5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities
6 Planning6.1 Actions to address risks and opportunities6.2 Information security objectives and planning to achieve them
7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information
8 Operation8.1 Operational planning and control8.2 Information security risk assessment8.3 Information security risk treatment
9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review
10 Improvement10.1 Nonconformity and corrective action10.2 Continual improvement
Annex A (normative) Reference control objectives and controlsBibliography
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 24
ISO/IEC 27001:2013Predgovor0 Uvod1 Opseg2 Normativne reference3 Pojmovi i definicije4 Kontekst organizacije
4.1 Razumijevanje organizacije i njenog konteksta4.2 Razumijevanje potreba i oekivanja zainteresiranih strana4.3 Odreivanje opsega sustava za upravljanje informacijskom sigurnou4.4 Sustav za upravljanje informacijskom sigurnou
5 Rukovoenje5.1 Rukovoenje i predanost5.2 Politika5.3 Organizacijske uloge, odgovornosti i ovlasti
6 Planiranje6.1 Akcije za rjeavanje rizika i prilika 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo ostvarivanje
7 Podrka7.1 Resursi7.2 Kompetencije7.3 Svjesnost7.4 Komunikacija7.5 Dokumentirane informacije
8 Operacije8.1 Operativno planiranje i kontrola8.2 Procjena rizika informacijske sigurnosti8.3 Obrada rizika informacijske sigurnosti
9 Ocjenjivanje uspjenosti9.1 Nadzor, mjerenje, analiza i ocjena9.2 Unutarnji audit9.3 Upravina ocjena
10 Poboljanje10.1 Nesukladnost i korektivne akcije10.2 Kontinuirano poboljanje
Aneks A (normativni) Referenca ciljeva kontrola i kontrolaBibliografija
-
Sigurnosna podruja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 25
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizika sigurnost i sigurnost okolia
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sustava, razvoj i odravanje
11 A.15. Odnosi s dobavljaima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglaenost
-
Veza izmeu ISO/IEC 27001 i ISO/IEC 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 26
Sigurnosno podruje X
Sigurnosni cilj X1
Kontrola 1Uputstvo za
primjenuOstale
informacije
Kontrola 2Uputstvo za
primjenuOstale
informacije
Kontrola nUputstvo za
primjenuOstale
informacije
Sigurnosno podruje X
Sigurnosni cilj X1
Kontrola 1
Kontrola 2
Kontrola n
Aneks A u ISO/IEC 27001:2013
Sadraj ISO/IEC 27002:2013
Broj sigurnosnih podruja 14
Broj sigurnosnih ciljeva 35
Broj kontrola 114
-
Primjer veze 27001 - 27002
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 27
ISO/IEC 27001:2013
Annex A
ISO/IEC 27002:2013
-
Faze implementacije ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 28
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)Poetak projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
Animacija vrhovne uprave Obrazovanje tima za
implementaciju (procjenu
rizika)
-
Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 29
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaanje i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A
-
Dokumentacija za ISMS
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 30
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,podruje djelovanja,
procjena rizika,SoA
PROCEDURE:tko, ta, kada, gdje?
RADNE UPUTE:Detaljni opis zadataka i aktivnosti
ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
Op
era
cio
na
ra
zin
aO
rga
niz
ac
ijs
ka
ra
zin
a
-
ISO/IEC 2000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 31
IT servis menadment
ITSMInformation technology Service management
-
Nastanak i razvoj ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 32
1995/1998 - A code of practice for Service Management BS 15000:2000 - Specification for Service Management PD0015:2000 IT Service Management: Self-assessment Workbook 2000 2002 Early adopters trials BS 15000-1:2002 ITSMF Certification scheme - Nov 2003 ISO/IEC 20000 Parts 1 and 2 Dec 2005
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 33
-
Neki pojmovi prema ISO/IEC 20000-1 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 34
service componentsingle unit of a service that when combined with other units will deliver a complete service. EXAMPLES Hardware, software, tools, applications, documentation, information, processes or supporting services.NOTE A service component can consist of one or more configuration items.
komponenta uslugejedna jedinica usluge koja u kombinaciji s drugim jedinicama isporuuje kompletnu uslugu, npr. hardver, softver, alat, aplikacija, dokumentacija, informacija, procesi i pratee usluge.NAPOMENA dio usluga moe se sastojati od jedne ili vie konfiguracija elemenata.
service continuitycapability to manage risks and events that could have serious impact on a service or services in order to continually deliver services at agreed levels
kontinuitet uslugaSposobnost za upravljanje rizicima i dogaajima koji bi mogli imati ozbiljan utjecaj na uslugu ili usluge kako bi se kontinuirano pruaju usluge na dogovorenim nivoima
service level agreement - SLAdocumented agreement between the service provider and customer that identifies services and service targetsNOTE 1 A service level agreement can also be established between the service provider and a supplier, an internalgroup or a customer acting as a supplier.NOTE 2 A service level agreement can be included in a contract or another type of documented agreement.
ugovor o razini usluge - SLAdokumentirani dogovor izmeu pruatelja usluga i kupca koji identificira usluge i ciljeve slubeNAPOMENA 1 ugovor o razini usluge takoer moe biti uspostavljen izmeu pruatelja usluga i dobavljaa, interne skupine ili kupca koji djeluje kao dobavlja.NAPOMENA 2 Ugovor o razini usluge moe biti ukljueni u ugovor ili drugu vrstu dokumentiranog sporazuma.
service managementset of capabilities and processes to direct and control the service provider's activities and resources for the design, transition, delivery and improvement of services to fulfil the service requirements
upravljanje uslugamaset sposobnosti i procesa za upravljanje i kontrolu aktivnosti davatelja usluga i resursa za projektiranje, tranziciju, isporuku i poboljanje usluga u cilju ispunjavanja zahtjeva usluga
-
Neki pojmovi prema ISO/IEC 20000-1 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 35
service management system - SMSmanagement system to direct and control the service management activities of the service providerNOTE 1 A management system is a set of interrelated or interacting elements to establish policy and objectives and toachieve those objectives.NOTE 2 The SMS includes all service management policies, objectives, plans, processes, documentation and resources required for the design, transition, delivery and improvement of services and to fulfil the requirements in this part of ISO/IEC 20000.NOTE 3 Adapted from the definition of quality management system in ISO 9000:2005.
sistem za upravljanje uslugama - SMSSistem upravljanja za upravljanje i kontrolu aktivnosti upravljanja u slubi davatelja uslugaNAPOMENA 1 Sistem upravljanja je skup meusobno povezanih ili meu-interaktivnih elemenata sa uspostavljenom politikom i ciljevima, te postizanjem tih ciljeva.NAPOMENA 2 SMS ukljuuje sve politike upravljanja uslugama, ciljeve, planove, procese, dokumentaciju i resurse potrebne za projektiranje, tranziciju, isporuku i poboljanje usluga kroz zadovoljenje zahtjeva ISO/IEC 20000.NAPOMENA 3 Prilagoeno iz definicije "sistem upravljanja kvalitetom ISO 9000:2005" u.
service providerorganization or part of an organization that manages and delivers a service or services to the customerNOTE A customer can be internal or external to the service provider's organization.
dobavlja uslugaorganizacija ili dio organizacije koja upravlja i prua uslugu ili usluge za kupcaNAPOMENA kupac moe biti unutarnja ili vanjska organizacija davatelja usluga.
service requestrequest for information, advice, access to a service or a pre-approved change
zahtjev za serviszahtjev za informacije, savjete, pristup usluzi ili pred-odobrene promjene
service requirementneeds of the customer and the users of the service, including service level requirements, and the needs of the service provider
zahtjev uslugepotrebe kupca i korisnika usluga, ukljuujui i zahtjeve o nivou usluge, kao i potrebe davatelja usluga
-
to je standard ISO/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 36
Standard ISO/IEC 20000-1 objavljen je od strane Meunarodne organizacije za standarde (ISO) i on je certifikacijski.
Zamjenjuje standard BS 15000 i predstavlja meunarodno prihvaenu standard za upravljanje IT uslugama. Standard se veim dijelom temelji na sadraju BS 15000, ali tako posloen da odgovara i bude harmoniziran sa ostalim meunarodnim standardima.
Standard je dobro podran i oslanja se na druge dokumente ukljuujui srodan standard ISO/IEC 20000-2, koji predstavlja Kodeks prakse Upravljanja IT Uslugama sa iroko prihvaenim smjernicom IT Infrastructure Library (ITIL).
Po svojoj namjeni, ISO/IEC 2000-1 je skup zahtjeva koje se MORA ispuniti, ako se eli certificirati uspostavljeni, odravani i poboljavani sistem upravljanja uslugama.
-
Kome je namijenjen IS/IEC 20000-1?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 37
Prije svega, standard pomae organizacijama da:
steknu uvid u kvalitetu usluga koje isporuuju,
specificiraju sve procese, i
stvore sliku o tome ta bi trebalo unaprediti radi poveanja kvaliteta usluga.
Kada se govori o primjeni standarda ISO/IEC 20000, misli se prvenstveno na ispunjavanje zahtjeva danih u ISO/IEC 20000-1:2011, dok su ostali dokumenti u okviru ovog standarda smjernice namijenjene da pomognu organizaciji da se na to bolji i laki nain ispune zahtjeve.
-
Familija standarda ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 38
ISO/IEC 20000-1:2011 (Part 1: Service management system requirements) blie opisuje sistem upravljanja uslugama (SMS - Service Management System). Njime su obuhvaeni svi zahtjevi koje bi organizacija trebalo da ispuni u cilju planiranja, uspostavljanja, primjene, provoenja, nadgledanja, revidiranja, odravanja i poboljavanja Service Management sistema. Standard sadri ukupno 256 zahtjeva, podijeljenih u 6 grupa, a koji se odnose na dizajn, promjenu, isporuku u poboljanje usluga.
ISO/IEC 20000-2:2012 (Part 2: Guidance on the application of service management systems) sadri smjernice (upute) za primjenu SMS-a, na osnovu zahtjeva opisanih u ISO 20000-1. Sadri primjere i prijedloge primjene sistema, a omoguava organizacijama da na to vjerodostojniji nain interpretiraju i primjene ISO/IEC 20000-1.
ISO/IEC TR 20000-3:2009 (Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1): Odnosi se na definiranje opsega i primjenljivosti standarda ISO/IEC 20000-1 u odreenoj organizaciji. Dopunjuje dokument ISO 20000-2, koji sadri opa iskustva i moe pomoi, kako organizacijama koje posluju prema navedenom standardu, tako i organizacijama koje su zainteresirane da uvedu standard ISO/IEC 20000-1 u svoje poslovanje.
ISO/IEC TR 20000-4:2010 (Part 4: Process reference model) blie opisuje i olakava primjenu modela procjene procesa, opisanog standardom ISO/IEC 15504 (IT - Process assessment ). Model opisan ovim standardom je logian prikaz elemenata procesa u okviru upravljanja uslugama koji se mogu provoditi na osnovnom nivou. On opisuje sve procese na apstraktnom nivou, ukljuujui i procese SMS-a opisanih u ISO/IEC 20000-1 standardu.
ISO/IEC TR 20000-5:2010 (Part 5: Exemplar implementation plan for ISO/IEC 20000-1) predstavlja primjer plana implementacije, koji daje blie upute kako primijeniti SMS u cilju ispunjavanja zahtjeva opisanih ISO 20000-1 standardom. Obuhvaa savjete u vezi kojim redom bi trebalo planirati i primjeniti poboljanja.
ZAHTJEVI
Primjeri(ITIL)
Opseg
Procjena procesa
Plan implementacije
-
Koristi od primjene ISO/IEC 20000
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 39
Usuglaenost IT usluga sa poslovnim ciljevima,
Stvaranje okvira za poboljanje kvalitete usluga,
Usporedivost sa najboljima iz podruja IT usluga,
Smanjenje rizika i trokova IT usluga,
Stvaranje neophodne hijerarhije i kulture u okviru same organizacije,
Stvaranje konkurentske prednosti kroz promoviranje stabilnih i isplativih usluga,
Kreiranje stabilnog okvira koji potie automatizaciju u upravljanju uslugama.
Standard ISO/IEC 20000 prua pomo organizaciji u vidu sagledavanja i poboljanja nivoa IT usluga i demonstracije sposobnosti organizacije da ispuni sve neophodne zahtjeve korisnika. Konkretne koristi koje primjena ovog standarda moe se prikazati kroz:
-
Sistem upravljanja servisom (SMS)prema ISO/IEC 20000-1:2011
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 40
Kupci(i ostale
zainteresirane strane)
Kupci(i ostale
zainteresirane strane)
Zahtjevi za uslugom
Usluga
SMS - zahtjevi Odgovornost uprave Upravljanje procesima
drugih strana
Dokumentacija za upravljanje Upravljanje resursima Uspostava i poboljanje SMS
Projektiranje i tranzicija nove usluge ili promjena usluga
Procesi isporuka usluga Upravljanje kapacitetom Kontinuitet usluga i dostupnost Upravljanje nivoima servisa
Izvjetavanje o uslugama Upravljanje sigurnou Raunovodstvo za usluge
Kontrolni procesi Upravljanje konfiguracijom Upravljanje promjenama Upravljanje verzijama i primjena
Procesi razluivosti Upravljanje incidentima i
zahtjevima usluge Upravljanje problemima
Procesi odnosa Upravljanje poslovnim
odnosima Upravljanje dobavljaima
-
Faze implementacije ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 41
1) Imenujte tim i definirajte Vau strategijuUsvajanje sistema upravljanja mora biti strateka odluka cijele organizacije. Vano je da Vaa Uprava bude ukljuena u process. Oni odluuju o poslovnoj strategiji kojuuinkovit sistem upravljanja podrava. U dodatku, trebate odabrati tim koji e razvijati i implementirati Va sistem upravljanja.
2) Identificirajte potrebe edukacijelanovi tima koji su odgovorni za implementaciju i odravanje sistema upravljanja trebaju znati sve detalje o primjenjivom standardu. Postoji velik izbor seminara i radionicakoji su dostupni kako bi zadovoljili Vae potrebe.
3) Procijenite Vae opcije za konzultanteNeovisni konzultanti e Vas moi savjetovati oko izvedivog, objektivnog stratekog plana, sa to manje troka za implementaciju.
4) Izradite prirunik sustava upravljanjaVa prirunik sistema upravljanja treba opisivati politiku i poslovanje Vae tvrtke. Kroz prirunik, pruit ete toan opis organizacije i najbolju praksu koja je primijenjenakako bi kontinuirano ispunjavali oekivanja Vaih klijenata.
5) Izradite procedureProcedure opisuju procese Vae organizacije i najbolju praksu kako postii te procese. Ove procedure trebaju odgovoriti na slijedea pitanja za svaki proces: Zato? Tko?Kada? Gdje? to?
6) Implementirajte Va sistem upravljanjaKomunikacija i edukacija su kljuni za uspjenu implementaciju. Tokom faze implementiranja, Vaa e organizacija raditi prema ovim procedurama koje su razvijene kako bidokumentirale i demonstrirale uinkovitost sistema upravljanja.
7) Razmotrite potrebu procjene stanjaMoete odabrati da se odri procjena stanja implementiranog sistema upravljanja od strane certifikacijske kue. Njena svrha je identificiranje podruja nesukladnosti iomoguavanje da se ta podruja poprave prije nego krenete u proces akreditirane certifikacije. Dobivanje nesukladnosti znai da odreeni dio Vaeg sistema upravljanjanije usklaen sa zahtjevima norme.
-
Implementacija ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 42
1SvijestVizija i opsegProcjenaGrubi plan
2Poslovni sluajSponzor
3ProgramPlanUpravljanje programom
4ProcesUspostava sistema upravljanjaDefiniranje politika, planova, SLARazvoj procesa i proceduraMonitoringKontinuirano poboljanje
5LjudiDefiniranje i alociranje ulogaMjerenje kompetentnostiIdentificirati promjenu kulturePotrebeKomunikaciona strategija
6TehnologijaPregled postojeeg slupa alataDefiniranje zahtjeva tehnologijeRazvoj opcijaImplementacija alata
7CertifikacijaOdabira vanjskog auditoraPred-certifikacijski auditCertifikacijski auditUkazivanje na kontrole
8Mjerenje koristiOdravanjeUsklaenostProirenje opsega
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 43
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 44
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 45
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 46
-
ITSMS
Kakva je sprega ISMS i ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 47
ISMS
-
ISO/IEC 20013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 48
Smjernica za integralni implementacijuISO/IEC 27001 i ISO/IEC 20000-1
ITSMInformation technology Security techniques
Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 49
-
Prednosti integracije ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 50
Odnos izmeu informacijske sigurnosti i upravljanja uslugama je tako usko vezan da su mnoge organizacije prepoznale prednosti usvajanja oba standarda ISO/IEC 27001 za informacijsku sigurnost, i ISO/IEC 20000-1 za upravljanje uslugama.
Postoji niz prednosti u provedbi integriranog sistema upravljanja koji e uzeti u obzir ne samo usluge koje se pruaju, nego i zatitu informacija. Te prednosti se mogu postii implementacijom prvo jednog pa onda drugog sistema, ili oba standardi implementirati istodobno. Uprava i organizacijski procesi, posebno, moe izvui korist iz slinosti i zajednikih ciljeva oba standarda.
-
Kljune prednosti integracije ISMS i ITSM ukljuuju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 51
a) kredibilitet, internim i vanjskim kupcima organizacije, uinkovite i sigurne usluge;
b)nie cijene cjelovitog programa dvaju projekata, gdje se postie i upravljanje uslugama i sigurnost informacija to su dio strategije organizacije;
c) smanjenje vrijeme provedbe zbog integriranog razvoja zajednikih procesa oba standarda;
d)eliminacija nepotrebnih dupliciranja;
e)vee razumijevanje meusobnih stavova od strane menadmenta usluga i sigurnosnog osoblja;
f) organizacija certificirana za ISO/IEC 27001 e lake ispuniti zahtjeve za informacijsku sigurnost u ISO/IEC 20000-1:2011.
-
Podruje primjene standarda ISO/IEC 27013:2012
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 52
a) implementirati ISO/IEC 27001, kada je ISO/IEC 20000-1 ve implementiran, ili obrnuto;
b) provoditi implementaciju istodobno po ISO/IEC 27001 i ISO/IEC 20000-1;c) integrirati postojee ISO/IEC 27001 i ISO/IEC 20000-1 sisteme upravljanja.
Ovaj Meunarodni standard fokusira se iskljuivo na integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1.
U praksi, ISO/IEC 27001 i ISO/IEC 20000-1 mogu biti integrirani s ostalim sistemima upravljanja, kao to su npr. ISO 9001 i ISO 14001, itd.
Ovaj meunarodni standard daje smjernice za integriranu provedbu ISO/IEC 27001 i ISO/IEC 20000-1, za one organizacije koje se namjeravaju bilo:
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 53
KONCEPT ISO/IEC 27001
ISO/IEC 27001 prua model za uspostavljanje, implementaciju,upravljanje, nadzor, pregled, odravanje i usavravanje ISMS ucilju zatite informacijske imovine. Informacijska imovinaobuhvaa informacije u bilo kojem obliku, pohranjene u bilokojem obliku, a koristi se za bilo koju svrhu, od strane ili okruenjuorganizacije.Da bi se postigla sukladnost s ISO/IEC 27001, organizacija trebaimplementirati ISMS koji se temelji na procesu procjene rizikakako bi identificirala rizike za informacijsku imovinu. Kao dio ovogposla, organizacija treba odabrati, implementirati, nadzirati ipregledati razne mjere za upravljanje tim rizicima. Ove mjere supoznate kao kontrole. Organizacija mora odrediti prihvatljiverazine rizika, uzimajui u obzir poslovne zahtjeve i definiranezahtjeve. Primjeri definiranih zahtjeva su zakonski i regulatornizahtjevi ili ugovorne obveze.ISO/IEC 27001 mogu koristiti bilo koje vrste i veliine organizacije.
KONCEPT ISO/IEC 20000-1
ISO/IEC 20000-1 moe biti koriten od strane organizacija, ili dijelovaorganizacije, koje koriste ili pruaju usluge. To dodaje vrijednost i zakupca i davatelja usluga. Meutim, svi procesi obuhvaenistandardom su kontrolirani od strane davatelja usluga, i on je jedinikoji moe postii sukladnost s ISO/IEC 20000-1. Standard seprvenstveno bavi osiguranjem da usluge ispunjavaju uvjete usluga iosiguravaju vrijednost i za kupca i davatelja usluga.Upravljanje uslugama usmjerava i nadzire aktivnosti i sredstvadavatelja usluge u dizajnu, razvoju, tranziciji, isporuci i poboljanjuusluga u cilju da ispuni zahtjeve usluga u dogovoru sa svojim kupcima.Da bi se ispunili zahtjevi standarda, davatelj usluga bi morao provestiniz odreenih procesa. To su procesi, kao npr.: upravljanjeincidentima, upravljanje promjenama i upravljanje problema, itd.Upravljanje sigurnou je jedan procesa u ISO/IEC 20000-1.
ISO/IEC 20000-1 moe se koristiti bilo koje vrste i veliine organizacije.
-
Usporedba koncepata ISO/IEC 27001 i ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 54
Specifino zaISO/IEC 27001
Klasifikacija informacijske imovine
Upravljanje informacijskom Imovinom
Dijeljeni dijelovi (djelomino su isti, djelomino se razlikuju)
Specifino zaISO/IEC 20000-1
Budetiranje i voenje trokova usluga
Upravljanje poslovnim odnosima
Dizajn i tranzicija novih i izmijenjenih usluga
Upravljanje nivoom usluge
Upravljanje kapacitetomUpravljanje promjenamaUpravljanje
konfiguracijomUpravljanje
dokumentimaUpravljanje incidentimaUpravljanje problemimaUpravljanje razvojem i
verzijama
Upravljanje resursimaUpravljanje rizikomOdgovornosti i ovlatenjaUpravljanje sigurnouUpravljanje
kontinuitetom poslovanja
Upravljanje podugovaraima
Zajedniki dijelovi (identini za obadva standarda)
Kontinuirano poboljavanje Zakonska i regulativna usuglaenost Preispitivanje od strane rukovodstva
PDCA Trening i svijest Upravljanje dokumentima
ISO/IEC 27001 ISO/IEC 20000-1
ORGANIZACIJAFokus na informacijsku
imovinuFokus na uslugu
-
Odnos izmeu informacijske imovine u ISO/IEC 27001 i konfiguracijskog elementa (CI) u ISO/IEC 20000-1
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 55
Informacijska imovina
Informacijska imovina koja se ne koristi u
okviru SM
CI
CI koji nisu dio informacijske
imovine
Informacijska imovina koja
je CI
CI = Configuration Item element koji treba biti kontroliran vezano za isporuku usluge ili usluga
-
Ilustracija odnosa standarda i upravljanja incidentima
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 56
ISO/IEC 27001 Upravljanje incidentima
ISO/IEC 20000-1 Upravljanje incidentima
Incidenti uvjetovani servisom i sigurnou
Trebaju li dva sistema upravljanja incidentima?
Trebaju li dva Help-deska za evidenciju incidenata?
-
Integracija procesa sigurnosti u organizaciju
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 57
CSO - Chief Security Officer je najvia izvrna korporacijska funkcija odgovorna vrhovnoj upravi za sigurnost. CSO jedirektno odgovoran za identifikaciju, razvoj, implementaciju i odravanje procesa sigurnosti kroz postupke smanjivanja rizika,odgovore na incidente, smanjenje izloenosti svim oblicima rizika, uspostavu politike i procedura sigurnosti.
Top
menadmentCSO
Odbor za
sigurnost
Po definiciji lanovi su: Menaderi ISMS, ITSM, QMS, OHSAS, ... Predstavnici nekih od zainteresiranih strana Vanjski suradnici - konzultanti
Vanjski suradnici specijalisti sa iskustvom
Tim za
procjenu rizika
Sektor 1 Sektor 2 Sektor n
-
Kako do kvalitetnog ISMS & ITSM ?
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 58
Postani i ostani kompetentan
Izbori se za budet
Izbori se za podrku uprave
Upravljaj sa IS
(C-I-A)
Isporuuj ugovorenu
uslugu (SLA)
Analiziraj postignute rezultate
Predloi poboljanje
-
Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (1/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 59
-
Povezanost ISO/IEC 27001:2005 i ISO/IEC 20000-1:2011 (2/2)
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 60
-
Primjer usporedbe definicije pojmova u ISMS i ITSM
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 61
-
Dr. Zdenko Adelsberger ISO 20000 i ISO 27001 integracija za bolji IT 62