Kiek laiko užtrunka informacijos saugumo valdymo sistemos diegimas pagal ISO 27001 standarto reikalavimus?

Nėra vieno visoms organizacijoms tinkančio atsakymo, nes informacijos saugumo valdymo sistemos diegimas yra laiko reikalaujantis pokytis, priklausantis nuo organizacijos dydžio, vidinės kultūros, vadovybės palaikymo ir informacijos saugumo brandos lygio. Informacijos saugumo reikalavimų parengimas, procesų įdiegimas ir reikalingų veiklų atlikimas gali užtrukti nuo 6 mėnesių iki vienerių metų. Tuomet būtų galima siekti atitikties ISO 27001 standartui sertifikato ir kviesti auditorius.

Tačiau reiktų atminti, kad net ir įdiegus bei sertifikavus informacijos saugumo valdymo sistemą, reikia skirti laiko, pastangų ir išteklių šios sistemos palaikymui. Nes neprižiūrimi procesai ir veiklos yra linkę „numirti“, o pakartotinio audito metu tai tikrai bus pastebėta.
Jei turite daugiau klausimų šia tema, klauskite specialisto.

Į viršų

Ar galima organizacijoje užtikrinti deramą informacijos saugumą, neįsidiegus informacijos saugumo vadybos sistemos pagal ISO 27001 standarto reikalavimus?

Be abejo galima išsiversti ir be informacijos saugumo valdymo sistemos diegimo. Informacijos saugumo standartai (taip pat ir ISO 27001) tik rekomenduoja, kaip tinkamai valdyti informacijos saugumą. Deramą informacijos saugumą galima užtikrinti ir kokybės vadybos sistemos rėmuose, vadovaujantis taikytinais teisės aktais arba pačios organizacijos sukurtomis taisyklėmis. Svarbiausia išsiaiškinti, ką ir nuo ko norime apsaugoti, o tada parinkti, įdiegti ir tinkamai prižiūrėti apsaugos priemones.

Kita vertus, į standartus (pvz., ISO 27000 seriją) galima žvelgti kaip į siektiną informacijos saugumo „maksimumą“.

Jei turite daugiau klausimų šia tema, klauskite specialisto.

Į viršų

Kam yra reikalingas informacijos saugumo rizikos vertinimas?

Bet kokiai veiklai reikalingi ištekliai (žmonės ir pinigai) yra riboti. Ne išimtis ir informacijos saugumas. Todėl yra tikslinga ant svarstyklių lėkštelių padėti du aspektus. Pirma, įvertinti informacijos ir ją apdorojančių sistemų svarbą organizacijai bei galimas grėsmes. Antra, įvertinti organizacijos galimybes įsigyti, įdiegti ir tinkamai prižiūrėti technines ir organizacines apsaugos priemones. Tada pagrindinį dėmesį ir išteklius skirti svarbiausioms informacinėms vertybėms ir grėsmių bei pažeidžiamumų sumažinimui.

Rizikos vertinimas suteikia galimybę apjungti informacinių vertybių svarbą ir grėsmių tikimybes, nustatyti rizikų ir diegtinų apsaugos priemonių prioritetus, atsižvelgiant į organizacijai priimtiną rizikos lygį ir turimus išteklius.

Kita vertus, rizikos vertinimas yra tam tikra dialogo tarp informacinių sistemų naudotojų ir IT specialistų forma. Naudotojai nurodo informacijos ir informacinių sistemų svarbą organizacijai, o IT specialistai – grėsmes ir jų tikimybes. Taip yra išvengiama vieno darbuotojo sudarytos subjektyvios nuomonės apie riziką ir apsaugos priemonių prioritetus, o vadovybei yra pateikiamas aiškus saugumui reikalingų išteklių pagrindimas.

Jei turite daugiau klausimų šia tema, klauskite specialisto.

Į viršų

Kodėl svarbu, kad paslaugų tarnybos darbuotojai turėtų reikiamą kompetenciją?

Jei organizacija ar IT padalinys nusprendžia įkurti Paslaugų tarnybą (angl. Help Desk), dažnai pasitaiko, jog joje įsidarbina specialistai, anksčiau nedirbę tokio darbo. Tai tampa iššūkiu ir patiems paslaugų tarnybos darbuotojams, ir organizacinio pokyčio diegėjams.

Užuot stebėjus, kaip Paslaugų tarnyba pagerino IT paslaugų teikimą, gali tekti pripažinti atvirkštinius rezultatus. IT paslaugų gavėjai vengia kreiptis į Paslaugų tarnybą, nes:

Atarnavimo kultūra nepagerėjusi: nesistengiama išklausyti, padėti, nesuteikiama reikiama informacija, į praėjusius užklausų sprendimo terminus žiūrima abejingai;
Su paslaugų tarnybos darbuotojais nepavyksta susikalbėti, spręsti užklausas perduodama visai ne tiems IT specialistams, taigi – tik gaištamas laikas;
Pasikreipus tiesiai į IT specialistą, gali tikėtis gauti sprendimą iš karto, o jei paskambinsi į Paslaugų tarnybą, greitos pagalbos vargu ar sulauksi.
Tuo tarpu, įkūrus Paslaugų tarnybą, vieningą IT paslaugų gavėjų kreipimosi tašką, ji, tikrąja to žodžio prasme, ima reprezentuoti IT paslaugų teikėją. Būtent nuo skambučio į Paslaugų tarnybą, sėkmingo savitarpio supratimo, sugebėjimo išklausyti ir padėti bei laiku pašalinti problemas, priklauso IT paslaugų gavėjų pasitenkinimas. Siekiant gauti Paslaugų tarnybos naudas, paslaugų tarnybos darbuotojas turi:

Būti tarpininku tarp IT ir IT paslaugų gavėjų;
Sugebėti ne tik perduoti problemą, bet ir vietoje, greitai suteikti pirmąją pagalbą;
Mokėti profesionaliai bendrauti (būti gerais psichologais, suvaldyti konfliktines situacijas);
Mokėti siekti tikslo, atstovaujant IT paslaugų gavėjo interesus, t.y. siekti, kad jo problemos būtų nepamestos, nepamirštos, o išspręstos laiku.
Darbuotojams, pirmą kartą stojusiems už Paslaugų tarnybos vairo, gali padėti specialios „Blue Consultancy“ IT paslaugų valdymo konsultantų diegiamos programinės įrangos priemonės, pvz.: „sufleriai“, specialistų matrica, automatiniai paskyrimai. O taip pat išsamūs mokymai, padedantys darbuotojams praktiškai įsisavinti kasdienes veiklas ir pradėti darbuotis naujoje srityje, pasitikint savimi ir be streso.

Jei turite daugiau klausimų šia tema, klauskite specialisto.

Į viršų

Manau, kad mūsų IT skyriaus rezultatai yra puikūs, tačiau vadovybė nėra patenkinta IT darbu. Ką patartumėte daryti?

Įmonės IT padalinys greitai šalina gedimus, skyriuje vyrauja puiki atmosfera, nustatytiems tikslams pasiekti darbuotojai neatlygintinai pasilieka po darbo, dirba ir savaitgaliais. IT vadovas ir jo komanda mano, jog visos šios pastangos yra puikaus darbo įrodymas. Tačiau, kuomet ateina laikas peržiūrėti IT rezultatus, jis staiga sužino, jog visai ne to tikėtasi, kad dėl IT įmonė praranda konkurencines pozicijas, nes negali pirmieji pasiūlyti naujovių rinkai, taip pat susilaukia priekaištų dėl didelio kiekio nepatenkintų IT sistemų naudotojų ir nesibaigiančių poreikių informacinėms technologijoms.

Tikrai, tenka pripažinti, jog dažnai negalime parodyti vadovybei, įmonių savininkams ar auditoriams, kokį puikų darbą atliekame. Negalime, nes tai nėra taip paprasta. Didžiausias iššūkis – turėti pagrindžiančius, objektyvius įrodymus. Tuo tarpu pasiteiravus IT vadovų apie jų geriausiai ir blogiausiai teikiamą IT paslaugą, vidutinį pašalinamų gedimų skaičių, gautų nusiskundimų skaičių, labai retai gaunamas pagrįstas atsakymas.

Kokie turėtų būti pirmieji žingsniai? Blue Consultancy IT paslaugų valdymo konsultantai pataria:

1 žingsnis. Paslaugų katalogas – įvardinkite IT skyriaus teikiamas paslaugas. Ilgainiui jų pavadinimai taps pagrindinėmis naudojamomis sąvokos, bendraujant IT ir veiklos padaliniams.

2 žingsnis. Paslaugų lygių susitarimai (angl. – Service Level Agreement – SLA) – susitarkite su organizacijos vadovais dėl paslaugų teikimo reikalavimų. Apsibrėžkite išmatuojamus įsipareigojimus, pvz., gedimų šalinimo trukmę.

3 žingsnis. Paslaugų tarnyba – pagerinkite aptarnavimo kokybę. Kad ir kokie IT guru yra jūsų specialistai, IT paslaugų naudotojai neįvertins jų pastangų, jei negalės su jais susikalbėti žmogiška kalba. Kolegų problemos bus pamirštamos ar pametamos, norint prisišaukti IT specialistą, pačiam reikės pasidarbuoti prie telefono ragelio. Plačiau apie paslaugų tarnybos darbuotojų kompetencijos svarbą skaitykite čia.

4 žingsnis. Registracija – pradėkite kaupti duomenis, t.y. objektyvius IT darbo rezultatų įrodymus, kurie atspindėtų išmatuojamus įsipareigojimus, apibrėžtus paslaugų lygių susitarimuose. Duomenys bus korektiški ir lengvai surenkami, jei darbuotojai dirbs pagal procese apibrėžtą tvarką.

5 žingsnis. Ataskaitos – kas mėnesį pateikite vadovybei ataskaitas su pasiektais išmatuotais rezultatais. Jei įsipareigojimai įvykdyti, yra pagrindas teigti, jog IT dirba gerai!

Savo klientams padedame perorganizuoti IT valdymą, todėl žinome, su kokiais sunkumais galima susidurti: nelengva suderinti nuomones ir apsibrėžti įsipareigojimus su veiklos padalinių atstovais, reikia apmokyti darbuotojus, kurie galėtų dirbti paslaugų tarnyboje, įdiegta paslaugų valdymo sistema neskaičiuoja reikiamų rodiklių, todėl ataskaitas tenka ruošti rankomis, neveikia paslaugų valdymo procesas arba pati reorganizacija užtrunka ilgiau nei numatyta ir pareikalauja daugiau pastangų nei tikėtasi. Tačiau į klausimą, ar verta tai daryti, atsakytume, kad – taip, nes manome, jei IT vadovas negali pademonstruoti, kad jo skyrius dirba puikiai, tai kas tuomet gali.

Jei turite daugiau klausimų šia tema, klauskite specialisto.

Į viršų

Užklausa išsiųsta.
Netrukus susisieksime