Seria ISO jest rozbudowanym zbiorem norm dotyczących zarządzania i zapewnienia jakości, wprowadzonych w 1987 r. przez Międzynarodową Organizację Normalizacyjną (ISO). Normy te charakteryzuje podejście jakościowe z modelem ciągłego doskonalenia – cyklem Deminga (Plan-Do-Check-Act). Wdrożenie systemu ISO/IEC 27001 oraz ISO/IEC 20000 zapewnia wysokie bezpieczeństwo i jakość usług IT. Posiadanie certyfikatu ISO stanowi coraz ważniejsze kryterium wyboru dostawcy usług IT.

ISO/IEC 20000

Norma ISO/IEC 20000 – Systemy Zarządzania Usługami Informatycznymi wprowadza podejście procesowe do zarządzania usługami IT, co przekłada się bezpośrednio na jakość i bezpieczeństwo świadczonych usług.

Norma ISO/IEC 20000 opiera się na brytyjskim standardzie BS 15000 oraz jest blisko związana z metodyką ITIL (IT Infrastructure Library). Standard można nabyć w Polskim Komitecie Normalizacyjnym, który jest członkiem założycielem ISO.

Norma ta składa się z dwóch części: ISO/IEC 20000-1:2005 oraz ISO/IEC 20000-2:2005. Pierwsza przedstawia wymagania, które system zarządzania musi spełnić, aby mógł być potwierdzony certyfikatem zgodności z normą. Druga część zawiera wytyczne i wskazuje, co należy zrobić, aby sprostać przedstawionym wymaganiom.

Obszary, którymi zajmuje się ISO 20000, to w szczególności:

  • Zarządzanie poziomem. Ogół działań związanych z zapewnianiem gwarantowanego poziomu usług, począwszy od negocjacji umów SLA, poprzez ich realizację, na odpowiednim rozliczaniu skończywszy.
  • Zarządzanie dostępnością i ciągłością działania. Opracowanie strategii ciągłości działania (Business Continuity Management – BCM) oraz odpowiednich Planów Ciągłości Działania (PCD) jest podstawą zapewnienia ciągłości świadczonych usług. Należy także zapewnić poprzez odpowiednie opomiarowanie procesów, że uzgodnione zapisy SLA są realizowane (np. poprzez wskaźniki niezawodności, czasu reakcji, czasu odpowiedzi z help desku czy wykonanie budżetu).
  • Zarządzanie finansami. Kluczowy element dla stabilności działania IT, bezpośrednio związany z pozostałymi procesami, a w szczególności z zarządzaniem poziomem usług oraz planowaniem wydajności.
  • Zarządzanie pojemnością. Odpowiednie zarządzanie wydajnością, w tym także planowanie zasobów na kolejne okresy rozliczeniowe, ma istotne znaczenie dla ciągłości działania świadczonych usług – dlatego ważne jest, aby proces ten uwzględniał zapisy SLA, a także elementy związane z planowaniem wydatków.
  • Zarządzanie bezpieczeństwem informacji. Zapewnienie bezpieczeństwa nie kończy się na wdrożeniu zabezpieczeń technicznych – równie ważna jest formalna analiza ryzyka i określenie najpoważniejszych zagrożeń dla bezpieczeństwa świadczonych usług i przetwarzanych danych.
  • Współpraca z użytkownikami. Zadania realizowane przez help desk mają istotne znaczenie dla dostarczania usług IT, stąd ważne, by proces ten został odpowiednio zorganizowany i realizowany.
  • Zarządzanie incydentami. Sposób postępowania w sytuacjach wystąpienia błędów jest jednym z głównych zadań realizowanych przez dział help desk – z punktu widzenia jakości i bezpieczeństwa usług ważne, by reakcja ta była szybka i skuteczna.
  • Zarządzanie problemami. Zarządzanie wiedzą o przyczynach i metodach rozwiązania problemów ma znaczenie dla minimalizacji prawdopodobieństwa ich powtórzenia.
  • Zarządzanie konfiguracją. Konfiguracja to nie tylko sprzęt, lecz także oprogramowanie, dokumentacja oraz personel, a przede wszystkim wiedza o interakcji tych elementów.

ISO/IEC 27001

Norma ISO/IEC 27001 – System Zarządzania Bezpieczeństwem Informacji obejmuje całość zagadnień związanych z ochroną tworzonych, przechowywanych i przetwarzanych w firmie informacji. Norma ISO/IEC 27001 opracowana przez Międzynarodową Organizację Normalizacyjną opiera się na brytyjskim standardzie BS 7799. Standard można zakupić w Polskim Komitecie Normalizacyjnym.

Norma ta jest światowym standardem i na jej podstawie prowadzona jest certyfikacja Systemów Zarządzania Bezpieczeństwem Informacji. Jej zalecenia nie odnoszą się do określonej platformy technologicznej, co umożliwia ich uniwersalne zastosowanie. Dodatkową zaletą jest jej dostępność po polsku.

Norma ISO 27001 proponuje zastosowanie podejścia procesowego do ustanowienia, wdrożenia, eksploatacji, monitorowania, utrzymania i poprawy efektywności SZBI.

Podejście procesowe zwraca uwagę na szczególne znaczenie:

  • zrozumienia biznesowych wymagań bezpieczeństwa informacji oraz potrzeby ustanowienia zasad i celów bezpieczeństwa informacji;
  • wdrażanych i eksploatowanych zabezpieczeń w kontekście kompleksowego zarządzania ryzykiem w organizacji;
  • monitorowania i przeglądu wydajności oraz skuteczności systemu zarządzania bezpieczeństwem informacji;
  • ciągłego doskonalenia w oparciu o obiektywny pomiar.

Norma  ISO 27001 została stworzona tak, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z wymaganiami powiązanych systemów zarządzania jakością, środowiskiem, bezpieczeństwem pracy.

Wymagania normy ISO 27001 dotyczą ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia udokumentowanego SZBI w całościowym kontekście ryzyk biznesowych.

W skład normy wchodzą część podstawowa oraz załączniki. Część podstawowa definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami i przeglądami SZBI oraz ciągłym doskonaleniem SZBI.

Wszystkie wymagania zdefiniowane w części podstawowej muszą być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka. Kluczowym elementem normy jest załącznik A, który definiuje 11 obszarów bezpieczeństwa:

  • A.5 Polityka bezpieczeństwa. Zdefiniowanie kierunków działania i wsparcie dla kierownictwa  zgodnie z wymaganiami biznesowymi i stosownym prawem i przepisami.
  • A.6 Organizacja bezpieczeństwa informacji. Kierowanie bezpieczeństwem informacji w organizacji.
  • A.7 Zarządzanie aktywami. Osiągnięcie i utrzymanie stosownego poziomu ochrony aktywów w organizacji.
  • A.8 Bezpieczeństwo zasobów ludzkich. Zapewnienie, że pracownicy, wykonawcy oraz użytkownicy trzeciej strony rozumieją swoje obowiązki i są one odpowiednie dla ról, dla których są przewidziani.
  • A.9 Bezpieczeństwo fizyczne i środowiskowe. Ochrona przed nieautoryzowanym fizycznym dostępem, uszkodzeniem informacji należących do organizacji.
  • A.10 Zarządzanie systemami i sieciami. Zapewnienie prawidłowego i bezpiecznego działania urządzeń do przetwarzania informacji.
  • A.11 Kontrola dostępu. Zdefiniowanie kontroli dostępu do systemu.
  • A.12 Pozyskiwanie, rozwój i utrzymanie systemów IT. Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych.
  • A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji. Zapewnienie skutecznego podejścia do zarządzania incydentami związanymi z bezpieczeństwem informacji.
  • A.14 Zarządzanie ciągłością działania. Przeciwdziałanie zakłóceniom w działaniach biznesowych i ochrona krytycznych procesów biznesowych przed skutkami poważnych awarii systemów IT lub katastrof.
  • A.15 Zgodność. Unikanie naruszeń wszelkich obowiązków prawnych, statutowych, normatywnych lub umownych i wszelkich wymogów dotyczących bezpieczeństwa.

Najlepsze praktyki ITIL

ITIL (IT Infrastructure Library) to kodeks postępowania dla działów informatyki. To zbiór dobrych praktyk, jak efektywnie i skutecznie oferować usługi informatyczne. ITIL jest zarejestrowanym znakiem towarowym OGC (Office of Government Commerce).

ITIL to zbiór dobrych praktyk dla działów IT, jak efektywnie i skutecznie oferować usługi informatyczne

  • Strategia usług. Strategia zarządzania i planowania usług, integracja usług IT z potrzebami biznesowymi, wdrażanie strategii świadczenia usług.
  • Tworzenie usług. Projektowanie usług, model budowy usług, modele kosztów, pomiary, monitorowanie i weryfikacja usług.
  • Wdrażanie usług. Zarządzanie zmianami w organizacji, zarządzanie wiedzą.
  • Utrzymywanie usług. Zarządzanie aplikacjami, zmianami, operacjami.
  • Ciągłe doskonalenie usług. Doskonalenie procesów, ulepszenia biznesowe.
  • Wdrożenie tego standardu w dziale IT może stanowić podstawę certyfikacji na zgodność z normą ISO/IEC 20000.

Certyfikacja

Certyfikat ISO jest potwierdzeniem stosowania światowych norm w zakresie zarządzania bezpieczeństwem informacji lub zarządzania usługami IT.

Wdrożenia SZBI

BCC (aktualnie All for One Poland) oferuje usługi wdrożenia SZBI, wspierając klientów w budowie Planów Ciągłości Działania (Business Continuity Plans). Adresatem usługi są duże firmy i organizacje, posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT. W ramach usługi BCC wspiera Klientów w przygotowaniu i wdrożeniu procesów zarządzania infrastrukturą IT, zgodnych z zaleceniami ITIL oraz wymaganiami norm ISO/IEC 27001 i ISO/IEC 20000. Dzięki stosowaniu tych standardów firmy minimalizują ryzyko związane z niesprawnością lub niedostępnością systemów i usług informatycznych, co przekłada się na wzrost bezpieczeństwa prowadzenia biznesu. Tym samym, wdrożenie SZBI wpisuje się w koncepcję BCM (Business Continuity Management – zarządzanie ciągłością działania). Oferta powstała m.in. w oparciu o funkcjonujące w centrum outsourcingowym BCC standardy zarządzania bezpieczeństwem informacji. BCC było jedną z pierwszych firm w kraju, które wdrożyły SZBI potwierdzony międzynarodowym certyfikatem ISO/IEC 27001.

Certyfikacji podlegają takie standardy jak ISO/IEC 27001 oraz ISO/IEC 20000. Obecna tendencja na rynku usług SAP skłania firmy do wybierania dostawców, którzy posiadają uznany system zarządzania bezpieczeństwem informacji ISO/IEC 27001 i zarządzania usługami IT ISO/IEC 20000. Uprawnienie do wykonywania audytów i przyznawania certyfikatów mają akredytowane jednostki certyfikujące. Posiadanie certyfikatu wydanego przez akredytowaną jednostkę daje gwarancję niezależnego potwierdzenia wdrożenia określonych wymagań i dzięki temu przyczynia się do zwiększenia zadowolenia i zaufania klientów. Potwierdza też wizerunek bezpiecznego i wiarygodnego partnera IT, pewniejsze działanie w sytuacjach krytycznych dla biznesu.