Home > Articole ISO > 5 metode de a evita povara implementarii ISO 27001

5 metode de a evita povara implementarii ISO 27001 si de a pastra costurile reduse

Probabil ca exista doua idei principale pe care le iau in calcul managerii atunci cand demareaza implementarea standardului ISO 27001: (1) vom cheltui o multime de bani pentru ceva despre care nici nu suntem siguri ca merita; si (2) neplacerea de a mentine un astfel de sistem ne va costa inca si mai mult.

Da, ISO 27001 necesita intr-adevar o investitie, insa s-a dovedit ca aceasta investitie se amortizeaza foarte repede. Problema mai mare este insa aceasta: cum sa fie reduse la minim costurile legate de functionarea unui astfel de sistem, in special intervalul impus angajatilor care trebuie sa “piarda timpul ocupandu-se de toata aceasta documentatie.”

Este adevarat ca, adesea, o documentatie foarte stufoasa sau una necorespunzatoare constituie o problema – pur si simplu dureaza prea mult timp pentru a o respecta (si a o mentine), fara a aduce beneficii evidente. Prin urmare, iata 5 principii simple pe care ar trebui sa le aveti in vedere atunci cand va dezvoltati sistemul de management al securitatii informatiei (SMSI) :

Nu fiti prea ambitiosi

Practic, creati numai documentele de care chiar aveti nevoie – daca sunteti o companie de 10 angajati, nu este plauzibil sa aveti nevoie de o descriere in scris a procedurii de functionare a unui comitet de securitate.
Cum ati putea sa stiti de ce documente aveti nevoie cu adevarat? Ar trebui sa incepeti cu clauza 4.3.1 a standardului ISO 27001, unde sunt listate documentele obligatorii; acestea se adauga la documentele cerute de alte parti interesate (legislatie, acorduri cu clientii si cu partenerii etc.), si la zonele care sunt foarte complexe sau foarte riscante – acestea necesita, de obicei, politici sau proceduri care sa defineasca regulile de functionare.
Concluzia este ca scopul documentatiei este de a-i servi companiei, de a descrie procesele pentru angajati – si nu de a satisface cerintele auditorului care acorda certificarea.

Documentatia ISO 27001 ar trebui sa fie scrisa de cei care o vor folosi

Nu numai ca trebuie sa evitati documentele inutile, ci trebuie sa evitati si continutul inutil in documentele care se cer. Foarte des, consultantii sau expertii in securitate inghesuie prea mult text intr-un document care ar putea sa fie mult mai scurt (si mai usor de respectat).

Cel mai bine ar fi ca documentele sa fie scrise de angajatii care utilizeaza aceste documente in operatiunile cotidiene – ei se vor asigura ca sunt inlaturate toate pasajele nerealiste, pentru ca altfel si-ar ingreuna singuri indeplinirea sarcinilor.

Asigurati-va de implicarea angajatilor inca de la inceput

Daca angajatii sunt nemultumiti si nu isi pot indeplini sarcinile in mod eficient, ei vor incepe sa evite respectarea documentelor ISO, ceea ce va contribui la un consens general privind “inutilitatea unor astfel de documente.”

Pentru a evita un astfel de deznodamant, pe langa includerea angajatilor in intocmirea documentelor, este important si sa oferiti programe de formare si de sensibilizare – astfel de programe ar trebui sa fie organizate in paralel cu implementarea documentelor si a masurilor de control, deoarece odata ce acestea sunt implementate (fara o pregatire adecvata), tendinta ar putea fi deja una gresita.

Mentineti documentatia ISO 27001

Ati incercat vreodata sa observati o procedura invechita? Este o experienta consumatoare de timp si inutila. Pentru a nu ajunge acolo, trebuie sa va asigurati ca documentatia dvs. este actualizata – pentru a face acest lucru, trebuie sa tineti cont de urmatoarele elemente: (1) fiecare document ar trebui sa aiba un detinator care sa verifice periodic daca este nevoie de actualizari; (2) auditurile interne regulate si minutioase ar trebui sa descopere neregulile din documente; si (3) ar trebui sa fie implementate eficient masuri corective si preventive, astfel incat toate neconformitatile sa fie eliminate in mod continuu.

Masurati daca ati obtinut rezultatele scontate odata cu implementarea ISO 27001

Masurarea eficacitatii securitatii informatiei este considerata inca a fi ceva aproape mistic; mai presus de toate, este considerata a fi o povara.

Insa daca nu puteti sa dovediti ca securitatea informatiei are sens, atunci ea va fi mereu perceputa ca o suprasarcina. Astfel incat are sens sa va fixati cateva obiective clare (nu trebuie sa fie numeroase) si sa verificati ocazional daca le-ati atins sau nu. Astfel de verificari ar trebui sa nu va rapeasca prea mult timp si ii vor demonstra conducerii daca investitia in implementarea standardului ISO 27001 a avut sens. Si daca a avut, conducerea va depune un efort si mai mare pentru a sprijini mentinerea certificarii.

› 5 metode de a evita povara implementarii ISO 27001