ISO 27001 standarto įgyvendinimas vienoje organizacijoje yra sudėtingas uždavinys. Jo taikymo išplėtimas į kelias vietoves, dukterines įmones ar jurisdikcijas sukelia iš esmės kitokio lygio sudėtingumą.

Rizikos lygis skiriasi priklausomai nuo vietovės. Teisinė aplinka skirtingose jurisdikcijose yra nevienoda. Kontrolės funkcijos paskirstomos tarp komandų, geografinių regionų ir organizacinių struktūrų. Technologinė aplinka skiriasi, nes kiekvienas subjektas plėtoja savo infrastruktūrą, debesų paslaugas ir priklausomybę nuo trečiųjų šalių.

Jei nėra struktūrinio suderinimo, informacijos saugumo valdymo sistema (ISMS) tampa suskaidyta.

Tai, kas prasideda kaip viena centralizuota informacijos saugumo programa, palaipsniui virsta daugybe skirtingų jos interpretacijų vietos lygmeniu. Kiekviena organizacija užtikrina techninį atitikimą reikalavimams. Tuo tarpu visos įmonės mastu saugumo valdymas po tyliai blogėja.

Suprasti, kodėl taip atsitinka ir ko reikia, kad to būtų išvengta, tampa vis svarbiau, nes organizacijos auga vykdydamos įsigijimus, plėsdamos veiklą tarptautiniu mastu ir didindamos veiklos sudėtingumą.

Daugiavietės valdymo problema

Daugelis valdymo sričių gali būti pakankamai gerai pritaikytos prie vietos sąlygų. Pavyzdžiui, aplinkosaugos valdymo programos gali atspindėti konkrečiai vietai būdingas veiklos sąlygas, tuo pačiu iš esmės atitinkant bendrus įmonės lygmens reikalavimus. Fizinio saugumo programos gali būti pritaikytos prie vietinių teisinių reikalavimų, nesukeliant esminių valdymo nenuoseklumų.

Informacinio saugumo negalima veiksmingai valdyti tokiu pačiu būdu.

Priežastis yra struktūrinė. Šiuolaikines informacinio saugumo aplinkas apibūdina tarpusavio priklausomybė, o ne nepriklausomybė. Debesų paslaugos veikia peržengdamos organizacijų ribas. Bendrai naudojama infrastruktūra sujungia subjektus, kurie gali būti geografiškai ir veiklos požiūriu skirtingi. Tarpvalstybiniai duomenų srautai sukuria reguliavimo įsipareigojimus, apimančius kelias jurisdikcijas vienu metu. Vieno subjekto aplinkoje esanti pažeidžiamybė per kelias valandas gali sukelti grėsmę visai įmonei.

Ši tarpusavio priklausomybė reiškia, kad vieno padalinio vietos valdymo sprendimai turi pasekmių visos įmonės saugumui. Kai kiekviena įmonė tvarko atskirus rizikos registrus, organizacija negali nustatyti tarpįmonių rizikos modelių, kol jie nepasireiškia kaip incidentai. Kai kontrolės bibliotekos skirtingose vietovėse skiriasi, įmonės saugumo būklė tampa nenuosekli, o tai lieka nepastebima centrinei vadovybei. Kai audito ciklai vyksta nepriklausomai skirtingose įmonėse, organizacija kaupia atitikties įrodymus, tačiau praranda galimybę įvertinti sisteminį saugumo veiksmingumą visoje savo veiklos teritorijoje.

Todėl kelių padalinių valdymas nėra vien tik koordinavimo uždavinys. Tai yra struktūrinės architektūros problema. Organizacijos, kurios ją išsprendžia, tai daro nuo pat pradžių kurdamos savo informacijos saugumo valdymo sistemą (ISMS) taip, kad būtų užtikrintas visos įmonės nuoseklumas, o ne bandydamos retrospektyviai suderinti nepriklausomai susiformavusias vietines programas.

Valdymas centriniu lygmeniu, įgyvendinimas vietos lygmeniu

Valdymo modelis, kuris veiksmingiausiai padeda įveikti su ISO 27001 standartą taikančių kelių padalinių sudėtingumą, yra tas, kuris grindžiamas aiškiu atskyrimu tarp to, kas turi būti vienoda visoje įmonėje, ir to, kas gali teisėtai skirtis skirtingose vietovėse.

Centrinė valdymo struktūra nustato elementus, dėl kurių negalima derėtis. Rizikos vertinimo metodikos turi atitikti vieną nuoseklų modelį visose įmonėse, kad rizikos lygiai būtų palyginami ir galėtų būti sujungti į bendrą visos įmonės vaizdą. Kontrolės veiksmingumo stebėsena turi būti organizuota centralizuotai, kad vadovybė galėtų įvertinti saugumo būklę visoje organizacijoje, o ne tik peržiūrėti vietos lygmeniu parengtas atitikties ataskaitas. Per CAPA valdymą tvarkomi korekcinių veiksmų procesai turi būti integruoti į vieningus valdymo procesus, kad viename padalinyje įgyta patirtis būtų panaudota priimant operacinius sprendimus kituose padaliniuose.

Vietinis įgyvendinimas leidžia atsižvelgti į pagrįstus skirtumus. Teisės aktų reikalavimai skirtingose jurisdikcijose skiriasi, todėl kontrolės priemonių įgyvendinimas turi atspindėti šiuos skirtumus. Technologinės aplinkos skirtingose vietovėse skiriasi, todėl sprendimai dėl rizikos valdymo turi atsižvelgti į vietines veiklos realijas. Komandų struktūros ir veiklos ritmai skirtingose organizacijose skiriasi, todėl valdymo procesai turi būti sukurti taip, kad veiktų atsižvelgiant į šias realijas, o ne reikalautų visur vienodo veiklos modelio.

Pusiausvyrą tarp centrinio valdymo ir vietinio vykdymo sunku išlaikyti vien tik koordinavimo priemonėmis. Kai tai priklauso nuo individualios drausmės, reguliarių suderinimo susitikimų ir ataskaitų konsolidavimo rankiniu būdu, ši pusiausvyra palaipsniui silpnėja, nes visoje organizacijoje didėja operacinis spaudimas. Padaliniai pradeda pritaikyti valdymo procesus prie vietinių poreikių, o ne prie įmonės reikalavimų. Centras praranda matomumą. Vietinės komandos praranda ryšį su įmonės valdymo modeliu.

Norint struktūriškai išlaikyti šią pusiausvyrą, būtina, kad centrinė valdymo logika būtų integruota į kasdieninius vietos subjektų veiklos procesus, o ne perteikiama per periodinius priežiūros mechanizmus, kurie konkuruoja su veiklos prioritetais.

Internetinis seminaras: Dokumentų, įgūdžių ir mokymų kontrolė

Sužinokite, kaip nesudėtingai sukurti reikalavimus atitinkančią ir veiksmingą sistemą

Internetinis seminaras: Dokumentų kontrolė

Konkretūs valdymo trūkumai, kurie didėjant mastui dar labiau sustiprėja

Daugiavietėse ISO 27001 aplinkose valdymo trūkumai dažniausiai pasireiškia pagal nuspėjamus modelius. Šių modelių supratimas yra svarbus, nes juos sunku pastebėti iš bet kurios vienos organizacijos perspektyvos.

Suskaidyti rizikos registrai yra dažniausias ir rimčiausias trūkumas. Kai kiekvienas padalinys savarankiškai atlieka savo rizikos vertinimą, įmonė negali nustatyti tarp padalinių pasikartojančių pažeidžiamumo modelių, kurie kelia didžiausią sisteminę riziką. Pasikartojantis kontrolės trūkumas, pasiskirstęs penkiose vietose, yra žymiai svarbesnis spręsti nei vienintelis labai didelės rimtumo rizikos atvejis vienoje vietoje, tačiau suskaidytas rizikos valdymas neleidžia pastebėti šio pasiskirstymo modelio, kol dėl jo neįvyksta incidentas.

Nenuoseklus kontrolės stebėjimas sukuria klaidingą pasitikėjimą įmonės lygmeniu. Kai kontrolės veiksmingumas vertinamas lokaliai, taikant skirtingus kriterijus, metodikas ir dažnumus, centrinė vadovybė gauna atitikties ataskaitas, kurių neįmanoma prasmingai palyginti ar apibendrinti. Organizacija mano, kad turi aiškų vaizdą apie savo saugumo būklę. Praktikoje ji mato tik tai, ar vietinės komandos atliko savo stebėjimo veiksmus.

Audito ciklai, vykdomi atskirai kiekvienoje įmonės padalinyje, dėl savo pobūdžio neišryškina sisteminių trūkumų. Kai audito programos nėra koordinuojamos per visą įmonę veikiančią audito valdymo tarnybą, organizacija atlieka daugybę atskirų padalinių atitikties vertinimų, o ne pateikia nuoseklų vertinimą, kaip informacijos saugumo valdymo sistema (ISMS) veikia visoje įmonėje.

Korekcinių veiksmų izoliavimas trukdo organizacijos mokymuisi. Kai vienoje vietoje įvykęs saugumo incidentas lemia korekcinius veiksmus, kurie įgyvendinami lokaliai, neturint įtakos rizikos vertinimui ar kontrolės stebėsenai kitose įmonėse, įmonė visur kitur toliau veikia tomis pačiomis sąlygomis, kurios ir sukėlė tą incidentą.

Saugumo integravimas į įmonės rizikos valdymą

ISO 27001 standartas neturėtų būti taikomas atsietai nuo platesnio masto įmonės rizikos valdymo, o aplinkose, kuriose veikia kelios vietos, toks atsietumas tampa ypač reikšmingas.

Informacinio saugumo rizika vis labiau persipina su veiklos tęstinumu, teisės aktų laikymusi, tiekimo grandinės atsparumu ir strategine verslo rizika taip, kad šių aspektų neįmanoma veiksmingai valdyti naudojant atskirą informacinio saugumo vadybos sistemą (ISMS). Rimtas saugumo incidentas sukelia ne tik techninę problemą. Jis vienu metu sukelia veiklos sutrikimus, riziką dėl teisės aktų pažeidimų, reputacijos riziką ir galimą sutartinę atsakomybę.

Kai saugumo rizika struktūriškai susieta su platesniais rizikos valdymo procesais, vadovybė įgyja galimybę matyti padėtį visoje įmonėje, o ne apsiriboti vien tik informaciniu saugumu. Tarpįstačių saugumo tendencijos tampa matomos kartu su veiklos ir reguliavimo rizikos tendencijomis. Sisteminės pažeidžiamybės gali būti strategiškai suskirstytos pagal prioritetus, o ne sprendžiamos reaktyviai kaip atskiri incidentai.

Ši integracija taip pat keičia vadovų sprendimų priėmimo kokybę. Kai valdybos lygio vadovai turi prieigą prie susietų rizikos duomenų, apimančių informacinį saugumą, veiklos tęstinumą ir atitiktį teisės aktams, jie gali priimti pagrįstus sprendimus dėl išteklių paskirstymo, remdamiesi dabartine įmonės rizika, o ne atskirų valdymo programų pateikiamomis atitikties ataskaitomis, atspindinčiomis padėtį tam tikru momentu.

Daugiavietėse aplinkose tokia įmonės rizikos integracija nėra pasirenkama. Kadangi reguliavimo sistemose vis dažniau numatoma, kad vadovai asmeniškai atsako už informacinio saugumo valdymo trūkumus, gebėjimas įrodyti, kad saugumo rizika įmonės lygmeniu yra susieta ir nuolat valdoma, tampa nebe geriausia praktika, o valdymo reikalavimu.

Nuo suskaidytų struktūrų iki integruoto saugumo valdymo

Perėjimas nuo kelių lokaliai valdomų ISMS diegimų prie vieno integruoto įmonės saugumo valdymo modelio reikalauja struktūrinių pokyčių, susijusių su tuo, kaip organizacija kuria ir vykdo savo valdymo procesus.

Rizikos vertinimas turi būti atliekamas pagal vieną nuoseklią metodiką visose įmonėse, kad rizikos lygiai būtų palyginami, sujungiami ir matomi įmonės vadovams realiuoju laiku, o ne surenkami per periodišką konsolidaciją. Kontrolės stebėjimas turi būti organizuojamas centralizuotai, kad duomenys apie veiksmingumą patektų į valdymo procesus, o ne liktų vietiniuose atitikties įrašuose. Per [Audito valdymą] koordinuojamos audito programos turi vertinti ISMS veiklos rezultatus visoje įmonėje, o ne tik patvirtinti vietinių procedūrų atitiktį atskiruose padaliniuose.

Kai šie procesai veikia vienoje sujungtoje valdymo sistemoje, keliose vietose veikianti informacijos saugumo valdymo sistema (ISMS) nustoja veikti kaip suderintų vietinių programų rinkinys. Ji tampa vienu suderintu įmonės saugumo valdymo modeliu, kuriame informacija nuolat cirkuliuoja tarp padalinių, valdymo lygmenų ir vadovybės lygių.

Tai keičia organizacijos pasiekimų galimybes. Tarpvetainių saugumo pažeidimų tendencijos tampa matomos dar prieš įvykstant incidentams. Korekcinės priemonės, valdomos naudojant CAPA valdymo sistemą, skatina organizacijos mokymąsi, o ne tik lokalius problemų sprendimus. Vadovybė gauna nuolatinį įžvalgą į įmonės saugumo būklę, o ne turi rinkti fragmentiškas ataskaitas iš atskirų padalinių.

Taip sukuriama informacijos saugumo valdymo sistema (ISMS), kuri plečiasi kartu su organizacija, o ne suskaidoma jai augant.

policy-compliance-standards-concept-with-hand-selecting-checklist-document-icon (1).jpg

Vadovybės matomumas įmonės mastu

Organizacijoms plečiantis tarptautiniu mastu, vadovybės matomumas tampa vienu iš svarbiausių ir sunkiausiai išlaikomų valdymo gebėjimų, įgyvendinant ISO 27001 programą, apimančią kelis padalinius.

Vadovams nepakanka vien tik suvestinių vietinių atitikties ataskaitų. Jiems reikalinga nuolatinė priežiūra, apimanti saugumo pažeidžiamumą įvairiose vietose, pasikartojančius pažeidžiamumo modelius, korekcinių veiksmų veiksmingumą skirtinguose padaliniuose, trečiųjų šalių ir tiekimo grandinės rizikos tendencijas bei audito rezultatus visoje įmonėje.

Kai saugumo valdymas skirtinguose padaliniuose vykdomas izoliuotai, vadovybės priežiūra tampa struktūriškai suskaidyta. Vadovybė gauna vietinių atitikties reikalavimams veiklos apibendrinimus, o ne išsamią informaciją apie įmonės saugumo būklę. Strateginiai sprendimai dėl investicijų į saugumą, rizikos priimtinumo ir valdymo tobulinimo priimami remiantis neišsamia informacija, surinkta rankiniais konsolidavimo procesais, kurie sukelia vėlavimus, nenuoseklumą ir selektyvų matomumą.

Integruotas valdymas keičia šią dinamiką. Kai rizikos vertinimas, kontrolės stebėsena, incidentų valdymas ir korekcinės priemonės vykdomos pagal vieną bendrą valdymo architektūrą, apimančią visus padalinius, vadovybė gauna patikimą, aktualią ir sistemingai generuojamą informaciją apie įmonės saugumo būklę. Valdybai teikiamos ataskaitos atspindi tikrąją veiklos padėtį, o ne periodines atitikties reikalavimams santraukas.

Tuomet vadovybės atsakomybė už informacijos saugumą įgyja praktinę reikšmę. Vadovybė gali imtis veiksmų dėl saugumo rizikos, o ne tik ją pripažinti. Valdymo sprendimai grindžiami visos įmonės mastu surinkta informacija, o ne vietos lygmeniu gautais duomenimis.

Saugumo brandos lygis įmonės mastu priklauso nuo architektūros, o ne nuo geografinės padėties.

Nuolatinis atitikties užtikrinimas dideliu mastu

Norint užtikrinti nuolatinį atitikimą ISO 27001 standartui keliose įmonėse, reikalingas iš esmės kitoks valdymo modelis nei tas, kuris taikomas vienoje vietoje.

Periodinis suderinimas nėra pakankamas. Kai organizacijos suderina valdymo veiklą pagal numatytus peržiūros ciklus, įmonė nuolat susiduria su spraga tarp tų ciklų. Grėsmės kinta. Veiklos aplinka keičiasi. Keičiasi reguliavimo įsipareigojimai. Daug filialų turinti organizacija, kuri, siekdama išlaikyti valdymo nuoseklumą, remiasi periodiniu suderinimu, visada valdo tą saugumo būklę, kuri buvo paskutinio sinchronizavimo metu, o ne tą, kuri yra šiandien.

Norint užtikrinti nuolatinį atitikimą reikalavimams, valdymo procesai turi būti orientuoti į veiklos įvykius, o ne į audito grafikus. Kai vienoje įstaigoje nustatoma nauja pažeidžiamumo vieta, rizikos vertinimas turi būti atnaujintas visoje įmonėje. Kai per [Audito valdymą] pateikiama audito išvada, ji turi daryti įtaką kontrolės priemonių prioritetų nustatymui visose susijusiose įmonėse, o ne būti sprendžiama tik lokaliai. Kai korekcinė priemonė įgyvendinama, jos veiksmingumas turi būti patvirtintas laikui bėgant, o ne laikomas savaime suprantamu užbaigus procesą.

Tokio lygio nuolatinio valdymo nuoseklumo, apimančio keletą organizacijų, neįmanoma pasiekti vien tik koordinavimo priemonėmis. Tam reikalinga integruota valdymo architektūra, kurioje vietinių organizacijų taikomi procesai būtų struktūriškai susieti su įmonės valdymu realiuoju laiku, o ne periodiškai perduodami aukštesniems lygmenims naudojant rankinius mechanizmus.

Kai tokia architektūra įdiegta, valdymas plečiasi nepadidinant sistemų skaičiaus. Atitiktis reikalavimams užtikrinama nuolat, o ne tik periodiškai įrodoma. Saugumo brandumas tampa struktūrine organizacijos savybe, o ne priklauso nuo to, kada buvo atliktas paskutinis auditas.

Saugumo brandos lygis priklauso nuo architektūros, o ne nuo geografinės padėties.

DUK

Taip. Standartas ISO 27001 gali padėti užtikrinti informacijos saugumo valdymą keliose vietovėse, kai rizikos vertinimo metodikos, kontrolės stebėjimo sistemos ir korekcinių veiksmų procesai yra centralizuotai suderinti, tuo pačiu leidžiant kontroliuojamą vietinį lankstumą, atsižvelgiant į konkrečioms vietovėms būdingas veiklos ir reguliavimo sąlygas. Svarbiausias veiksnys yra tai, ar valdymo architektūra nuo pat pradžių sukurta siekiant užtikrinti įmonės nuoseklumą, o ne bandoma retrospektyviai suderinti nepriklausomai susiformavusias vietines programas.

Svarbiausi iššūkiai yra suskaidyti rizikos registrai, trukdantys matyti riziką visos įmonės mastu; nenuoseklus kontrolės stebėjimas, sukuriantis klaidingą pasitikėjimą vadovybės lygmeniu; audito ciklai, vykdomi atskirai kiekviename padalinyje, dėl ko praleidžiami sisteminiai nustatymai; bei izoliuoti korekciniai veiksmai, dėl kurių vieno padalinio veiklos patirtis negali daryti įtakos saugumo valdymui kituose padaliniuose. Šie iššūkiai didėja organizacijoms plečiantis, ir juos vis sunkiau įveikti vien tik koordinavimo priemonėmis.

Įtraukiant pagrindinę valdymo logiką į kasdieninius vietinių padalinių veiklos procesus, o ne pasikliaujant periodiniais suderinimo mechanizmais, kurie konkuruoja su veiklos prioritetais. Rizikos vertinimas, kontrolės stebėsena, audito programos ir korekcinių veiksmų vykdymo procesai turi veikti vienoje integruotoje valdymo sistemoje, kad įmonės veiklos nuoseklumas būtų struktūrinis, o ne priklausytų nuo atskirų sričių drausmės ir planinės priežiūros.

Taip, labai svarbu, nebent valdymo procesai būtų suderinti visose įstaigose prieš pradedant plėtrą. Kai audito programos vykdomos nepriklausomai skirtingose vietose, organizacija kaupia atitikties įrodymus, tačiau negauna visos įmonės masto saugumo įžvalgų. Audito programų koordinavimas per vieną integruotą valdymo struktūrą leidžia organizacijai vertinti ISMS veiklą visoje įmonėje kaip visumą, o ne tik patvirtinti atskirų padalinių atitiktį vietos lygiu, ir tai daryti nepadidinant valdymo sąnaudų proporcingai kiekvienam naujam pridėtam padaliniui.

Peržiūrėkite susijusius išteklius

Platforma Iso 9001
Nuo izoliuotų ISO sistemų iki vienos pažangios veiklos pagrindinės struktūros
Platforma Iso 9001
Kaip paversti ISO 50001 standartą realiu energijos vartojimo efektyvumo pagerinimu
Platforma Iso 9001
Kodėl ISO 50001 sertifikatas nesumažina energijos sąnaudų
Platforma Iso 9001
Perėjimas nuo ISO 14001 sertifikavimo prie nuolatinio atitikties užtikrinimo
Platforma Iso 9001
Kaip integruoti rizika grindžiamą mąstymą į ISO 9001 standartą

Ar esate pasirengę pakeisti savo kokybės ir EHS procesus?

Prisijunkite prie šimtų organizacijų, kurios, naudodamosi "Bizzmine", pakelia atitikties ir saugos reikalavimus į aukštesnį lygį.

Užsisakykite demonstracinę versiją
Mockup Bizzmine 2-klein.png