СМИБ - внедрение при наличии СМК?

О том, из чего вышел менеджмент качества

СМИБ - внедрение при наличии СМК?

Сообщение Ксения Панкрушина » 08 июн 2009, 12:10

Здравствуйте,
возможно, у кого-нибудь был опыт внедрения системы менеджмента информационной безопасности (СМИБ) при действующей на предприятии (формально/неформально) СМК.
Интересует внедрение в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001-2006. Каким образом встраивали СМИБ в СМК?
Сама изначально задумалась над вечным вопросом: что такое СМК и, соответственно, что такое СМИБ по отношению к СМК. Если СМК понимать как "систему менеджмента качества", то СМИБ - это часть системы менеджмента предприятия. Если под СМК понимать "систему качественного менеджмента", то, получается, СМИБ - это часть СМК. Если всё-таки принять, что верно второе, то, вероятно, и аудиты, и порядок проведения корректирующих, предупреждающих действий, анализ со стороны руководства можно описать общими процедурами, "специализация" же будет отражаться документами ниже уровня, допустим, в программах аудита (процедура аудита)...
Благодарю за любые мнения
Ксения Панкрушина
 

Re: СМИБ - внедрение при наличии СМК?

Сообщение Павел Смотров » 08 июн 2009, 13:12

Ксения Панкрушина писал(а):Здравствуйте,
возможно, у кого-нибудь был опыт внедрения системы менеджмента информационной безопасности (СМИБ) при действующей на предприятии (формально/неформально) СМК.
Интересует внедрение в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001-2006. Каким образом встраивали СМИБ в СМК?

Сама изначально задумалась над вечным вопросом: что такое СМК и, соответственно, что такое СМИБ по отношению к СМК. Если СМК понимать как "систему менеджмента качества", то СМИБ - это часть системы менеджмента предприятия. Если под СМК понимать "систему качественного менеджмента", то, получается, СМИБ - это часть СМК. Если всё-таки принять, что верно второе, то, вероятно, и аудиты, и порядок проведения корректирующих, предупреждающих действий, анализ со стороны руководства можно описать общими процедурами, "специализация" же будет отражаться документами ниже уровня, допустим, в программах аудита (процедура аудита)...

Благодарю за любые мнения

Рекомендую перед внедрением СМИБ прочитать COBIT.
Павел Смотров
 

Re: СМИБ - внедрение при наличии СМК?

Сообщение Кольцов Олег » 08 июн 2009, 17:03

Ксения Панкрушина писал(а): Каким образом встраивали СМИБ в СМК?

Ксения!
Не ищите черную кошку в темной комнате, особенно когда ее там нет! :D
Ответ был дан в первых стандартах СМК: Безопасность (какая не сказано, значит любая) это один из аспектов качества. ;)
Стандарты обеспечения безопасности (любой) легко ложатся на модель ИСО 9001. Управление документацией, инфраструктурой, ЖЦП и прочее. Проще выделить в подсистему с конкретным начальником и ссылками на нее в смежных с обычной СМК доках. :D
Кольцов Олег
 
Сообщения: 6091
Зарегистрирован: 23 сен 2008, 15:48
Откуда: Москва
Благодарил (а): 33 раз.
Поблагодарили: 115 раз.

Сообщение Ефимов Игорь » 10 июн 2009, 17:12

Здравствуйте, Ксения.
Перед нашим предприятием стоит подобная задача. СМК по ИСО 9001 внедрена, теперь разрабатываем ИСМ по трём стандартам (9001, 18001, 27001). Начали с обучения. Организаций с сертифицированной СМ в соответствии с ИСО 27001 в России единицы, будем "пионерами" :D
Ефимов Игорь
 

Сообщение Смолкин Андрей » 11 июн 2009, 09:20

Игорь а 27001 это надо :?: :?:
Это же офицальный тотальный контроль со стороны руководства над вссеми действиями сотрудников.
Моя информация основывается на прочтении стандартов в этой области.
Последний раз редактировалось Смолкин Андрей 20 июл 2009, 09:41, всего редактировалось 1 раз.
Аватара пользователя
Смолкин Андрей
 
Сообщения: 863
Зарегистрирован: 02 сен 2008, 15:21
Откуда: Санкт-Петербург
Благодарил (а): 8 раз.
Поблагодарили: 5 раз.

Сообщение Ефимов Игорь » 11 июн 2009, 14:07

Смолкин Андрей писал(а):Игорь а 27001 это надо :?: :?:
Это же офицальный тотальный контроль со стороны руководства над вссеми действиями сотрудников.
Моя информация основывается на прочтении стандартов Банка России в этой области.


Андрей, руководство сказало надо, служба качества сказала "Есть!" 8)
Тем более мне и самому интересно, что это за инструмент. Революцию устраивать не буду, а выстраивание системы, я думаю не повредит.
Ефимов Игорь
 

Сообщение Смолкин Андрей » 11 июн 2009, 14:11

Игорь а где Вы набирали информацию на разработку системы по данному Исо?
Ведь правильно Вы сказали --- Вы одни из первых.
Тем более у Вас ИСМ -- это же просто тупик какой.
Аватара пользователя
Смолкин Андрей
 
Сообщения: 863
Зарегистрирован: 02 сен 2008, 15:21
Откуда: Санкт-Петербург
Благодарил (а): 8 раз.
Поблагодарили: 5 раз.

Сообщение Ефимов Игорь » 11 июн 2009, 14:29

Смолкин Андрей писал(а):Игорь а где Вы набирали информацию на разработку системы по данному Исо?
Ведь правильно Вы сказали --- Вы одни из первых.
Тем более у Вас ИСМ -- это же просто тупик какой.


Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".
"Голова боится - руки делают", тем более вопрос о сертификации по МС ИСО 27001 пока не стоит.
Ефимов Игорь
 

Сообщение Радэ Бошкович » 12 июн 2009, 23:49

Ефимов Игорь писал(а):Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".


Дешевле было бы книжку прочитать... http://quality.ifolder.ru/12615746
Аватара пользователя
Радэ Бошкович
Модератор
Модератор
 
Сообщения: 2824
Зарегистрирован: 23 мар 2006, 19:13
Откуда: Белград (Сербия), Москва (РФ)
Благодарил (а): 26 раз.
Поблагодарили: 249 раз.

Сообщение Ксения Панкрушина » 13 июн 2009, 08:35

Радэ, спасибо за книжку - буду изучать.

У нас не стоит задачи сертифицироваться на ГОСТ Р ИСО 27001 - это моя инициатива, поскольку в информационную безопасность и необходимость управления ею начинаем "упираться" всё чаще и глубже...
Ксения Панкрушина
 

Сообщение Ефимов Игорь » 14 июн 2009, 08:54

Радэ Бошкович писал(а):
Ефимов Игорь писал(а):Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".


Дешевле было бы книжку прочитать... http://quality.ifolder.ru/12615746


Спасибо за книгу, осталось английский язык выучить 8)
Ефимов Игорь
 

Сообщение Ефимов Игорь » 15 июн 2009, 10:33

Ксения Панкрушина писал(а):У нас не стоит задачи сертифицироваться на ГОСТ Р ИСО 27001 - это моя инициатива, поскольку в информационную безопасность и необходимость управления ею начинаем "упираться" всё чаще и глубже...


Поддерживаю, а так же с 01.01.2010г. нужно защищать персональные данные сотрудников Организации, согласно ФЗ № 152 "О персональных данных" от 27.07.2006г.
Ефимов Игорь
 

Сообщение Андрей Горбунов » 15 июн 2009, 10:44

Радэ,
спасибо за книгу! Я как раз - так получилось - вхожу в эту область.

Коллеги,
планирую по мере чтения и перевода книги выкладывать у себя на сайте рабочие материалы (т.е. текст на русском). Сейчас перевел 1 главу и часть 2-й. Если все будет нормально, то сегодня вечером или завтра сделаю первую выкладку.

Кто может посоветовать хорошие курсы по ISO 27001?
Право сомневаться не отменяет обязанности думать
Аватара пользователя
Андрей Горбунов
Администратор форума
Администратор форума
 
Сообщения: 4207
Зарегистрирован: 25 янв 2005, 18:06
Откуда: Москва
Благодарил (а): 13 раз.
Поблагодарили: 278 раз.

Сообщение Александр Воробьёв » 15 июн 2009, 12:21

Андрей Горбунов писал(а):Кто может посоветовать хорошие курсы по ISO 27001?
Для чего и для кого?
Аватара пользователя
Александр Воробьёв
 
Сообщения: 11336
Зарегистрирован: 16 сен 2004, 12:42
Откуда: Санкт-Петербург
Благодарил (а): 194 раз.
Поблагодарили: 152 раз.

Сообщение Ефимов Игорь » 15 июн 2009, 12:45

Андрей Горбунов писал(а):Кто может посоветовать хорошие курсы по ISO 27001?


У нас обучение прошло, IT-шники оценили хорошо. Могу дать координаты.
Ефимов Игорь
 

Сообщение Андрей Горбунов » 15 июн 2009, 15:30

Игорь,
меня интересуют открытые курсы, не корпоративные. Как показало изучение предложений, их не так уж и много, особенно учитывая срочность вопроса. Фактически, пока только одна контора (АИС) предлагает то, что нужно и в те сроки, которые устраивают.
Мне, в общем-то, для личных нужд нужен сертификат, но несколько дней лабуду слушать тоже не хотелось бы :-)
Право сомневаться не отменяет обязанности думать
Аватара пользователя
Андрей Горбунов
Администратор форума
Администратор форума
 
Сообщения: 4207
Зарегистрирован: 25 янв 2005, 18:06
Откуда: Москва
Благодарил (а): 13 раз.
Поблагодарили: 278 раз.

Сообщение Ефимов Игорь » 15 июн 2009, 16:18

Андрей Горбунов писал(а):Игорь,
меня интересуют открытые курсы, не корпоративные. Как показало изучение предложений, их не так уж и много, особенно учитывая срочность вопроса. Фактически, пока только одна контора (АИС) предлагает то, что нужно и в те сроки, которые устраивают.
Мне, в общем-то, для личных нужд нужен сертификат, но несколько дней лабуду слушать тоже не хотелось бы :-)


Андрей, согласен.
После того как руководство поставило задачу, тоже долго искал кто проведет обучение. В Сибири таких не нашел.
Ефимов Игорь
 

Сообщение Андрей Горбунов » 19 июн 2009, 09:57

Коллеги,
кто-нибудь может поделиться ISO 27002:2005 (или 17799:2005) на английском? Важен год, т.к. у меня есть 2000-го, но он отличается.
Право сомневаться не отменяет обязанности думать
Аватара пользователя
Андрей Горбунов
Администратор форума
Администратор форума
 
Сообщения: 4207
Зарегистрирован: 25 янв 2005, 18:06
Откуда: Москва
Благодарил (а): 13 раз.
Поблагодарили: 278 раз.


Вернуться в Общие вопросы менеджмента

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1



cron