Здравствуйте,
возможно, у кого-нибудь был опыт внедрения системы менеджмента информационной безопасности (СМИБ) при действующей на предприятии (формально/неформально) СМК.
Интересует внедрение в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001-2006. Каким образом встраивали СМИБ в СМК?
Сама изначально задумалась над вечным вопросом: что такое СМК и, соответственно, что такое СМИБ по отношению к СМК. Если СМК понимать как "систему менеджмента качества", то СМИБ - это часть системы менеджмента предприятия. Если под СМК понимать "систему качественного менеджмента", то, получается, СМИБ - это часть СМК. Если всё-таки принять, что верно второе, то, вероятно, и аудиты, и порядок проведения корректирующих, предупреждающих действий, анализ со стороны руководства можно описать общими процедурами, "специализация" же будет отражаться документами ниже уровня, допустим, в программах аудита (процедура аудита)...
Благодарю за любые мнения
СМИБ - внедрение при наличии СМК?
Сообщений: 18
• Страница 1 из 1
Re: СМИБ - внедрение при наличии СМК?
Павел Смотров » 08 июн 2009, 13:12
Ксения Панкрушина писал(а):Здравствуйте,
возможно, у кого-нибудь был опыт внедрения системы менеджмента информационной безопасности (СМИБ) при действующей на предприятии (формально/неформально) СМК.
Интересует внедрение в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001-2006. Каким образом встраивали СМИБ в СМК?
Сама изначально задумалась над вечным вопросом: что такое СМК и, соответственно, что такое СМИБ по отношению к СМК. Если СМК понимать как "систему менеджмента качества", то СМИБ - это часть системы менеджмента предприятия. Если под СМК понимать "систему качественного менеджмента", то, получается, СМИБ - это часть СМК. Если всё-таки принять, что верно второе, то, вероятно, и аудиты, и порядок проведения корректирующих, предупреждающих действий, анализ со стороны руководства можно описать общими процедурами, "специализация" же будет отражаться документами ниже уровня, допустим, в программах аудита (процедура аудита)...
Благодарю за любые мнения
Рекомендую перед внедрением СМИБ прочитать COBIT.
- Павел Смотров
Re: СМИБ - внедрение при наличии СМК?
Кольцов Олег » 08 июн 2009, 17:03
Ксения Панкрушина писал(а): Каким образом встраивали СМИБ в СМК?
Ксения!
Не ищите черную кошку в темной комнате, особенно когда ее там нет!
Ответ был дан в первых стандартах СМК: Безопасность (какая не сказано, значит любая) это один из аспектов качества.
Стандарты обеспечения безопасности (любой) легко ложатся на модель ИСО 9001. Управление документацией, инфраструктурой, ЖЦП и прочее. Проще выделить в подсистему с конкретным начальником и ссылками на нее в смежных с обычной СМК доках.
- Кольцов Олег
- Сообщения: 6091
- Зарегистрирован: 23 сен 2008, 15:48
- Откуда: Москва
- Благодарил (а): 33 раз.
- Поблагодарили: 115 раз.
Ефимов Игорь » 10 июн 2009, 17:12
Здравствуйте, Ксения.
Перед нашим предприятием стоит подобная задача. СМК по ИСО 9001 внедрена, теперь разрабатываем ИСМ по трём стандартам (9001, 18001, 27001). Начали с обучения. Организаций с сертифицированной СМ в соответствии с ИСО 27001 в России единицы, будем "пионерами"
Перед нашим предприятием стоит подобная задача. СМК по ИСО 9001 внедрена, теперь разрабатываем ИСМ по трём стандартам (9001, 18001, 27001). Начали с обучения. Организаций с сертифицированной СМ в соответствии с ИСО 27001 в России единицы, будем "пионерами"
- Ефимов Игорь
Смолкин Андрей » 11 июн 2009, 09:20
Игорь а 27001 это надо 
Это же офицальный тотальный контроль со стороны руководства над вссеми действиями сотрудников.
Моя информация основывается на прочтении стандартов в этой области.
Это же офицальный тотальный контроль со стороны руководства над вссеми действиями сотрудников.
Моя информация основывается на прочтении стандартов в этой области.
Последний раз редактировалось Смолкин Андрей 20 июл 2009, 09:41, всего редактировалось 1 раз.
-
Смолкин Андрей - Сообщения: 863
- Зарегистрирован: 02 сен 2008, 15:21
- Откуда: Санкт-Петербург
- Благодарил (а): 8 раз.
- Поблагодарили: 5 раз.
Ефимов Игорь » 11 июн 2009, 14:07
Смолкин Андрей писал(а):Игорь а 27001 это надо
Это же офицальный тотальный контроль со стороны руководства над вссеми действиями сотрудников.
Моя информация основывается на прочтении стандартов Банка России в этой области.
Андрей, руководство сказало надо, служба качества сказала "Есть!"
Тем более мне и самому интересно, что это за инструмент. Революцию устраивать не буду, а выстраивание системы, я думаю не повредит.
- Ефимов Игорь
Смолкин Андрей » 11 июн 2009, 14:11
Игорь а где Вы набирали информацию на разработку системы по данному Исо?
Ведь правильно Вы сказали --- Вы одни из первых.
Тем более у Вас ИСМ -- это же просто тупик какой.
Ведь правильно Вы сказали --- Вы одни из первых.
Тем более у Вас ИСМ -- это же просто тупик какой.
-
Смолкин Андрей - Сообщения: 863
- Зарегистрирован: 02 сен 2008, 15:21
- Откуда: Санкт-Петербург
- Благодарил (а): 8 раз.
- Поблагодарили: 5 раз.
Ефимов Игорь » 11 июн 2009, 14:29
Смолкин Андрей писал(а):Игорь а где Вы набирали информацию на разработку системы по данному Исо?
Ведь правильно Вы сказали --- Вы одни из первых.
Тем более у Вас ИСМ -- это же просто тупик какой.
Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".
"Голова боится - руки делают", тем более вопрос о сертификации по МС ИСО 27001 пока не стоит.
- Ефимов Игорь
Радэ Бошкович » 12 июн 2009, 23:49
Ефимов Игорь писал(а):Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".
Дешевле было бы книжку прочитать... http://quality.ifolder.ru/12615746
-
Радэ Бошкович - Модератор
- Сообщения: 2836
- Зарегистрирован: 23 мар 2006, 19:13
- Откуда: Белград (Сербия), Москва (РФ)
- Благодарил (а): 26 раз.
- Поблагодарили: 250 раз.
Ефимов Игорь » 14 июн 2009, 08:54
Радэ Бошкович писал(а):Ефимов Игорь писал(а):Обучение по теме "Разработка и внедрение СМИБ ИСО 27001" сегодня закончилось. Приглашали специалиста из Питера "Русский Регистр-Международная сертификация".
Дешевле было бы книжку прочитать... http://quality.ifolder.ru/12615746
Спасибо за книгу, осталось английский язык выучить
- Ефимов Игорь
Ефимов Игорь » 15 июн 2009, 10:33
Ксения Панкрушина писал(а):У нас не стоит задачи сертифицироваться на ГОСТ Р ИСО 27001 - это моя инициатива, поскольку в информационную безопасность и необходимость управления ею начинаем "упираться" всё чаще и глубже...
Поддерживаю, а так же с 01.01.2010г. нужно защищать персональные данные сотрудников Организации, согласно ФЗ № 152 "О персональных данных" от 27.07.2006г.
- Ефимов Игорь
Андрей Горбунов » 15 июн 2009, 10:44
Радэ,
спасибо за книгу! Я как раз - так получилось - вхожу в эту область.
Коллеги,
планирую по мере чтения и перевода книги выкладывать у себя на сайте рабочие материалы (т.е. текст на русском). Сейчас перевел 1 главу и часть 2-й. Если все будет нормально, то сегодня вечером или завтра сделаю первую выкладку.
Кто может посоветовать хорошие курсы по ISO 27001?
спасибо за книгу! Я как раз - так получилось - вхожу в эту область.
Коллеги,
планирую по мере чтения и перевода книги выкладывать у себя на сайте рабочие материалы (т.е. текст на русском). Сейчас перевел 1 главу и часть 2-й. Если все будет нормально, то сегодня вечером или завтра сделаю первую выкладку.
Кто может посоветовать хорошие курсы по ISO 27001?
Право сомневаться не отменяет обязанности думать
-
Андрей Горбунов - Администратор форума
- Сообщения: 4232
- Зарегистрирован: 25 янв 2005, 18:06
- Откуда: Москва
- Благодарил (а): 13 раз.
- Поблагодарили: 278 раз.
Александр Воробьёв » 15 июн 2009, 12:21
Для чего и для кого?Андрей Горбунов писал(а):Кто может посоветовать хорошие курсы по ISO 27001?
-
Александр Воробьёв - Сообщения: 11336
- Зарегистрирован: 16 сен 2004, 12:42
- Откуда: Санкт-Петербург
- Благодарил (а): 194 раз.
- Поблагодарили: 152 раз.
Андрей Горбунов » 15 июн 2009, 15:30
Игорь,
меня интересуют открытые курсы, не корпоративные. Как показало изучение предложений, их не так уж и много, особенно учитывая срочность вопроса. Фактически, пока только одна контора (АИС) предлагает то, что нужно и в те сроки, которые устраивают.
Мне, в общем-то, для личных нужд нужен сертификат, но несколько дней лабуду слушать тоже не хотелось бы
меня интересуют открытые курсы, не корпоративные. Как показало изучение предложений, их не так уж и много, особенно учитывая срочность вопроса. Фактически, пока только одна контора (АИС) предлагает то, что нужно и в те сроки, которые устраивают.
Мне, в общем-то, для личных нужд нужен сертификат, но несколько дней лабуду слушать тоже не хотелось бы
Право сомневаться не отменяет обязанности думать
-
Андрей Горбунов - Администратор форума
- Сообщения: 4232
- Зарегистрирован: 25 янв 2005, 18:06
- Откуда: Москва
- Благодарил (а): 13 раз.
- Поблагодарили: 278 раз.
Ефимов Игорь » 15 июн 2009, 16:18
Андрей Горбунов писал(а):Игорь,
меня интересуют открытые курсы, не корпоративные. Как показало изучение предложений, их не так уж и много, особенно учитывая срочность вопроса. Фактически, пока только одна контора (АИС) предлагает то, что нужно и в те сроки, которые устраивают.
Мне, в общем-то, для личных нужд нужен сертификат, но несколько дней лабуду слушать тоже не хотелось бы
Андрей, согласен.
После того как руководство поставило задачу, тоже долго искал кто проведет обучение. В Сибири таких не нашел.
- Ефимов Игорь
Андрей Горбунов » 19 июн 2009, 09:57
Коллеги,
кто-нибудь может поделиться ISO 27002:2005 (или 17799:2005) на английском? Важен год, т.к. у меня есть 2000-го, но он отличается.
кто-нибудь может поделиться ISO 27002:2005 (или 17799:2005) на английском? Важен год, т.к. у меня есть 2000-го, но он отличается.
Право сомневаться не отменяет обязанности думать
-
Андрей Горбунов - Администратор форума
- Сообщения: 4232
- Зарегистрирован: 25 янв 2005, 18:06
- Откуда: Москва
- Благодарил (а): 13 раз.
- Поблагодарили: 278 раз.
Сообщений: 18
• Страница 1 из 1
Вернуться в Общие вопросы менеджмента
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1