Normy ISO

Wdrażanie standardów ISO to zadanie dla całej organizacji.

Co to jest właściwie to ISO? 

ISO (ang. International Organization for Standardization – Międzynarodowa Organizacja Normalizacyjna) jest Organizacja funkcjonująca na całym świecie. Zwana też jest federacją, której celem jest skupianie organizacji normalizacyjnych (organizacje członkowskie ISO), na wszystkich kontynentach, no może z wyjątkiem kontynentu „wiecznej zmarzliny”.

Normy ISO nie są przygotowywanie tylko dla jakiegoś kraju. Najczęściej przygotowaniem Norm Międzynarodowych zajmują się wspólne komitety techniczne ISO. Każda organizacja członkowska zainteresowana tematyką, (w naszym przypadku to zarządzanie ryzykiem, inaczej można powiedzieć ocena ryzyka, potocznie skracana do analizy ryzyka), dla której utworzono komitet techniczny, wskazuje i wspiera swoje interesy w tym komitecie. W pracach uczestniczą też międzynarodowe, rządowe lub pozarządowe organizacje, współpracujące z ISO. Normy Procedura tworzenia międzynarodowych norm oparta jest o wskazówki zawierające się w Dyrektywach ISO/IEC, Cz. 2.

Po przygotowaniu określonej normy (w naszym przypadku to zarządzanie ryzykiem, inaczej można powiedzieć ocena ryzyka, potocznie skracana do analizy ryzyka) oraz zatwierdzeniu przez komitety techniczne, przekazuje się je poszczególnym organizacjom członkowskim. Kolejny etap procedury to przeprowadzenia głosowania na gruncie przyjęcia normy. Kolejne działanie to publikacja w postaci Normy Międzynarodowej wymaga akceptacji co najmniej 75% organizacji członkowskich biorących udział w głosowaniu. Zwraca się uwagę, że niektóre elementy przygotowywanej normy ISO mogą być przedmiotem praw patentowych. Dalej to już działania na gruncie określonego podmiotu, firmy, czy organizacji, mające na celu przygotowanie, wdrożenie, poddanie się certyfikacji, a w kolejnych czasookresach re-certyfikacji. 

Sprawne wdrożenie ISO

Jeśli chcesz to zrobić sprawnie i bez niepotrzebnych błędów, nerwów, straty pieniędzy – skontaktuj się z IKG Technology, wspólnie damy radę, najciężej podjąć decyzję, później już tylko działać, ale sprawnie i profesjonalnie. Po to są normy ISO.

Wdrażanie norm ISO – jakie są tego cele?

Wdrażanie norm ISO przez naszych specjalistów wspomaga biznes i sektor publiczny w tym procesie, którego celem jest:

  • wdrożenia skutecznego systemu zarządzania
  • uzyskanie zgodności z aktualnym wymaganiami prawa i standardem
  • uzyskanie stosownego certyfikatu potwierdzającego zgodność danego systemu z określonymi wymaganiami
Wdrażanie norm ISO

Normy ISO i ich ścieżka wdrożeniowa

By ten cel osiągnąć, czyli wdrożyć normy ISO, trzeba wraz ze specjalistami przejść pełna ścieżkę wdrożeniową, czyli:

  1. Audyt zerowy – wstępna ocena organizacji pod kątem możliwości spełnienia wymagań normy.
  2. Optymalizacja procesów / określenie kluczowych elementów danego systemu zarządzania.
  3. Szkolenia wstępne – przekazanie pracownikom / Kierownictwu Twojej Organizacji podstawowej wiedzy z zakresu wdrażanych norm.
  4. Opracowanie niezbędnej dokumentacji systemowej oraz budowa systemu zarządzania danego standardu – opracowanie dokumentacji systemowej w zakresie wymaganym przez normę.
  5. Zatwierdzenie dokumentacji  przez organizację oraz wdrożenie systemu zarządzania – zatwierdzenie dokumentacji systemowej przez Najwyższe Kierownictwo Organizacji oraz zapoznanie z nią pracowników.
  6. Weryfikacja wdrożonego systemu zarządzania – sprawdzenie, czy wdrożony system zarządzania spełnia wymagania normy.

Więcej o normie 27001

W jakim celu i po co system zarządzania informacją, jak już u nas w Urzędzie, Firmie, Organizacji, tyle ludzi zajmuje się bezpieczeństwem? Wszyscy to wiemy, że bezpieczeństwo jest najważniejsze! Truizm, ale czy na pewno?

Rozpatrując kwestie systemu zarządzania bezpieczeństwem, pamiętajmy, że nie możemy ograniczać się tylko do działań IT, a taki błąd jest najczęstszym, potocznym, wręcz powszechnym stereotypem w myśleniu, nie ważne czy w Urzędach (samorządowych i rządowych), Szpitalach (w całym systemie ochrony zdrowia, czy w praktycznie wszystkich sektorach odpowiadających za usługi dla obywatela), Firmach (nie ważne czy prywatnych, czy tych zależnych od Skarbu Państwa).Zarządzanie bezpieczeństwem to zaplanowanie, bieżące działanie, monitorowanie, nadzór, skuteczne reagowanie w całej organizacji – sprawstwo, no i na końcu coś co zawsze sprawia największe problemy z akceptacją – czyli ODPOWIEDZIALNOŚĆ.

Jak nie ma zinwentaryzowanych procesów, podprocesów i działań (czyli nie wiemy co mamy) to jak mamy wiedzieć co mamy chronić? Co jest bezpieczne i kiedy przekraczamy to co jest akceptowalne? Czy dopiero jak wszystko przestaje działać, no i mamy kryzys na całego? A no i z tą odpowiedzialnością – „to nie moja wina” !!! „To nie w naszych kompetencjach, to IT”!!! „A gdzie to jest zapisane, skąd miałem wiedzieć, że to tak należy zareagować…” Katalog takich  nieprofesjonalnych i nieakceptowalnych odpowiedzi jest bardzo długi… a jeszcze jest jedna ciekawa odpowiedź (Jak nie mamy profesjonalnie wdrożonego i testowanego systemu zarządzania bezpieczeństwem informacji – jak chcesz mieć to pod kontrolą, kontaktuj się z IKG Technology), uwielbiamy ją …a mianowicie – ”Bo tak zawsze było…). To tyle jak zastanawiasz się: „czy warto mieć profesjonalny i działający system bezpieczeństwa informacji” Dla nas to ostatnie pytanie jest pytaniem retorycznym.
Są też firmy, które mają wdrożenie na tzw. półkę, czy wręcz kupują tzw. „gotowca”, tyle że nic nie chroni, wręcz odwrotnie, daje poczucie niby bezpieczeństwa, które dodatkowo usypia czujność, no i sami odpowiedzcie sobie Państwo czy tak powinno być! Ale niektórzy powiedzą – „ bo było tanio, ładne obrazki przygotowali, a chwalili nas, jak to super u nas zaplanowaliśmy…” co jest dla Państwa właściwe wedle IKG Technology??? WASZE BEZPIECZEŃSTWO!!!

Norma ISO 27001 pozwala Państwu zapewnić pełną ochronę oraz bezpieczeństwo wszelkich danych, także takich jak dane finansowe, kontraktów, wartości niematerialnych i prawnych… Ogólnie ujmując, informacje, których nie chcemy ujawniać poza Urzędem, Firmą, Organizacją. Poprzez prawidłowe przygotowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji minimalizujemy prawdopodobieństwo, że ktoś uzyska dostęp i wejdzie w posiadanie tego co jest dla nas jakąkolwiek informacją ważną, czy zawiera się w katalogu informacji poufnych. Minimalizujemy i ustalamy procedury i bariery, tak aby dostęp do informacji, ich bezpieczeństwa był ściśle monitorowany i kontrolowany, a jednocześnie ograniczamy działania, które to w sposób nielegalny lub bez zezwolenia mogły dostać się w „niepożądane ręce”.
Posiadając ISO/IEC 27001 Urząd, Firma, Organizacja okazuje swoje zaangażowanie oraz zgodność z najlepszymi światowymi praktykami, zapewniając swych Klientów, Dostawców i Interesariuszy, że w swojej działalności stawia na profesjonalizm, bezpieczeństwo…
W wielu przypadkach posiadanie wdrożonego i monitorowanego systemu bezpieczeństwa informacji (zgodnie z normą ISO 27001) jest warunkująca możliwość współpracy z „dojrzałym biznesem”. Pomyśl o tym, co jak ktoś będzie ktoś oczekiwał od Twojej Firmy wdrożonego systemu opartego o normę ISO 27001? A w tydzień, czy nawet w miesiąc nie da się profesjonalnie tego zrobić. Jak i jak długo, to zależy od kilku aspektów i czynników.

Jak chcesz więcej wiedzieć, skontaktuj się z IKG Technology.

  1. Identyfikacja zagrożeń i wprowadzenie właściwych zabezpieczeń, aby móc nimi zarządzać, przede wszystkim dążyć do ich „eliminacji”,
  2. Mamy wdrażane zabezpieczenia w poszczególnych obszarach działalności,
  3. Ułatwia zdobycie zaufania Interesariuszy, Dostawców i Klientów, w kwestii bezpieczeństwa danych, jakie nam przekazują,
  4. Bardzo często wykazanie zgodności daje uzyskanie pierwszeństwa wyboru naszej firmy jako dostawca – często dodatkowe punkty w zamówieniach publicznych,
  5. Spełnianie większej liczby wymogów przetargowych poprzez wykazywanie zgodności z założeniami i oczekiwaniami przekazującego nam dane.

Bezpieczeństwo informacji jest pojęciem z pogranicza techniki, organizacji i prawa – Systemowego zarządzania bezpieczeństwem informacji ISO/IEC. ISO 27001 definiuje je jako zachowanie trzech cech informacji: 

  1. poufności (ang. confidentiality), 
  2. spójności (ang. integrity)
  3. dostępności  (ang. availability). 

Obecnie standard zwraca uwagę również na zachowanie takich cech jak: 

  1. rozliczalność (ang. accountability),
  2. autentyczność (ang. authenticity),
  3. niezaprzeczalność (ang. non-repundation),
  4. niezawodność (ang. reliability).

Cechy te zawarte w ISO 27001 – systemu bezpieczeństwa informacji –  stanowią trzon dla budowy Systemu Bezpieczeństwa Informacji.

Według normy ISO/IEC 27001 poufność oznacza zapewnienie, iż informacja jest dostępna wyłącznie dla osób uprawnionych, posiadających odpowiednie prawa dostępu. Integralność to śledzenie procesu przetwarzania informacji we wszystkich formach jej występowania, po to, aby uniemożliwić nieautoryzowaną modyfikację, czy też wyeliminować niepoprawną metodę przetwarzania. Dostępność natomiast to zapewnienie, iż informacja jest dostępna dla osoby uprawnionej zawsze, gdy tego potrzebuje.

System zarządzania bezpieczeństwem informacji (SZBI) opiera się na kilku istotnych elementach. Głównym jego celem jest zarządzanie ryzykiem w taki sposób, aby minimalizować ryzyko wystąpienia incydentów/zagrożeń i implementować skutecznie zabezpieczenia.

Incydenty związane z bezpieczeństwem informacji to pojedyncza lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Zarządzanie incydentami jest obowiązkowym elementem SZBI (ISO/ IEC 27001), a rejestracja kluczem do analiz i wnioskowania.

Czy Warto? Warto, ale jak ma działać, korzystaj z najlepszych! Zapraszamy do IKG Technology.

Więcej o normie ISO 37001

System antykorupcyjny ISO 37001 (nazywany także BS 10500) , którym każda duża organizacja powinna się szczycić. BS (British Standard) 10500 określa wymogi dla systemu zarządzania antykorupcyjnego dla Firm, Urzędów, Organizacji, funkcjonuje na całym świecie. To brytyjski standard , który został opracowany przez BSI w odpowiedzi na nową erę ostrzejszych przepisów i braku tolerancji na korupcję i „łapówkarstwo”. Standard tworzy ramy antykorupcyjne dla firm bez względu na ich wielkość, branżę, czy lokalizację. Jest szczególnie zalecana dla branż bardziej narażonych na to ryzyko, czyli m.in. budownictwo, inżynierię, media i sektor użyteczności publicznej.
BS 10500 stanowi system zarządzania pokazujący, jak wygląda etyka w biznesie oraz jak wprowadzić i stosować odpowiednie kontrole antykorupcyjne w całej swojej firmie i łańcuchu dostaw. Jest także sposobem spełnienia krajowych wymogów prawnych – niezależnie od tego, gdzie mieści się firma. Przepisy prawne dotyczące walki z korupcją zaostrzają się coraz bardziej, a zarządzanie antykorupcyjne stanowi obecnie wymóg w biznesie. Nie chodzi tylko o wymogi, ale transparentność i jakość, ograniczenie ryzyka. Właśnie dlatego BS 10500 wskazuje, jak powinna się kształtować etyka biznesu i etyka zawodowa oraz wskazuje metody radzenia sobie z rosnącymi, globalnymi zagrożeniami dot. korupcji.

Więcej o normie ISO 22301

Wszystko kiedyś się rozpoczyna, później dąży się do udoskonaleń, do optymalizacji, przejścia na wyższy poziom działania…
Doświadczenie uczy – niezależnie, czy uczymy się na własnych błędach, czy nasze kompetencje zdobywamy dzięki przekazywanej nam wiedzy.

Działanie, powinno mieć:

  1. cel,
  2. zamierzony wynik, jaki chcemy uzyskać
  3. musimy wiedzieć co, kto i w jakim czasie ma osiągnąć i co jest do tego potrzebne (zasoby).

No i co dalej? Wszyscy wiedzą, że „diabeł”/coś złego, niechcianego, niepożądanego, tkwi w szczegółach… Czyli w działaniach, procesach i podprocesach.

Jeśli coś ma działać, czyli żeby nie tylko raz raz się udało, ale chcemy żeby ciągle, powtarzalnie działało, a najlepiej jakby się to działanie poprawiało i dzięki poprawom/korektom, poprawiała się ciągłość owego działania. Zmniejszymy niepotrzebne „wpadki” – ryzyka, a przełoży się to na nasze zadowolenie z uzyskiwanego efektów działania/realizacji celu. Tu potrzebne są miary tzw. KPI, gdyż coś, co nie jest mierzalne, nie jest zarządzalne.
To co powyżej opisano to nic innego jak metaforyczne ujęcie wdrażania systemu zarządzania ciągłością działania wedle normy ISO 22301. Tak zwane PDCA (ang. Plan – Do – Check – Act.) – 1) planuj 2) wykonuj 3) sprawdzaj 4) działaj.
Wdrożenie i utrzymanie systemu ciągłości działania to podstawa dla sukcesu biznesu i obowiązek kadry zarządzającej. Norma nie mówi co i jak masz robić, norma wskazuje i podpowiada, jak planować i realizować, to co chcesz osiągnąć, aby dalej niezakłócenie realizować funkcje biznesowe, no i jeszcze osiągać lepsze efekty.

Jak chcesz, aby ktoś mówił zrozumiałym językiem, w celu wdrożenia systemu, skontaktuj się z IKG Technology.

Więcej o normie ISO 31000

Ryzyko, analiza ryzyka, ocena ryzyka, mapowanie ryzyk, określanie wag i prawdopodobieństwa wystąpienia, etc. – po co to wszystko? Czy mnie i mojemu przedsiębiorstwu jest to niezbędne? Czy ryzyko jest tylko w biznesie? Czy w administracji rządowej i samorządowej występują jakieś ryzyka? 

No cóż, nikt nie rodzi się pełen wiedzy kompetencji na temat zarządzania ryzykiem, całe życie oparte jest na ryzyku! Czy warto jest znać ryzyka w mojej pracy? A jak dochodzimy do określonej wiedzy, że czegoś nie należy robić? No cóż, albo wersja miękka – nasz życiowy doradca (najczęściej rodzic) mówi –„nie rób tego, czy tamtego bo się … – czyli mamy nic innego ja wcześniej opracowany scenariusz z określonym ryzykiem, wdrożony przez naszą organizację – rodzinę, no i mamy końcową firmę – dziecko. No i albo zaimplementujemy daną regułę postępowania dla uniknięcia materializacji ryzyka, albo boleśnie się sami uczymy wersja twarda (no niestety, najczęściej bardzo boleśnie).

Wracając do normy w ramach ryzyka musimy zbadać i opisać:

  1. Przyczyny ryzyk, 
  2. podatność na określone ryzyko, 
  3. skutek jaki wystąpi po materializacji ryzyka – co nas czeka jak się zdarzy….

Standard dotyczący ryzyka przedstawia kompleksowe zasady i wytyczne. Wskazuje i daje możliwość, firmą, administracji, ogólnie ujmując Organizacjom zapoznania się z wzorcem realizacji analizy ryzyka oraz oceny ryzyka. Wprowadzenie ISO 31000 będzie niezwykle korzystne, niezależnie od tego, czy pracujecie w przedsiębiorstwie publicznym, prywatnym, czy sektorze organizacji pozarządowego wsparcia, gdyż norma ta ma zastosowanie do większości działań związanych z realizacją zadań, takich jak: 

  1. planowanie, 
  2. zarządzanie,
  3. właściwa i skuteczna komunikacja. Ważne też, aby była właściwie adresowana i potwierdzana.

Realizując zasady i wytyczne ISO 31000 Organizacja powinna zwiększyć wydajność operacyjną oraz uzyskać poprawę zaufania, jednocześnie minimalizując straty. Często posiadanie wdrożonej normy dot. ryzyka jest wymagalne dla możliwości współpracy. Skutecznie wdrożenie normy dot. zarządzania ryzykiem poprawa efektywność operacyjną i efektywność w zarządzania firmą czy określonym Urzędem. Poprawnie wdrożona ocena ryzyka pozwala na zdobywanie zaufania potencjalnych klientów i odbiorców naszych usług, czy produktów jakie produkujemy. Dobry tj. profesjonalny konsultant daje kompetencję we wprowadzeniu mechanizmów oraz przeniesienie na wyższy poziom umiejętności stosowania technik zarządzania ryzykiem.

Pamiętaj: jakość, doświadczenie i profesjonalizm pozwalają nie marnować Twojego czasu i pieniędzy!!! Wybieraj mądrze – skontaktuj się z IKG Technology

Analiza ryzyka to jeden z elementów oceny ryzyka. Ocena ryzyka jest pojęciem o kompletności całego procesu dotyczącego ryzyka tj.:

  • Identyfikacja ryzyk;
  • Analiza ryzyka;
  • Testowanie scenariuszy wynikających z identyfikacji, a poddanych analizie;
  • Ewaluacja, poprawa sytuacji, po wynikach testowania.

Dodatkowo należy podkreślić, że testowanie kontroli systemu zarządzania opartego o ocenę analizy ryzyka daje potencjał minimalizowania strat. Prawidłowo i kompleksowo wdrożony system zarządzania ryzykiem poprawia wydajności systemu zarządzania i odporności na problemy oraz skuteczne reagowanie na zmiany i pozwala na ochronę rozwijającego się biznesu czy kompetencji Urzędu

Inne normy ISO, w których jesteśmy wyspecjalizowani

ISO 9001

Ponad 1.2 mln organizacji na świecie posiada certyfikat ISO 9001. System zarządzania jakością dotyczy kwestii, które zwiększają zdolność organizacji do konsekwentnego dostarczania produktów i usług , które spełniają najwyższe kryteria jakościowe – wymagania klientów.

  • Skoncentrowanie się na przywództwie
  • Koncentracja na zarządzaniu ryzykiem
  • Nacisk na cele, pomiar i zarządzanie zmianą
  • Komunikacja i świadomość
  • Mniejsza ilość wymogów o charakterze nakazów – więcej dobrych praktyk i podnoszenia świadomości organizacji i osób w niej pracujących

Wdrożenie ISO

Wykonujemy m.in. wdrożenie ISO następujących standardów: ISO 27001, ISO 37001, ISO 22301 oraz ISO 31000.

Szukasz wyspecjalizowanej we wdrożeniu ISO firmy? Skontaktuj się z nami!