Standarde ISO pentru bunul management al unei activităţi

Management & Calitate

de Mihai Gheorghe

Elementul comun al celor trei standarde prezentate este managementul, conducerea unei activităţi. O altă caracteristică abordată în cele trei standarde este evidenţierea riscurilor (specifice oricărei activităţi umane), analiza acestora şi luarea măsurilor pentru a le evita/diminua efectele dăunătoare. Problematica se referă la orice tip de organizaţie – publică, privată sau comunitară, cu trimiteri la:

  • elaborarea proiectelor, ISO 21500:2012
  • situaţii de urgenţi, de pericol, cu referire la persoane (viaţă, sănătate) şi la protecţia mediului, ISO 22320:2013
  • securitatea informaţiei în relaţiile cu furnizorii, ISO/IEC 27001:2013.

 

Linii directoare pentru managementul de proiect, ISO 21500:2012 

Proiectele presupun efectuarea unor activităţi intercorelate, uneori proiectele durează săptămâni, luni sau chiar ani, în desfăşurarea lor pot interveni schimbări, care au impact asupra resurselor, costurilor, tehnologiei proiectului. Analiza riscurilor îi permite managerului să planifice, să controleze/urmărească şi să reorganizeze resursele astfel încât obiectivele propuse să se atingă în mod optim şi la timp.

ISO 21500:2012 oferă îndrumări pentru managementul de proiect şi poate fi folosit de orice tip de organizaţie, inclusiv de către organizaţiile publice, private sau comunitare, precum şi pentru orice tip de proiect, indiferent de complexitate, mărime sau durată.

ISO 21500:2012 oferă o  descriere de nivel înalt a unor concepte şi procese care sunt consi­derate a forma bunele practici în managementul de proiect. Proiectele sunt plasate în cadrul programelor şi portofoliilor de proiecte. Cu toate acestea, ISO 21500: 2012 nu oferă îndrumări detaliate privind gestionarea programelor şi a portofoliilor de proiecte. Subiecte legate de managementul general sunt abordate doar în contextul managementului de proiect. (sursa: iso.org)

 

ISO 22320:2013. Managementul situaţiilor de urgenţă. Cerinţe privind răspunsul în cazul producerii evenimentului

În ultimii ani se constată o intensificare, atât  a ameninţărilor, cât şi a frecvenţei de manifestare a acestora, ameninţări la adresa vieţii şi a sănătăţii, a mediului înconjurător şi a bunurilor persoanelor şi ale organizaţiilor. Acestor ameninţări li se adaugă activităţi umane scăpate de sub control, care pot avea urmări dezastruoase, putând  fi urmate de producerea de victime omeneşti, de distrugeri importante de bunuri şi de valori materiale.

ISO 22320:2013 oferă organizaţiilor indicaţii pentru un răspuns la incidente publi­ce şi private, pentru a îmbunătăţi
capacităţile lor de a reacţiona la toate tipurile de situaţii de urgenţă, acesta include cerinţe de organizare, de comandă şi de control a structurilor organizaţionale, proceduri, suport decizional, trasabilitate, gestionarea informaţiilor şi a resurselor şi interoperabilitate.

 

ISO 22320:2013 este aplicabil oricărei organizaţii (private, publice, guvernamentale sau non-profit), implicate în pregătirea răspunsului său la incidente şi stabileşte reguli de bună practică pentru:

  • responsabilii implicaţi în prevenirea inci­dentelor,
  • răspunsul la incidente,
  • elaborarea regulamentelor şi a planurilor de comandă şi control,
  • dezvoltarea unei structuri organizatorice şi de cooperare pentru răspunsul la inci­dente,
  • dezvoltarea unui sistem de informare şi de comunicare pentru răspunsul la incidente,
  • cercetarea în domeniul răspunsului la inci­dente, informaţii şi modele de comu­nicare şi de interoperabilitate de date,
  •  comunicare şi interacţiunea cu părţile interesate.

 

Sistemul de management al securităţii informaţiei. Cerinţe ale ISO/ IEC 27001: 2013 comentate. Relaţia cu furnizorii

Obiectiv

Menţinerea unui nivel convenabil  de securitate a informaţiilor în cadrul relaţiilor cu furnizorii, în conformitate cu acordurile stabilite cu aceştia.

1 Cerinţele de securitate a informaţiilor pentru menţinerea sub control a riscurilor asociate cu furnizorii în cazul accesului la activele organizaţiei.

 

Măsuri de securitate care pot fi implementate:

Accesul terţilor la resursele organizaţiei  trebuie să se bazeze pe un contract oficial, care să conţină sau să facă referire la toate cerinţele de securitate, pentru a asigura conformitatea cu politicile şi cu standardele de securitate ale organizaţiei.

Contractul trebuie să furnizeze asigurări că nu există nicio neînţelegere între organizaţie şi terţi.

Organizaţia poate să se asigure de depunerea unei garanţii din partea furnizorilor în favoarea ei.

 

2 Toate cerinţele relevante de securitate a informaţiilor trebuie stabilite şi acceptate de către fiecare furnizor, în cazul în care aceştia au acces la resursele organizaţiei, la procese, la locaţii, la comunicare, la furnizarea infrastructurii IT.

 

Măsuri de securitate în contractele cu terţii:

  • cum vor fi îndeplinite cerinţele legale, ca de exemplu legislaţia privind protecţia datelor;
  • cum se va asigura conştientizarea tuturor părţilor implicate în externalizare, inclusiv a subcontractorilor, asupra responsabilităţilor lor cu privire la securitatea infor­maţiei;
  • cum urmează să fie menţinută şi testată integritatea şi confidenţialitatea resurselor organizaţiei;
  • ce controale fizice şi logice vor fi folosite pentru restricţionarea şi limitarea accesului persoanelor autorizate la informaţii de importanţă critică ale organizaţiei;
  • cum urmează să fie menţinută disponibilitatea serviciilor în cazul unui dezastru;
  • ce niveluri de securitate fizică sunt oferite pentru echipamentele care provin din externalizare;
  • dreptul de audit la furnizor.

 

Terţii care sunt detaşaţi la sediul organizaţiei, pentru o anumită perioadă de timp, prevăzută în contractul încheiat, pot genera creşterea vulnerabilităţilor sistemului de management al securităţii informaţiei. Exemple de terţi detaşati la sediul organizaţiei:

  • personal pentru asistenţă tehnică şi men­tenanţă pentru hardware şi software;
  • servicii de curăţenie, de catering, perso­nal de pază şi alte servicii de asistenţă externalizate;
  • consultanţi etc.

 

Accesul terţilor la informaţii şi la echipamentele de procesare a informaţiei nu trebuie oferit până când nu sunt implementate controalele adecvate şi nu a fost semnat un contract, în care să fie definiţi termenii de acces la resurse.


English summary

The common feature of the three standards is management, i.e. running an activity.

Another feature addressed by the three standards is highlighting risks (which are specific to all human activities), as well as risk analysis and taking measures to prevent/mitigate damaging effects.

The topics regard all types of organizations, either public, private or community-related, and address the following:

  • project design, ISO 21500:2012;
  • personal emergency or danger situations (life, health) and environment protection, ISO 22320:2013;
  • information security for supplier relationships, ISO/IEC 27001:2013.

 Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems


 

 

 

 

 

 

 



Accept cookie

Acest site web utilizează module cookie în scopuri funcţionale, de confort şi statistică.

Dacă sunteţi de acord cu această utilizare a modulelor cookie, faceţi clic pe "Da, sunt de acord". Termeni si conditii

Nu sunt de acord Accept doar cookie functional Da, sunt de acord