Vlad Donciu

CCT acordă servicii de consultanţă pentru implementarea sistemului de management al securităţii informaţiei (SMSI) conform ISO 27001:2005. Aceste servicii se derulează conform metodologiei PDCA (Plan-Do-Check-Act), în următoarele etape :

Planificarea sistemului

• Analiza şi documentarea principalelor procese ale clientului;
• Analiza proceselor sistem comparativ cu ISO27001:2005 şi crearea unui roadmap pentru alinierea proceselor
• Analiza practicilor existente în companie
• Pregătirea declaraţiei de aplicabilitate (SoA)
• Elaborarea planului de implementare
• Asistenţă în iniţierea proceselor de sistem Auditul intern şi Analiza managementului

Implementarea sistemului

• Consultanţii CCT dezvoltă împreună cu reprezentanţii companiei clientului o politica de securitate şi procedurile operaţionale necesare pentru alinierea la recomandările standardului ISO 27001:2005. 

Evaluare a aplicării recomandărilor standardului ISO 27001:2005

• Auditorii certificaţi 27001:2005 ai CCT, instruiesc auditorii interni desemnaţi de către companie pentru efectuarea evaluării modului de aplicare efectivă a recomandărilor standardului ISO 27001:2005.
• CCT identifică posibilităţile de îmbunătăţire a SMSI şi caracteristicile privind uşurinţa utilizării.

Adoptarea sistemului

• CCT efectuează o analiză în vederea stabilirii maturităţii SMSI precum şi în vederea stabilirii oportunităţii demarării certificării
• CCT acordă asistenţă la pregătirea auditului de certificare

Schema generală de implementare a unui SMSI

Utilizarea metodologiei PDCA (plan-do-check-act) în implementarea SMSI

Ciclul PDCA a fost creat pentru a fi folosit ca un model dinamic. Completarea uneia dintre etapele ciclului duce automat la începerea următoarei etape. Urmând principiul îmbunătăţirii continue, procesul poate fi oricând reanalizat, iar un nou “test” de schimbare poate începe. Ciclul PDCA - cunoscut şi sub numele de ciclul Deming - a fost denumit astfel pentru prima oară în anii ‘30 de către Walter Shewhart, care a discutat acest concept în cartea sa “Statistical Method from the Viewpoint of Quality Control”. Mai târziu, acest concept a fost adoptat de către W. Edwards Deming, unul dintre cei mai cunoscuţi Quality Manageri din lume. Acest model furnizează un cadru de lucru pentru îmbunătăţirea unui proces sau a unui sistem. Poate fi utilizat ca instrument de ghidare pe întreg parcursul proiectului de îmbunătăţire sau pentru dezvoltarea unor proiecte specifice atunci când s-au identificat ariile ce necesită îmbunătăţiri.

În planificarea şi implementarea sistemului de management al securităţii informaţiilor, echipa CCT se va ghida după acest ciclu. Astfel, fazele propuse ale proiectului de implementare a sistemului de management al securităţii informatice vor urmări succesiunea acestui ciclu.

Plan – Planificare

În această fază, mai întâi trebuie analizată situaţia actuală a companiei, ceea ce este de îmbunătăţit, căutând acele arii care prezintă oportunităţi de schimbare. Planificarea trebuie să fie făcută cu un efort direcţionat. Eşecul planificării şi a prevenirii problemelor vor duce la pierderi de resurse umane, materiale, tehnologie şi timp. Această nereuşită va creşte costul sistemului, fără a adăuga valoare. 

Do - Implementare

După ce a fost realizată planificarea, se trece la fapte şi se realizează propriu-zis acţiunile. Este de preferat, în situaţiile în care acest lucru este posibil, să se realizeze implementarea mai întâi la o scară mai mică, pentru a putea preveni şi corecta eventualele inadvertenţe.

Check - Verificare

Ce s-a realizat prin schimbarea făcută? Ce a mers rău? Iată numai doua dintre întrebările care se pot pune în această etapă crucială a ciclului PDCA. Dupa ce s-a implementat sistemul pentru un interval de timp, va trebui să se determine cât de bine funcţionează. A dus într-adevăr sistemul implementat la ceea ce se dorea să se obţină? Important este să se determine care dintre parametrii sistemului trebuie măsuraţi şi cât de des trebuie măsuraţi pentru a monitoriza corect nivelul schimbării.

Act - Adoptarea sistemului, reînceperea ciclului

După ce a fost planificat sistemul, a fost implementat şi apoi monitorizat, trebuie decis dacă merită să continuaţi să îl aplicaţi. Dacă a consumat prea mult timp, s-a dovedit greu de integrat în activitate sau chiar nu a dus la îmbunătăţirea scontată, s-ar putea sa luati decizia de a renunţa la modificările efectuate sau de a planifica una nouă. Dacă, pe de altă parte, schimbările au dus la o îmbunătăţire considerabilă sau la un efect simţitor puteţi considera că este necesară continuarea ei. Aceste decizii vă vor trimite din nou la prima etapă a ciclului, unde veţi găsi poate o nouă soluţie de îmbunătăţire.