2012-02-16

Advicom spółka informatyczna należąca do JSW SA
uzyskała certyfikat ISO 27001 w zakresie zarządzania bezpieczeństwem
informacji  oraz ISO 20000w zakresie zarządzania jakością usług IT.

Proces certyfikacji przeprowadzony został przez jednostkę certyfikacyjną w listopadzie 2011r. System spotkał się z bardzo dużym uznaniem audytorów jednostki certyfikacyjnej, której przedstawiciele wręczyli stosowne certyfikaty w grudniu 2011r.

Projekt wdrożenia obu systemów powierzony został PBSG. W całości prace obejmowały:

Etap 1

Planowanie systemu zarządzania

1.  Opracowanie koncepcji systemu – zebranie informacji i uzgodnienie podejścia w zakresie struktury ról, katalogu usług, klasyfikacji informacji oraz analizy ryzyka

2.  Opracowanie struktury ról i odpowiedzialności  – określenie i uzgodnienie ról w systemie zarządzania wraz z osobami je sprawującymi, określenie odpowiedzialności i uprawnienia, przygotowanie modyfikacji regulaminu organizacyjnego i stanowiskowych kart pracy

3.  Opracowanie wytycznych do katalogu usług biznesowych, umów SLA, analizy ryzyka i klasyfikacji informacji – określenie i uzgodnienie struktury katalogu usług, opisu usług, umów SLA oraz modelu klasyfikacji informacji i analizy ryzyka                                                                            

4.  Powołanie zespołu roboczego

5.  Szkolenie dla zespołu roboczego – przygotowanie i przeprowadzenie szkolenia dla członków zespołu  roboczego

Etap1A

Opracowanie dokumentacji w zakresie danych osobowych

1.  Wykonie audytu systemów informatycznych powierzonych do administracji w celu rozpoznania systemów przetwarzających dane osobowe.

Etap 2

Budowa podstaw systemu zarządzania

1.  Budowa metodyk  – opracowanie i uzgodnienie w zespole roboczym metodyki klasyfikacji informacji oraz analizy ryzyka, wraz z przygotowaniem narzędzi

2.  Przeprowadzenie Klasyfikacji informacji  – zespół roboczy dokona identyfikacji informacji podlegających ochronie oraz określi zasady postępowania z poszczególnymi typami informacji

3.  Przeprowadzenie Analizy ryzyka – zespół roboczy zidentyfikuje zagrożenia i podatności oraz oceni ryzyko bezpieczeństwa informacji

4.  Raport oraz Plan minimalizacji ryzyka – zespół roboczy podsumuje wyniki analizy oraz określi działania niezbędne w celu minimalizacji ryzyk

5.  Uzgodnienie Raportu – raport zostanie uzgodniony wewnętrznie

6.  Budowa Katalogu usług i SLA – zespół roboczy zidentyfikuje usługi informatyczne, dokona ich opisu oraz opracuje szablon umowy SLA

7.  Uzgodnienie Katalogu usług i SLA z Biznesem – opracowany Katalog usług oraz propozycje umów SLA zostaną zaprezentowane przez przedstawiciela zespołu roboczego Biznesowi i uzgodnione z nim

Etap 3

Opracowanie dokumentacji procesów systemu zarządzania

1.  Modelowanie procesów – opracowanie przez zespół mapy procesów

2.  Opracowanie dokumentów dla procesów – opracowanie przez zespół szczegółowych elementów poszczególnych procesów (opis procesu, procedury, instrukcje)

3.  Uzgodnienie dokumentacji – przedstawienie dokumentacji opracowanej przez zespół pozostałym jednostkom organizacyjnym w celu uzgodnienia ich postaci końcowej oraz naniesienie niezbędnych modyfikacji

4.  Zatwierdzenie dokumentacji – skompletowanie i zamknięcie dokumentacji przez zespół roboczy, zatwierdzenie dokumentacji przez Kierownictwo do opublikowania po przeprowadzeniu szkoleń, publikacja dokumentacji

Etap 4

Opracowanie planów

1.  Opracowanie i testowanie Planu ciągłości działania – opracowanie przez zespół planów ciągłości działania dla wyznaczonych usług/systemów oraz przez przeprowadzenie i udokumentowanie testów

2.  Opracowanie i weryfikacja Planu rozwoju usług – opracowanie przez zespół roboczy planu rozwoju usług IT ujętych w Katalogu usług

Etap 5

Wdrożenie systemu zarządzania

1.  Przygotowanie i przeprowadzenie szkoleń dla osób sprawujących kluczowe role – konsultanci opracują i przeprowadzą szkolenia dla pracowników sprawujących kluczowe role, tj. pełnomocnika, właścicieli procesów, właścicieli usług, koordynatorów obszarów

2.  Przygotowanie i przeprowadzenie szkolenia dla Pracowników – wyznaczone osoby z zespołu roboczego przygotują i przeprowadzą szkolenia dla pracowników z opracowaniej dokumentacji systemu zarządzania

3.  Wdrożenie dokumentacji –  uruchomienie systemu zarządzania, publikacja dokumentacji, obwieszczenie pracownikom startu systemu, aktualizacja regulaminów

Etap 6

Doskonalenie systemu zarządzania

1.  Szkolenie Audytorów wewnętrznych –  opracowanie i przeprowadzenie przez konsultantów szkoleń dla audytorów wewnętrznych (dwudniowe szkolenie z wymagań norm oraz zasad audytowania, kończące się egzaminem i wydanem certyfikatu audytora wewnętrznego)

2.  Audyty wewnętrzne i raportowanie – zaplanowanie, przeprowadzenie i udokumentowanie audytów wewnętrznych przez przeszkolonych audytorów pod nadzorem konsultantów

3.  Ponowna Analiza ryzyka i ocena Usług – przeprowadzenie przez zespół ponownej analizy ryzyka i oceny usług

4.  Przegląd zarządzania  – przeprowadzenie przeglądu zarządzania z udziałem kierownictwa, na podstawie wyników audytu, analizy ryzyka oraz innych informacji z systemu

Etap 7

Certyfikacja systemu zarządzania

1. Audyt zewnętrzny certyfikujący