SlideShare a Scribd company logo

ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)

С
Светла Иванова

ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)

Government & Nonprofit
1 of 34
Download to read offline
Регламентирано Система за управление ISO 9001:2015 Система за управление на качеството (СУК) ISO 27001:2013 Система за управление на сигурността на информацията (СУСИ) ЗФУКПС Система за финансово управление и контрол в публичния сектор (СФУК) Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 0.1 Общи положения Регламент за управление на СУК Схема на организационната структура ISO 27001:2013 0.1 Общи положения Политика по сигурност на информацията Забележка И в двата стандарта тази клауза обяснява целта и ползите от тях. Стандартите имат различни обхвати – като ISO 9001 се фокусира върху качеството, а ISO 27001 се фокусира върху информационната сигурност. СФУК: Устройствен правилник
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 0.2 Принципи на управлението на качеството Регламент за управление на СУК ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 0.3 Процесен подход ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 0.4 Връзки с други стандарти на системата за управление ISO 27001:2013 0.2 Съвместимост с други стандарти на системата за управление Забележка И двата стандарта са приведени в съответствие с Annex SL - приложение, което определя рамката на всички системи за управление. Това прави възможно изграждането на единна интегрирана система за управление.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 1. Обект и област на приложение Регламент за управление на СУК ISO 27001:2013 1. Обект и област на приложение Политика по сигурност на информацията Забележка Тази клауза и за двата стандарта описва обхвата им в съответната система за управление. ISO 9001:2015 2. Нормативни позовавания Регламент за управление на СУК ISO 27001:2013 2. Нормативни позовавания Политика по сигурност на информацията Забележка ISO 9001:2015 - препраща към други стандарти, които са задължителни за прилагането на документа и също така са уникални. ISO 27001:2013 - единственият стандарт, който се смята за абсолютно необходим за използването на ISO 27002. Освен това в тази клауза се посочват различни други стандарти, като има и библиография. ISO 9001:2015 3. Термини и определения Регламент за управление на СУК ISO 27001:2013 3. Термини и определения Политика по сигурност на информацията Забележка ISO 9001:2015 - уникални за СУК дефиниции и някои общи термини, свързани с прилагането на Annex SL. Определенията на специализирани термини са в ISO 9000:2015 - Управление на качеството - Основи и речник. ISO 27001:2013 – всички специализирани термини и дефиниции са дефинирани в ISO 27000 и повечето се прилагат в цялото семейство стандарти ISO 27.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 4. Контекст на организацията ISO 27001:2013 4. Контекст на организацията Забележка За СУК и за СУСИ - контекстът на организацията означава нейната среда на функциониране. Изисква се контекстът да бъде определен както в рамките на организацията, така и извън нея. ISO 9001:2015 4.1 Разбиране на организацията и нейния контекст Регламент за управление на СУК ISO 27001:2013 4.1 Разбиране на организацията и нейния контекст Политика по сигурност на информацията Забележка Стандартите изискват организацията да определи вътрешните и външните фактори, свързани със способността й да постигне желаните резултати чрез система за управление. ISO 9001:2015 4.2. Разбиране на потребностите и очакванията на заинтересованите страни Регламент за управление на СУК ISO 27001:2013 4.2. Разбиране на потребностите и очакванията на заинтересованите страни Политика по сигурност на информацията Забележка Определят се заинтересованите страни, техните нужди и очаквания, които ще бъдат засегнати от системата за управление
К о н те к с т н а о р г а н и з а ц и я та : Външни фактори 1. ................ 2. ................ 3. ................ Вътрешни фактори 1. ................... 2. ................... 3. ...................
Заинтересовани страни на входа на бизнес процеса – органи на изпълнителната власт, научни среди, образователни институции, медии, граждани, международни институции, анализатори, предприятия, физически лица, административни източници на информация и др.  Изисквания: Осигуряване на достъпни и надеждни начини за изпълнението на законовите им задължения  Потребности: Навременна и достъпна информация относно начините за изпълнение на задълженията им, методология и указания за прилагането й, методическа помощ при възникнали затруднения, надеждна комуникация.  Очаквания: Свеждане до минимум на тежестта за заинтересованите страни. Осигуряване на възможност за подаване на информация и заявяване на услуга по най- удобния за тях начин. Заинтересовани страни на изхода на бизнес процеса – органи на изпълнителната власт, научни среди, образователни институции, медии, граждани, международни институции, анализатори, предприятия, физически лица, административни източници на информация и др.  Изисквания: Осигуряване на потребителски фокусирани услуги и информация  Потребности: Достъпна и разбираема информация относно начина за получаване на необходимата услуга, възможността за получаване на определена административна услуга, законосъобразността на предоставените информация и услуга, метаданни.  Очаквания: Предоставяне на точна, навременна и професионално независима информация или услуга по най-удобния за тях начин. И з и с к в а н и я , п отр е б н о с ти и оч а к в а н и я н а з а и н те р ес о ва н и т е с тр а н и от д е й н о с т т а н а о р г а н и з а ц и я та :
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 4.3 Определяне на обхвата на системата за управление на качеството ISO 27001:2013 4.3 Определяне на обхвата на системата за управление на сигурността на информацията Забележка И двата стандарта изискват обхвата да бъде дефиниран. ISO 9001:2015 изисква да се вземат под внимание продукти и услуги. ISO 27001:2013 изисква разглеждане на интерфейси и зависимости между процесите при определяне обхвата. ISO 9001:2015 4.4. Система за управление на качеството и нейните процеси ISO 27001:2013 4.4. Система за управление на сигурността на информацията Забележка Изискванията за СУК и СУСИ са еднакви: системата трябва да бъде установена, внедрена, документирана и постоянно подобрявана.
1. Събиране и обработка на заявени услуги или информация: 1.1. Управление на достъпа за работа с данни 1.2. Управление на несъответствията и корекции на получена информация 1.3. Управление на получената информация чрез информационни системи в режим онлайн 1.4. Управление на получената информация чрез документи на хартиен или електронен носител в режим офлайн 1.5. Управление на получената информация от административни източници и регистри 2. Предоставяне на отговор на заявени услуги или информация: 2.1. Предоставяне на стандартни удостоверителни услуги 2.2. Предоставяне на услуги по индивидуални заявки на потребители 2.3. Предоставяне на информация за медиите 3. Координация на процесите: 3.1. Управление на входящите документи 3.2. Управление на изходящите документи 4. Управление на риска: 4.1. Идентифициране и оценка на рисковете 4.2. Изготвяне на план за управлението на рисковете (риск регистър) 4.3. Мониторинг на рисковете и докладване 5. Управление на взаимоотношенията: 5.1. Взаимоотношения с доставчици на информация 5.1. Взаимоотношения с потребители на информация и услуги 5.3. Взаимоотношения с органи на изпълнителната власт, образователни и научни институции, други администрации О бх в а т н а СУ К и С У С И в о р г а н и з а ц и я та ( п р и м е р ) :
Силни страни  Много добра екипност, дължаща се на дългогодишната съвместна работа;  Възможност за взаимозаменяемост на служителите в кризисни ситуации;  Осигурена достъпност на всички служители до специализирани информационни системи;  Възможност за обмяна на знания и опит между експертите в администрацията поради сходството на дейностите и общия инструментариум, използван в събирането на данни;  Географска близост на структури на организацията с доставчици на информация и потребители на услуги и информация; ......... . Възможности  Въвеждане на система от индикатори за измерване на изпълнението;  Развитие на уменията на ръководните служители за използване на показатели, целеви стойности и анализ „разходи - ползи” като средство за планиране и управление;  Използване на бенчмаркинг практики между сходни структури в една организация и между структури на различни организации; .............. . С и л н и с тр а н и н а о р г а н и з а ц и я та и въ зм о ж н о с ти з а и з п ол з ва н ето и м п р и о с и г ур я ва н е н а СУ К и СУ С И ( п р и м е р ) :
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 5. Лидерство ISO 27001:2013 5. Лидерство Забележка Двата стандарта поставят изисквания и за двете системи за ангажираност, политика и отговорности относно управлението. Акцентът е повече върху лидерството, отколкото върху управлението. Поставят се изисквания към „висшето ръководство”, което е лицето или групата от хора, които ръководят и контролират организацията на най- високо ниво. ISO 9001:2015 5.1 Лидерство и ангажираност 5.1.1 Общи положения Регламент за управление на качеството ISO 27001:2013 5.1 Лидерство и ангажираност Политика по сигурност на информацията Забележка Изискванията в СУК и СУСИ са еднакви – ръководството трябва да се отнася към стандартите по един и същ начин по отношение на прилагането на политиките, осигуряването на ресурси, непрекъснатото подобрение, възлагането на роли и отговорности и т.н.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 5.1.2 Насоченост към клиента Регламент за управление на СУК ISO 27001:2013 Няма подобна клауза в ISO 27001 ISO 9001:2015 5.2 Политика 5.2.1 Създаване на политиката по качеството 5.2.2 Оповестяване на политиката по качеството Декларация на ръководството на организацията за осигуряване на качеството чрез СУК ISO 27001:2013 5.2 Политика Декларация на ръководството на организацията за осигуряване на политиката по сигурността на информацията чрез СУСИ Забележка Изискванията към двете системи са почти еднакви. Двете политики, които са разписани като отделни документи, трябва да кореспонират помежду си и да са съвместими за прилагане организацията. ISO 9001:2015 5.3 Роли, отговорности и правомощия в организацията Съвет по качеството в организацията, определен от ръководителя; Правилник за дейността на съвета по качеството ISO 27001:2013 5.3 Роли, отговорности и правомощия в организацията Комитет по сигурност на информацията, определен от ръководителя; Правила за работата на Комитета по сигурността на информацията Забележка Изискванията към двете системи са еднакви, така че ролите, отговорностите и правомощия могат да бъдат дефинирани в един документ.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 6. Планиране ISO 27001:2013 6. Планиране Забележка И двете системи изискват идентифициране и адресиране на рисковете и възможностите, произтичащи от контекста на организацията. Необходимо е да се определят потенциалните последици от промените – „мислене, основано на риска“ ISO 9001:2015 6.1 Действия за овладяване на рисковете и възможностите Програма за управление на рисковете и възможностите ISO 27001:2013 6.1 Действия за овладяване на рисковете и възможностите Процедура за оценка на риска и план за третиране на риска Методология за оценка на риска, свързан с информационната сигурност Забележка Управлението на риска изисква оценка и планиране на действия за справяне с риска и периодичен преглед на ефективността на изпълнението на планираните мерки. СФУК: Стратегия за управление на риска Методиката за управление на риска в контекста на ЗФУКПС Риск-регистър Доклади за управление на риска
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 6.2 Цели по качеството и планиране на дейностите за постигането им Програма за реализиране на целите по качество за съответната година ISO 27001:2013 6.2 Цели по качеството и планиране на дейностите за постигането им Програма за реализиране на целите на СУСИ за съответната година Забележка Целите и плановете за тяхната реализация и за двата стандарта могат да бъдат поставени в един документ ISO 9001:2015 6.3 Планиране на измененията ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка
Рол и , отго в о р н о с т и и п р а в о м о щи я в о р г а н и з а ц и я та ( п р и м е р ) :  СУК: Управление на процесите в организацията  Длъжностни характеристики  Работни групи със състав, определен със заповед на ръководителя на организацията Д е й с тв и я з а о в л а д я в а н е н а р и с к о в ете в о р г а н и з а ц и я та ( п р и м е р ) :  Стратегия за управлението на риска в организацията  Риск-регистър на организацията  Доклади за управление на риска в организацията П л а н и р а н е н а д е й н о с ти т е з а п о с ти г а н е н а ц е л и те н а о р г а н и з а ц и я та , с въ р з а н и съ с СУ К , СУ С И и С ФУ К ( п р и м е р ) :  СУК: Програма за реализиране на целите по качеството на организацията  СУСИ: Програма за реализиране на целите по информационна сигурност на организацията  СФУК: Цели на администрацията; План за дейността на организацията; Риск-регистър на организацията
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7. Поддържане ISO 27001:2013 7. Поддържане Забележка За да функционират двете системи, трябва да се гарантира, че организацията разполага с правилните ресурси, хора и инфраструктура за постигане на целите. ISO 9001:2015 7.1 Ресурси 7.1.1 Общи положения ISO 27001:2013 7.1 Ресурси Забележка Двата стандарта изискват от организацията да определи и предостави необходимите вътрешни и външни ресурси за създаване, внедряване, поддържане и непрекъснато подобряване на СУК и СУСИ. Може в един и същ процес от двете системи да бъдат изпълнени изисквания от двата стандарта (като например процеса на закупуване). Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.2 Човешки ресурси ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.1.3 Инфраструктура ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.4 Заобикаляща среда за изпълнение на процесите ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.5 Ресурси за наблюдение и измерване Списък на приложимите технически средства за наблюдение и измерване ISO 27001:2013 Няма подобна клауза в ISO 27001 Политика по сигурност на информацията Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.6 Знания и опит в организацията ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Документи: План за обучение на служителите; Оценяване на изпълнението на длъжността на служителите
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.2 Компетентност ISO 27001:2013 7.2 Компетентност Забележка Изискванията относно компетентността са еднакви и за двете системи - трябва да се идентифицира и осигури обучение за необходимите компетенции на служителите, (вкл. да се документира). Документи: План за обучение на служителите; Оценяване на изпълнението на длъжността на служителите ISO 9001:2015 7.3 Осъзнаване ISO 27001:2013 7.3 Осъзнаване Забележка И двете системи изискват служителите да са запознати със съответните политики и процедури, тяхната роля в управлението на системата и влиянието им върху представянето на организацията. Инструментариум: Интернет и интранет сайт на организацията; Административна информационни системи; Обучения; Работни срещи
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.4. Обмен на информация Регламент за управление на СУК ISO 27001:2013 7.4. Обмен на информация Процедура за обмен на информация Забележка Изискванията относно обмена на информация са еднакви и за двете системи и могат да бъдат постигнати чрез едни и същи процеси (например: съобщения на табла за обяви, изпращане на съобщения чрез имейл, редовни работни срещи и др.). ISO 9001:2015 7.5 Документирана информация Процедура за управление на документите Процедура за управление на записите ISO 27001:2013 7.5 Документирана информация Процедура за управление на документирана информация Забележка Изискванията на двата стандарта са еднакви по отношение на контрола на документираната информация. Може да бъде приложена една и съща процедура, така че да бъдат изпълнени изискванията и на двата стандарта и да се установи система за документиране. СФУК: Инструкция (правила) за деловодната дейност и документооборота в организацията
 План за обучение на служителите  Вътрешни обучения, инициирани от ръководителите на структури в организацията или други служители (документирани по установения ред)  Оценяване на изпълнението на длъжността на служителите О б м е н н а и н фо р м а ц и я в о р г а н и з а ц и я та ( п р и м е р ) :  Деловодна система и електронна поща  Обучения  Работни срещи  Информационни табла в сградите на организацията Уп р а в л е н и е н а д о к ум е н ти р а н а т а и н фо р м а ц и я в о р г а н и з а ц и я та ( п р и м е р ) :  Инструкция за деловодната дейност в организацията  Вътрешни правила за дейността на учрежденския архив в организацията Д е й н о с ти з а п о д д ъ р ж а н е н а з н а н и я та и к о м п ете н тн о с т и т е н а с лу ж и т е л и т е в о р г а н и з а ц и я т а ( п р и м е р ) :
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8. Дейности ISO 27001:2013 8. Дейности Забележка Тази клауза се отнася до изпълнението на плановете и процесите, които позволяват на организацията да отговори на изискванията на клиентите и да проектира продукти и услуги. ISO 9001:2015 8.1 Оперативно планиране и управление ISO 27001:2013 8.1 Оперативно планиране и управление Забележка ISO 9001:2015 – акцентира върху дефинирането и контрола на процесите. ISO 27001:2013 – фокусът е върху установяването на контрол на информационната сигурност. Документиране: Оперативното планиране в организацията е присъща дейност, съпътстваща изпълнението на ежедневните задължения – годишни програми за дейността, график за дейностите, индивидуални работни планове на служителите, утвърдени цели на администрацията и др.)
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.2 Изисквания за продуктите и услугите Процедури за организацията на дейностите от входа до изхода на работния процес ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 8.3 Проектиране и разработване на продукти и услуги Регламент за управление на СУК ISO 27001:2013 A.6.1.5 Информационна сигурност при управление на проекти Политика за сигурно разработване Процедура за сигурно разработване Забележка Една процедура за проектиране и развитие може да бъде част и от двете системи.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.4 Управление на процеси, продукти и услуги от външни доставчици Процедура управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 А.15 Сигурност за доставчици и трети страни Процедура за управление на доставчици Забележка Договорите с доставчиците следва да включват клаузи относно информационната сигурност, а информационната сигурност може да бъде един от критериите за оценка на доставчиците. Доставчиците се избират съобразно качеството на предлагания от тях продукт или услуга. СФУК: Вътрешни правила за обществените поръчки
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.5 Производство и предоставяне на услуга ISO 27001:2013 А.12 Оперативна сигурност Забележка Информационната сигурност съпътства ИТ процесите, които поддържат предоставянето на услуги. Планът за качество включва и политиките за информационна сигурност. ISO 9001:2015 8.6 Пускане на продукти и услуги Процедури за организацията на дейностите от входа до изхода на работния процес ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 8.7 Управление на несъответстващи изходни елементи Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 9. Оценяване на резултатността ISO 27001:2013 9. Оценяване на резултатността Забележка Оценката включва мониторинг, измерване и анализ, вътрешен одит и преглед от ръководството. Изискванията за мониторинг, измерване, анализ и оценка са обхванати и ще трябва да обмислите какво трябва да бъде измерено, използваните методи, когато данните трябва да бъдат анализирани и докладвани и на какви интервали. Документираната информация, която предоставя доказателства за това, трябва да се запази. Сега се набляга на прякото търсене на информация, която се отнася до това как клиентите виждат организацията. ISO 9001:2015 9.1 Наблюдение, измерване, анализ и оценяване Списък на приложимите технически средства за наблюдение и измерване Регламент за управление на СУК ISO 27001:2013 9.1 Наблюдение, измерване, анализ и оценяване Доклади от прегледи от ръководството Искане за предприемане на коригиращи действия Забележка Ефективността и на двете системи се доказва чрез наблюдение на параметрите, които са важни за реализацията на процесите – изискване и на двете системи. ISO 9001:2015 изисква и мониторинг на удовлетвореността на клиентите. Измерването на удовлетвореността на клиентите включва нивото на изпълнение на договорни и други изисквания.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 9.2 Вътрешен одит Процедура за вътрешни одити на СУК ISO 27001:2013 9.2 Вътрешен одит Годишна програма за провеждане на одити Доклади от вътрешен одит Искане за предприемане на коригиращи действия Забележка И за двете системи може да се прилага една и съща процедура. ISO 9001:2015 9.3 Преглед от ръководството Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 9.3 Преглед от ръководството Вътрешни правила за устройството и дейността на Комитет по сигурност на информацията Доклади от оперативни и обобщени прегледи от ръководството Забележка Въпреки че изискването в двата стандарти е едно и също, входните елементи на прегледът на управлението е различен. Резултатите от прегледа от ръководството на двете системи могат да се запишат в един и същ документ, но входните елементи трябва да са различни за всяка система.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 10. Подобряване ISO 27001:2013 10. Подобряване Забележка Подобряването и на двете системи обхваща несъответствия и коригиращи действия. Риск-регистрите за всяка от системите представлява план на превантивните дейности – т.е. подобрението е проактивна дейност по планиране. ISO 9001:2015 10.1 Общи положения ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 10.2 Несъответствие и коригиращо действие Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 10.2 Несъответствие и коригиращо действие Годишна програма за провеждане на одити на СУСИ Доклади от вътрешен одит Искане за предприемане на коригиращи действия Забележка Както във всяка система за управление, акцентът е върху непрекъснатото подобрение, което за СУК и СУСИ може да се реализира чрез съвместни процедура за коригиращи действия.
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 10.3 Постоянно подобряване Програма за управление на рисковете и възможностите ISO 27001:2013 10.3 Постоянно подобряване Процедура за оценка на риска и план за третиране Забележка Както във всяка система за управление, акцентът е върху непрекъснатото подобрение, което за СУК и СУСИ може да се реализира чрез съвместни процедура за коригиращи действия. СФУК: Риск-регистър на организацията ISO 9001:2015 Приложение A (информационно) Изясняване на новата структура, на терминологията и на понятията ISO 27001:2013 Няма подобно приложение в ISO 27001 ISO 9001:2015 Приложение B (информационно) Други международни стандарти, свързани с управление на качеството и със системи за управление на качеството, разработени от ISO/TC 176 ISO 27001:2013 Няма подобно приложение в ISO 27001
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 Няма подобно приложение в ISO 9001 ISO 27001:2013 Приложение А: Списък на проверките и техните цели Забележка ISO 27001:2013 определя 114 проверки в 14 клаузи и 35 контролни категории. В областта на информационната сигурност такива проверки защитават поверителността, целостта и достъпността на информацията. За да може плана за третиране на риска да предвиди адекватна реакция на срещу идентифицираните рискове, е необходимо да бъдат избрани и подходящи контроли. Проверките за сигурност са предпазни мерки за предотвратяване, откриване, противодействие или свеждане до минимум на рисковете за сигурността на физическите активи, информацията, компютърните системи или други активи. ISO 27001:2013 А.5: Политики за информационна сигурност (2 контроли) Политика по сигурност на информацията Процедура за управление на документирана информация
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.6: Организация на информационната сигурност (7 контроли) Политика за работа от разстояние Политика за мобилни устройства Процедура за работа с мобилни устройства и работа от разстояние Вътрешни правила за устройството и дейностите на експертна техническа комисия за изграждане и развитие на информационни ресурси Вътрешни правила за устройството и дейността на Комитет по сигурност на информацията Процедура за сигурност на мрежи и оборудване Методология за оценка на риска, свързан с информационната сигурност ISO 27001:2013 А.7: Сигурност на човешките ресурси – 6 контроли, които се прилагат преди, по време или след заетост Процедура за управление на човешките ресурси
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.8: Управление на активи (10 контроли) Процедура за управление на информационни активи Процедура за Класификация на информацията Процедура за работа с външни носители на информация Политика за унищожаване и повторно използване на информационни носители Процедура за унищожаване на информация и информационни носители Методология за оценка на риска, свързан с информационната сигурност ISO 27001:2013 А.9: Контрол на достъпа (14 контроли) Политика за управление на паролите Политика за унищожаване и повторно използване на информационни носители Процедура за управление на изходния код на програмите Политика за управление на достъпа Процедура за контрол на достъпа Политика за мрежова сигурност Процедура за сигурност на мрежи и оборудване
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.10: Криптографски технологии (2 контроли) План за непрекъснатост на работата ISO 27001:2013 А.11: Физическа сигурност на обектите и оборудването на организацията (15 контрола) Процедура за управление на информационни активи Политика за чисто бюро и чист екран Процедура за управление на физическия достъп Процедура за контрол на достъпа ISO 27001:2013 А.12: Оперативна сигурност (14 контроли) Процедура за управление на документирана информация Процедура за Управление на промените на информационни системи и средства за обработка на информация Политика за резервиране на информация Процедура за управление на архиви Процедура за управление на капацитета Политика за мрежова сигурност Процедура за сигурност на мрежи и оборудване Процедура за защита от злонамерен софтуер Методология за оценка на риска, свързан с информационната сигурност
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.13: Сигурни комуникации и пренос на данни (7 контроли) Процедура за обмен на информация Процедура за сигурност на мрежи и оборудване ISO 27001:2013 А.14: Изграждане, развитие и поддръжка на информационни системи (13 контроли) Процедура за обмен на информация Политика за сигурно разработване Процедура за сигурно разработване ISO 27001:2013 А.15: Сигурност за доставчици и трети страни (5 контроли) Политика по сигурност на информацията Процедура за управление на доставчици ISO 27001:2013 А.16: Управление на инциденти по сигурността на информацията (7 контроли) Политика по управление на инциденти Процедура за управление на инциденти
Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.17: Непрекъснатост на дейността / възстановяване след бедствие (до степен, която засяга информационната сигурност) (4 контроли) Политика по непрекъснатост на дейността и възстановяване от аварии Процедура на осигуряване на непрекъснатостта на дейността ISO 27001:2013 А.18: Съответствие - с вътрешни изисквания, като политики и с външни изисквания, като например закони. (8 контроли) Политика по сигурност на информацията Процедура за управление на документирана информация Процедура за управление на информационни активи Процедура за сигурност на мрежи и оборудване

Recommended

1 Identifikasi Sumber Pencemaran Air Limbah.pdf
1 Identifikasi Sumber Pencemaran Air Limbah.pdf1 Identifikasi Sumber Pencemaran Air Limbah.pdf
1 Identifikasi Sumber Pencemaran Air Limbah.pdfAriSutrisno5
 
Materi PPU 2023.pdf
Materi PPU 2023.pdfMateri PPU 2023.pdf
Materi PPU 2023.pdfKhalifRifqyRozitya1
 
Buku Panduan LCA Indonesia untuk PROPER
Buku Panduan LCA Indonesia untuk PROPERBuku Panduan LCA Indonesia untuk PROPER
Buku Panduan LCA Indonesia untuk PROPERArief54888
 
Draft Pedoman RS Pendidikan Diknas
Draft Pedoman RS Pendidikan DiknasDraft Pedoman RS Pendidikan Diknas
Draft Pedoman RS Pendidikan DiknasSuprijanto Rijadi
 
Adipura
AdipuraAdipura
AdipuraLaila Mukaromah
 
Bio medical waste mgt
Bio medical waste mgtBio medical waste mgt
Bio medical waste mgtRam Prasad
 
Membuat Dokumen Panduan bagi Rumah Sakit
Membuat Dokumen Panduan bagi Rumah SakitMembuat Dokumen Panduan bagi Rumah Sakit
Membuat Dokumen Panduan bagi Rumah SakitCahya Legawa
 
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertama
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertamaPedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertama
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertamaFendy dc
 

Recommended

1 Identifikasi Sumber Pencemaran Air Limbah.pdf
1 Identifikasi Sumber Pencemaran Air Limbah.pdf1 Identifikasi Sumber Pencemaran Air Limbah.pdf
1 Identifikasi Sumber Pencemaran Air Limbah.pdfAriSutrisno5
 
Materi PPU 2023.pdf
Materi PPU 2023.pdfMateri PPU 2023.pdf
Materi PPU 2023.pdfKhalifRifqyRozitya1
 
Buku Panduan LCA Indonesia untuk PROPER
Buku Panduan LCA Indonesia untuk PROPERBuku Panduan LCA Indonesia untuk PROPER
Buku Panduan LCA Indonesia untuk PROPERArief54888
 
Draft Pedoman RS Pendidikan Diknas
Draft Pedoman RS Pendidikan DiknasDraft Pedoman RS Pendidikan Diknas
Draft Pedoman RS Pendidikan DiknasSuprijanto Rijadi
 
Adipura
AdipuraAdipura
AdipuraLaila Mukaromah
 
Bio medical waste mgt
Bio medical waste mgtBio medical waste mgt
Bio medical waste mgtRam Prasad
 
Membuat Dokumen Panduan bagi Rumah Sakit
Membuat Dokumen Panduan bagi Rumah SakitMembuat Dokumen Panduan bagi Rumah Sakit
Membuat Dokumen Panduan bagi Rumah SakitCahya Legawa
 
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertama
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertamaPedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertama
Pedoman penyusunan dokumen akreditasi fasilitas kesehatan tingkat pertamaFendy dc
 
Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006raysa hasdi
 
Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)Nyak Nisa Ul Khairani
 
Pieprasītākās profesijas Latvijā
Pieprasītākās profesijas LatvijāPieprasītākās profesijas Latvijā
Pieprasītākās profesijas Latvijāliela_stunda
 
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...Joy Irman
 
ISO 45001 Standard
ISO 45001 StandardISO 45001 Standard
ISO 45001 StandardIBEX SYSTEMS
 
Perencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit PengolahanPerencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit PengolahanJoy Irman
 
Iso 14000 slide
Iso 14000 slideIso 14000 slide
Iso 14000 slideAdithya Chelat
 
ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)Colin Gray
 
Standar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptxStandar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptxbudiikhsan4
 
Biomedical Waste Management
Biomedical Waste ManagementBiomedical Waste Management
Biomedical Waste ManagementDr. Priyanka Wandhe
 
Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...Geetanjli Kalyan
 
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptxPengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptxGalih Endradita M
 
Apicultura
ApiculturaApicultura
ApiculturaVeniamin Barbu
 
MATERI ALKES.pptx
MATERI ALKES.pptxMATERI ALKES.pptx
MATERI ALKES.pptxsandyrubi4
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste managementHemaliAmin
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste managementDAYANAJOSE002
 
1. PPI .pdf
1. PPI .pdf1. PPI .pdf
1. PPI .pdfmuslihudin7
 
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]Ali Fuad R
 
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...Joy Irman
 
ISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness TrainingISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness TrainingMahendra K SHUKLA
 
Iso 27001
Iso 27001Iso 27001
Iso 27001dilcom
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качествотоThe Bulgarian Association of Regional Development Agencies (BARDA)
 

More Related Content

What's hot

Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006raysa hasdi
 
Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)Nyak Nisa Ul Khairani
 
Pieprasītākās profesijas Latvijā
Pieprasītākās profesijas LatvijāPieprasītākās profesijas Latvijā
Pieprasītākās profesijas Latvijāliela_stunda
 
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...Joy Irman
 
ISO 45001 Standard
ISO 45001 StandardISO 45001 Standard
ISO 45001 StandardIBEX SYSTEMS
 
Perencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit PengolahanPerencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit PengolahanJoy Irman
 
ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)Colin Gray
 
Standar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptxStandar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptxbudiikhsan4
 
Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...Geetanjli Kalyan
 
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptxPengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptxGalih Endradita M
 
MATERI ALKES.pptx
MATERI ALKES.pptxMATERI ALKES.pptx
MATERI ALKES.pptxsandyrubi4
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste managementHemaliAmin
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste managementDAYANAJOSE002
 
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]Ali Fuad R
 
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...Joy Irman
 
ISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness TrainingISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness TrainingMahendra K SHUKLA
 

What's hot (20)

Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006Pelingkupan permen 08 tahun 2006
Pelingkupan permen 08 tahun 2006
 
Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)Simbol dan Lambang Bahan Berbahaya Beracun (B3)
Simbol dan Lambang Bahan Berbahaya Beracun (B3)
 
Pieprasītākās profesijas Latvijā
Pieprasītākās profesijas LatvijāPieprasītākās profesijas Latvijā
Pieprasītākās profesijas Latvijā
 
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
Instalasi Pengolahan Lumpur Tinja (IPLT) - Tahap Konstruksi & Pekerjaan Mekan...
 
ISO 45001 Standard
ISO 45001 StandardISO 45001 Standard
ISO 45001 Standard
 
Perencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit PengolahanPerencanaan Teknis IPLT - Unit Pengolahan
Perencanaan Teknis IPLT - Unit Pengolahan
 
Iso 14000 slide
Iso 14000 slideIso 14000 slide
Iso 14000 slide
 
ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)ISO 9001:2015 Interpretation and Implementation (10/22/16)
ISO 9001:2015 Interpretation and Implementation (10/22/16)
 
Standar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptxStandar Klinik Bab 1 TKK Suprapto.pptx
Standar Klinik Bab 1 TKK Suprapto.pptx
 
Biomedical Waste Management
Biomedical Waste ManagementBiomedical Waste Management
Biomedical Waste Management
 
Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...Barrier to implementing Quality improvement initiatives in low resource limit...
Barrier to implementing Quality improvement initiatives in low resource limit...
 
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptxPengelolaan Dokumen dalam Akreditasi RS 2022.pptx
Pengelolaan Dokumen dalam Akreditasi RS 2022.pptx
 
Apicultura
ApiculturaApicultura
Apicultura
 
MATERI ALKES.pptx
MATERI ALKES.pptxMATERI ALKES.pptx
MATERI ALKES.pptx
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste management
 
Biomedical waste management
Biomedical waste managementBiomedical waste management
Biomedical waste management
 
1. PPI .pdf
1. PPI .pdf1. PPI .pdf
1. PPI .pdf
 
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
WEBINAR INTEGRATED MGT SYSTEM 9K 14K 45K [ok]
 
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
Sistem Pengelolaan Air Limbah Sistem Setempat (SPAL) – Sistem Pengelolaan Ter...
 
ISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness TrainingISO 14001 EMS Awarness Training
ISO 14001 EMS Awarness Training
 

Similar to ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)

Iso 27001
Iso 27001Iso 27001
Iso 27001dilcom
 
nZoom в помощ на СУК
nZoom в помощ на СУКnZoom в помощ на СУК
nZoom в помощ на СУКBGService Ltd.
 
Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Zbut.Eu
 
ePR.BG - Медиа мониторинг
ePR.BG - Медиа мониторингePR.BG - Медиа мониторинг
ePR.BG - Медиа мониторингKalin Vasilev
 
Оценка на ефективността от внедряване на ИСУ в организацията
Оценка на ефективността от внедряване на ИСУ в организациятаОценка на ефективността от внедряване на ИСУ в организацията
Оценка на ефективността от внедряване на ИСУ в организациятаZbut.Eu
 
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...Zbut.Eu
 
Tema 6 Products & quality 2019
Tema 6 Products & quality 2019Tema 6 Products & quality 2019
Tema 6 Products & quality 2019Dimitar Blagoev
 
Резултати от проект "Разработване и внедряване на система за оценка на компет...
Резултати от проект "Разработване и внедряване на система за оценка на компет...Резултати от проект "Разработване и внедряване на система за оценка на компет...
Резултати от проект "Разработване и внедряване на система за оценка на компет...Bulgarian Industrial Association
 
Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Kalin Vasilev
 
Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Kalin Vasilev
 
Style and Standards in Technical Communications
Style and Standards in Technical CommunicationsStyle and Standards in Technical Communications
Style and Standards in Technical CommunicationsMariana Vacca
 
Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Zdravko Stoychev, CISM, CRISC
 
Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011IBS Bulgaria
 

Similar to ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК) (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качеството
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качеството
 
nZoom в помощ на СУК
nZoom в помощ на СУКnZoom в помощ на СУК
nZoom в помощ на СУК
 
Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015
 
ePR.BG - Медиа мониторинг
ePR.BG - Медиа мониторингePR.BG - Медиа мониторинг
ePR.BG - Медиа мониторинг
 
Оценка на ефективността от внедряване на ИСУ в организацията
Оценка на ефективността от внедряване на ИСУ в организациятаОценка на ефективността от внедряване на ИСУ в организацията
Оценка на ефективността от внедряване на ИСУ в организацията
 
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...
Представяне работата на БИС/ТК 34 „Управление на качеството и оценяване на съ...
 
IO3 Module 4 - BG
IO3 Module 4 - BG IO3 Module 4 - BG
IO3 Module 4 - BG
 
Tema 6 Products & quality 2019
Tema 6 Products & quality 2019Tema 6 Products & quality 2019
Tema 6 Products & quality 2019
 
Presentation iso 50001 rev1
Presentation iso 50001 rev1Presentation iso 50001 rev1
Presentation iso 50001 rev1
 
Резултати от проект "Разработване и внедряване на система за оценка на компет...
Резултати от проект "Разработване и внедряване на система за оценка на компет...Резултати от проект "Разработване и внедряване на система за оценка на компет...
Резултати от проект "Разработване и внедряване на система за оценка на компет...
 
Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1
 
Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Курс качество на софтуера - част 1
Курс качество на софтуера - част 1
 
Style and Standards in Technical Communications
Style and Standards in Technical CommunicationsStyle and Standards in Technical Communications
Style and Standards in Technical Communications
 
Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001
 
Ivanov 176 ibz
Ivanov 176 ibzIvanov 176 ibz
Ivanov 176 ibz
 
Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4
 
VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14
 
Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011
 

More from Светла Иванова

AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...Светла Иванова
 
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...Светла Иванова
 
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...Consistency of the Generic Activity Model for Statistical Organizations (GAMS...
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...Светла Иванова
 
Value of official statistics: Recommendations on promoting, measuring and com...
Value of official statistics: Recommendations on promoting, measuring and com...Value of official statistics: Recommendations on promoting, measuring and com...
Value of official statistics: Recommendations on promoting, measuring and com...Светла Иванова
 
Подобряване на ефективността на регионалната структура на националния статист...
Подобряване на ефективността на регионалната структура на националния статист...Подобряване на ефективността на регионалната структура на националния статист...
Подобряване на ефективността на регионалната структура на националния статист...Светла Иванова
 
Наръчник Споделени добри практики - Институт по публична администрация
Наръчник Споделени добри практики - Институт по публична администрацияНаръчник Споделени добри практики - Институт по публична администрация
Наръчник Споделени добри практики - Институт по публична администрацияСветла Иванова
 
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...Светла Иванова
 
Enhancing Existing Risk Management in National Statistical Institutes by Usin...
Enhancing Existing Risk Management in National Statistical Institutes by Usin...Enhancing Existing Risk Management in National Statistical Institutes by Usin...
Enhancing Existing Risk Management in National Statistical Institutes by Usin...Светла Иванова
 
Guidelines on risk management practices in statistical organizations 2.0
Guidelines on risk management practices in statistical organizations 2.0Guidelines on risk management practices in statistical organizations 2.0
Guidelines on risk management practices in statistical organizations 2.0Светла Иванова
 
Трета есенна академия "Реформите в публичната администрация в огледалото на п...
Трета есенна академия "Реформите в публичната администрация в огледалото на п...Трета есенна академия "Реформите в публичната администрация в огледалото на п...
Трета есенна академия "Реформите в публичната администрация в огледалото на п...Светла Иванова
 
Opinion UNECE about statistical program for 2017, the Conference of European ...
Opinion UNECE about statistical program for 2017, the Conference of European ...Opinion UNECE about statistical program for 2017, the Conference of European ...
Opinion UNECE about statistical program for 2017, the Conference of European ...Светла Иванова
 
Relationship between ISO 9001:2015 and Scrum practices in the production and ...
Relationship between ISO 9001:2015 and Scrum practices in the production and ...Relationship between ISO 9001:2015 and Scrum practices in the production and ...
Relationship between ISO 9001:2015 and Scrum practices in the production and ...Светла Иванова
 
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...Светла Иванова
 
Talent Management: Accelerating Business Performance - Right Management
Talent Management: Accelerating Business Performance - Right ManagementTalent Management: Accelerating Business Performance - Right Management
Talent Management: Accelerating Business Performance - Right ManagementСветла Иванова
 
Introduction to Capabilities - Steven Vale, UNECE
Introduction to Capabilities - Steven Vale, UNECEIntroduction to Capabilities - Steven Vale, UNECE
Introduction to Capabilities - Steven Vale, UNECEСветла Иванова
 
Human resources management in modern statistics - Janusz Dygaszewicz, Central...
Human resources management in modern statistics - Janusz Dygaszewicz, Central...Human resources management in modern statistics - Janusz Dygaszewicz, Central...
Human resources management in modern statistics - Janusz Dygaszewicz, Central...Светла Иванова
 

More from Светла Иванова (20)

Барометър на нагласите
Барометър на нагласитеБарометър на нагласите
Барометър на нагласите
 
Three Lines of Defense
Three Lines of DefenseThree Lines of Defense
Three Lines of Defense
 
Statistical training frameworkа - HLG-MOS
Statistical training frameworkа - HLG-MOSStatistical training frameworkа - HLG-MOS
Statistical training frameworkа - HLG-MOS
 
GAMSO v1.2_29 jan
GAMSO v1.2_29 janGAMSO v1.2_29 jan
GAMSO v1.2_29 jan
 
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
 
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
AGILE MANAGEMENT AS AN ELEMENT OF THE MODERNIZATION OF THE TERRITORIAL STRUCT...
 
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...Consistency of the Generic Activity Model for Statistical Organizations (GAMS...
Consistency of the Generic Activity Model for Statistical Organizations (GAMS...
 
Value of official statistics: Recommendations on promoting, measuring and com...
Value of official statistics: Recommendations on promoting, measuring and com...Value of official statistics: Recommendations on promoting, measuring and com...
Value of official statistics: Recommendations on promoting, measuring and com...
 
Подобряване на ефективността на регионалната структура на националния статист...
Подобряване на ефективността на регионалната структура на националния статист...Подобряване на ефективността на регионалната структура на националния статист...
Подобряване на ефективността на регионалната структура на националния статист...
 
Наръчник Споделени добри практики - Институт по публична администрация
Наръчник Споделени добри практики - Институт по публична администрацияНаръчник Споделени добри практики - Институт по публична администрация
Наръчник Споделени добри практики - Институт по публична администрация
 
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...
ИПА - "Анализ на добри практики и изготвяне на предложения за въвеждане на гъ...
 
Enhancing Existing Risk Management in National Statistical Institutes by Usin...
Enhancing Existing Risk Management in National Statistical Institutes by Usin...Enhancing Existing Risk Management in National Statistical Institutes by Usin...
Enhancing Existing Risk Management in National Statistical Institutes by Usin...
 
Guidelines on risk management practices in statistical organizations 2.0
Guidelines on risk management practices in statistical organizations 2.0Guidelines on risk management practices in statistical organizations 2.0
Guidelines on risk management practices in statistical organizations 2.0
 
Трета есенна академия "Реформите в публичната администрация в огледалото на п...
Трета есенна академия "Реформите в публичната администрация в огледалото на п...Трета есенна академия "Реформите в публичната администрация в огледалото на п...
Трета есенна академия "Реформите в публичната администрация в огледалото на п...
 
Opinion UNECE about statistical program for 2017, the Conference of European ...
Opinion UNECE about statistical program for 2017, the Conference of European ...Opinion UNECE about statistical program for 2017, the Conference of European ...
Opinion UNECE about statistical program for 2017, the Conference of European ...
 
Relationship between ISO 9001:2015 and Scrum practices in the production and ...
Relationship between ISO 9001:2015 and Scrum practices in the production and ...Relationship between ISO 9001:2015 and Scrum practices in the production and ...
Relationship between ISO 9001:2015 and Scrum practices in the production and ...
 
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...
Regulation (EU) No 99/2013 of the European Parliament and of the Council on t...
 
Talent Management: Accelerating Business Performance - Right Management
Talent Management: Accelerating Business Performance - Right ManagementTalent Management: Accelerating Business Performance - Right Management
Talent Management: Accelerating Business Performance - Right Management
 
Introduction to Capabilities - Steven Vale, UNECE
Introduction to Capabilities - Steven Vale, UNECEIntroduction to Capabilities - Steven Vale, UNECE
Introduction to Capabilities - Steven Vale, UNECE
 
Human resources management in modern statistics - Janusz Dygaszewicz, Central...
Human resources management in modern statistics - Janusz Dygaszewicz, Central...Human resources management in modern statistics - Janusz Dygaszewicz, Central...
Human resources management in modern statistics - Janusz Dygaszewicz, Central...
 

ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)

  • 1.
  • 2. Регламентирано Система за управление ISO 9001:2015 Система за управление на качеството (СУК) ISO 27001:2013 Система за управление на сигурността на информацията (СУСИ) ЗФУКПС Система за финансово управление и контрол в публичния сектор (СФУК) Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 0.1 Общи положения Регламент за управление на СУК Схема на организационната структура ISO 27001:2013 0.1 Общи положения Политика по сигурност на информацията Забележка И в двата стандарта тази клауза обяснява целта и ползите от тях. Стандартите имат различни обхвати – като ISO 9001 се фокусира върху качеството, а ISO 27001 се фокусира върху информационната сигурност. СФУК: Устройствен правилник
  • 3. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 0.2 Принципи на управлението на качеството Регламент за управление на СУК ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 0.3 Процесен подход ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 0.4 Връзки с други стандарти на системата за управление ISO 27001:2013 0.2 Съвместимост с други стандарти на системата за управление Забележка И двата стандарта са приведени в съответствие с Annex SL - приложение, което определя рамката на всички системи за управление. Това прави възможно изграждането на единна интегрирана система за управление.
  • 4. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 1. Обект и област на приложение Регламент за управление на СУК ISO 27001:2013 1. Обект и област на приложение Политика по сигурност на информацията Забележка Тази клауза и за двата стандарта описва обхвата им в съответната система за управление. ISO 9001:2015 2. Нормативни позовавания Регламент за управление на СУК ISO 27001:2013 2. Нормативни позовавания Политика по сигурност на информацията Забележка ISO 9001:2015 - препраща към други стандарти, които са задължителни за прилагането на документа и също така са уникални. ISO 27001:2013 - единственият стандарт, който се смята за абсолютно необходим за използването на ISO 27002. Освен това в тази клауза се посочват различни други стандарти, като има и библиография. ISO 9001:2015 3. Термини и определения Регламент за управление на СУК ISO 27001:2013 3. Термини и определения Политика по сигурност на информацията Забележка ISO 9001:2015 - уникални за СУК дефиниции и някои общи термини, свързани с прилагането на Annex SL. Определенията на специализирани термини са в ISO 9000:2015 - Управление на качеството - Основи и речник. ISO 27001:2013 – всички специализирани термини и дефиниции са дефинирани в ISO 27000 и повечето се прилагат в цялото семейство стандарти ISO 27.
  • 5. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 4. Контекст на организацията ISO 27001:2013 4. Контекст на организацията Забележка За СУК и за СУСИ - контекстът на организацията означава нейната среда на функциониране. Изисква се контекстът да бъде определен както в рамките на организацията, така и извън нея. ISO 9001:2015 4.1 Разбиране на организацията и нейния контекст Регламент за управление на СУК ISO 27001:2013 4.1 Разбиране на организацията и нейния контекст Политика по сигурност на информацията Забележка Стандартите изискват организацията да определи вътрешните и външните фактори, свързани със способността й да постигне желаните резултати чрез система за управление. ISO 9001:2015 4.2. Разбиране на потребностите и очакванията на заинтересованите страни Регламент за управление на СУК ISO 27001:2013 4.2. Разбиране на потребностите и очакванията на заинтересованите страни Политика по сигурност на информацията Забележка Определят се заинтересованите страни, техните нужди и очаквания, които ще бъдат засегнати от системата за управление
  • 6. К о н те к с т н а о р г а н и з а ц и я та : Външни фактори 1. ................ 2. ................ 3. ................ Вътрешни фактори 1. ................... 2. ................... 3. ...................
  • 7. Заинтересовани страни на входа на бизнес процеса – органи на изпълнителната власт, научни среди, образователни институции, медии, граждани, международни институции, анализатори, предприятия, физически лица, административни източници на информация и др.  Изисквания: Осигуряване на достъпни и надеждни начини за изпълнението на законовите им задължения  Потребности: Навременна и достъпна информация относно начините за изпълнение на задълженията им, методология и указания за прилагането й, методическа помощ при възникнали затруднения, надеждна комуникация.  Очаквания: Свеждане до минимум на тежестта за заинтересованите страни. Осигуряване на възможност за подаване на информация и заявяване на услуга по най- удобния за тях начин. Заинтересовани страни на изхода на бизнес процеса – органи на изпълнителната власт, научни среди, образователни институции, медии, граждани, международни институции, анализатори, предприятия, физически лица, административни източници на информация и др.  Изисквания: Осигуряване на потребителски фокусирани услуги и информация  Потребности: Достъпна и разбираема информация относно начина за получаване на необходимата услуга, възможността за получаване на определена административна услуга, законосъобразността на предоставените информация и услуга, метаданни.  Очаквания: Предоставяне на точна, навременна и професионално независима информация или услуга по най-удобния за тях начин. И з и с к в а н и я , п отр е б н о с ти и оч а к в а н и я н а з а и н те р ес о ва н и т е с тр а н и от д е й н о с т т а н а о р г а н и з а ц и я та :
  • 8. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 4.3 Определяне на обхвата на системата за управление на качеството ISO 27001:2013 4.3 Определяне на обхвата на системата за управление на сигурността на информацията Забележка И двата стандарта изискват обхвата да бъде дефиниран. ISO 9001:2015 изисква да се вземат под внимание продукти и услуги. ISO 27001:2013 изисква разглеждане на интерфейси и зависимости между процесите при определяне обхвата. ISO 9001:2015 4.4. Система за управление на качеството и нейните процеси ISO 27001:2013 4.4. Система за управление на сигурността на информацията Забележка Изискванията за СУК и СУСИ са еднакви: системата трябва да бъде установена, внедрена, документирана и постоянно подобрявана.
  • 9. 1. Събиране и обработка на заявени услуги или информация: 1.1. Управление на достъпа за работа с данни 1.2. Управление на несъответствията и корекции на получена информация 1.3. Управление на получената информация чрез информационни системи в режим онлайн 1.4. Управление на получената информация чрез документи на хартиен или електронен носител в режим офлайн 1.5. Управление на получената информация от административни източници и регистри 2. Предоставяне на отговор на заявени услуги или информация: 2.1. Предоставяне на стандартни удостоверителни услуги 2.2. Предоставяне на услуги по индивидуални заявки на потребители 2.3. Предоставяне на информация за медиите 3. Координация на процесите: 3.1. Управление на входящите документи 3.2. Управление на изходящите документи 4. Управление на риска: 4.1. Идентифициране и оценка на рисковете 4.2. Изготвяне на план за управлението на рисковете (риск регистър) 4.3. Мониторинг на рисковете и докладване 5. Управление на взаимоотношенията: 5.1. Взаимоотношения с доставчици на информация 5.1. Взаимоотношения с потребители на информация и услуги 5.3. Взаимоотношения с органи на изпълнителната власт, образователни и научни институции, други администрации О бх в а т н а СУ К и С У С И в о р г а н и з а ц и я та ( п р и м е р ) :
  • 10. Силни страни  Много добра екипност, дължаща се на дългогодишната съвместна работа;  Възможност за взаимозаменяемост на служителите в кризисни ситуации;  Осигурена достъпност на всички служители до специализирани информационни системи;  Възможност за обмяна на знания и опит между експертите в администрацията поради сходството на дейностите и общия инструментариум, използван в събирането на данни;  Географска близост на структури на организацията с доставчици на информация и потребители на услуги и информация; ......... . Възможности  Въвеждане на система от индикатори за измерване на изпълнението;  Развитие на уменията на ръководните служители за използване на показатели, целеви стойности и анализ „разходи - ползи” като средство за планиране и управление;  Използване на бенчмаркинг практики между сходни структури в една организация и между структури на различни организации; .............. . С и л н и с тр а н и н а о р г а н и з а ц и я та и въ зм о ж н о с ти з а и з п ол з ва н ето и м п р и о с и г ур я ва н е н а СУ К и СУ С И ( п р и м е р ) :
  • 11. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 5. Лидерство ISO 27001:2013 5. Лидерство Забележка Двата стандарта поставят изисквания и за двете системи за ангажираност, политика и отговорности относно управлението. Акцентът е повече върху лидерството, отколкото върху управлението. Поставят се изисквания към „висшето ръководство”, което е лицето или групата от хора, които ръководят и контролират организацията на най- високо ниво. ISO 9001:2015 5.1 Лидерство и ангажираност 5.1.1 Общи положения Регламент за управление на качеството ISO 27001:2013 5.1 Лидерство и ангажираност Политика по сигурност на информацията Забележка Изискванията в СУК и СУСИ са еднакви – ръководството трябва да се отнася към стандартите по един и същ начин по отношение на прилагането на политиките, осигуряването на ресурси, непрекъснатото подобрение, възлагането на роли и отговорности и т.н.
  • 12. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 5.1.2 Насоченост към клиента Регламент за управление на СУК ISO 27001:2013 Няма подобна клауза в ISO 27001 ISO 9001:2015 5.2 Политика 5.2.1 Създаване на политиката по качеството 5.2.2 Оповестяване на политиката по качеството Декларация на ръководството на организацията за осигуряване на качеството чрез СУК ISO 27001:2013 5.2 Политика Декларация на ръководството на организацията за осигуряване на политиката по сигурността на информацията чрез СУСИ Забележка Изискванията към двете системи са почти еднакви. Двете политики, които са разписани като отделни документи, трябва да кореспонират помежду си и да са съвместими за прилагане организацията. ISO 9001:2015 5.3 Роли, отговорности и правомощия в организацията Съвет по качеството в организацията, определен от ръководителя; Правилник за дейността на съвета по качеството ISO 27001:2013 5.3 Роли, отговорности и правомощия в организацията Комитет по сигурност на информацията, определен от ръководителя; Правила за работата на Комитета по сигурността на информацията Забележка Изискванията към двете системи са еднакви, така че ролите, отговорностите и правомощия могат да бъдат дефинирани в един документ.
  • 13. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 6. Планиране ISO 27001:2013 6. Планиране Забележка И двете системи изискват идентифициране и адресиране на рисковете и възможностите, произтичащи от контекста на организацията. Необходимо е да се определят потенциалните последици от промените – „мислене, основано на риска“ ISO 9001:2015 6.1 Действия за овладяване на рисковете и възможностите Програма за управление на рисковете и възможностите ISO 27001:2013 6.1 Действия за овладяване на рисковете и възможностите Процедура за оценка на риска и план за третиране на риска Методология за оценка на риска, свързан с информационната сигурност Забележка Управлението на риска изисква оценка и планиране на действия за справяне с риска и периодичен преглед на ефективността на изпълнението на планираните мерки. СФУК: Стратегия за управление на риска Методиката за управление на риска в контекста на ЗФУКПС Риск-регистър Доклади за управление на риска
  • 14. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 6.2 Цели по качеството и планиране на дейностите за постигането им Програма за реализиране на целите по качество за съответната година ISO 27001:2013 6.2 Цели по качеството и планиране на дейностите за постигането им Програма за реализиране на целите на СУСИ за съответната година Забележка Целите и плановете за тяхната реализация и за двата стандарта могат да бъдат поставени в един документ ISO 9001:2015 6.3 Планиране на измененията ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка
  • 15. Рол и , отго в о р н о с т и и п р а в о м о щи я в о р г а н и з а ц и я та ( п р и м е р ) :  СУК: Управление на процесите в организацията  Длъжностни характеристики  Работни групи със състав, определен със заповед на ръководителя на организацията Д е й с тв и я з а о в л а д я в а н е н а р и с к о в ете в о р г а н и з а ц и я та ( п р и м е р ) :  Стратегия за управлението на риска в организацията  Риск-регистър на организацията  Доклади за управление на риска в организацията П л а н и р а н е н а д е й н о с ти т е з а п о с ти г а н е н а ц е л и те н а о р г а н и з а ц и я та , с въ р з а н и съ с СУ К , СУ С И и С ФУ К ( п р и м е р ) :  СУК: Програма за реализиране на целите по качеството на организацията  СУСИ: Програма за реализиране на целите по информационна сигурност на организацията  СФУК: Цели на администрацията; План за дейността на организацията; Риск-регистър на организацията
  • 16. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7. Поддържане ISO 27001:2013 7. Поддържане Забележка За да функционират двете системи, трябва да се гарантира, че организацията разполага с правилните ресурси, хора и инфраструктура за постигане на целите. ISO 9001:2015 7.1 Ресурси 7.1.1 Общи положения ISO 27001:2013 7.1 Ресурси Забележка Двата стандарта изискват от организацията да определи и предостави необходимите вътрешни и външни ресурси за създаване, внедряване, поддържане и непрекъснато подобряване на СУК и СУСИ. Може в един и същ процес от двете системи да бъдат изпълнени изисквания от двата стандарта (като например процеса на закупуване). Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.2 Човешки ресурси ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
  • 17. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.1.3 Инфраструктура ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.4 Заобикаляща среда за изпълнение на процесите ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.5 Ресурси за наблюдение и измерване Списък на приложимите технически средства за наблюдение и измерване ISO 27001:2013 Няма подобна клауза в ISO 27001 Политика по сигурност на информацията Забележка Тези дейности са елемент от корпоративната поддръжка в организацията. ISO 9001:2015 7.1.6 Знания и опит в организацията ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка Документи: План за обучение на служителите; Оценяване на изпълнението на длъжността на служителите
  • 18. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.2 Компетентност ISO 27001:2013 7.2 Компетентност Забележка Изискванията относно компетентността са еднакви и за двете системи - трябва да се идентифицира и осигури обучение за необходимите компетенции на служителите, (вкл. да се документира). Документи: План за обучение на служителите; Оценяване на изпълнението на длъжността на служителите ISO 9001:2015 7.3 Осъзнаване ISO 27001:2013 7.3 Осъзнаване Забележка И двете системи изискват служителите да са запознати със съответните политики и процедури, тяхната роля в управлението на системата и влиянието им върху представянето на организацията. Инструментариум: Интернет и интранет сайт на организацията; Административна информационни системи; Обучения; Работни срещи
  • 19. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 7.4. Обмен на информация Регламент за управление на СУК ISO 27001:2013 7.4. Обмен на информация Процедура за обмен на информация Забележка Изискванията относно обмена на информация са еднакви и за двете системи и могат да бъдат постигнати чрез едни и същи процеси (например: съобщения на табла за обяви, изпращане на съобщения чрез имейл, редовни работни срещи и др.). ISO 9001:2015 7.5 Документирана информация Процедура за управление на документите Процедура за управление на записите ISO 27001:2013 7.5 Документирана информация Процедура за управление на документирана информация Забележка Изискванията на двата стандарта са еднакви по отношение на контрола на документираната информация. Може да бъде приложена една и съща процедура, така че да бъдат изпълнени изискванията и на двата стандарта и да се установи система за документиране. СФУК: Инструкция (правила) за деловодната дейност и документооборота в организацията
  • 20.  План за обучение на служителите  Вътрешни обучения, инициирани от ръководителите на структури в организацията или други служители (документирани по установения ред)  Оценяване на изпълнението на длъжността на служителите О б м е н н а и н фо р м а ц и я в о р г а н и з а ц и я та ( п р и м е р ) :  Деловодна система и електронна поща  Обучения  Работни срещи  Информационни табла в сградите на организацията Уп р а в л е н и е н а д о к ум е н ти р а н а т а и н фо р м а ц и я в о р г а н и з а ц и я та ( п р и м е р ) :  Инструкция за деловодната дейност в организацията  Вътрешни правила за дейността на учрежденския архив в организацията Д е й н о с ти з а п о д д ъ р ж а н е н а з н а н и я та и к о м п ете н тн о с т и т е н а с лу ж и т е л и т е в о р г а н и з а ц и я т а ( п р и м е р ) :
  • 21. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8. Дейности ISO 27001:2013 8. Дейности Забележка Тази клауза се отнася до изпълнението на плановете и процесите, които позволяват на организацията да отговори на изискванията на клиентите и да проектира продукти и услуги. ISO 9001:2015 8.1 Оперативно планиране и управление ISO 27001:2013 8.1 Оперативно планиране и управление Забележка ISO 9001:2015 – акцентира върху дефинирането и контрола на процесите. ISO 27001:2013 – фокусът е върху установяването на контрол на информационната сигурност. Документиране: Оперативното планиране в организацията е присъща дейност, съпътстваща изпълнението на ежедневните задължения – годишни програми за дейността, график за дейностите, индивидуални работни планове на служителите, утвърдени цели на администрацията и др.)
  • 22. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.2 Изисквания за продуктите и услугите Процедури за организацията на дейностите от входа до изхода на работния процес ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 8.3 Проектиране и разработване на продукти и услуги Регламент за управление на СУК ISO 27001:2013 A.6.1.5 Информационна сигурност при управление на проекти Политика за сигурно разработване Процедура за сигурно разработване Забележка Една процедура за проектиране и развитие може да бъде част и от двете системи.
  • 23. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.4 Управление на процеси, продукти и услуги от външни доставчици Процедура управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 А.15 Сигурност за доставчици и трети страни Процедура за управление на доставчици Забележка Договорите с доставчиците следва да включват клаузи относно информационната сигурност, а информационната сигурност може да бъде един от критериите за оценка на доставчиците. Доставчиците се избират съобразно качеството на предлагания от тях продукт или услуга. СФУК: Вътрешни правила за обществените поръчки
  • 24. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 8.5 Производство и предоставяне на услуга ISO 27001:2013 А.12 Оперативна сигурност Забележка Информационната сигурност съпътства ИТ процесите, които поддържат предоставянето на услуги. Планът за качество включва и политиките за информационна сигурност. ISO 9001:2015 8.6 Пускане на продукти и услуги Процедури за организацията на дейностите от входа до изхода на работния процес ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 8.7 Управление на несъответстващи изходни елементи Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка
  • 25. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 9. Оценяване на резултатността ISO 27001:2013 9. Оценяване на резултатността Забележка Оценката включва мониторинг, измерване и анализ, вътрешен одит и преглед от ръководството. Изискванията за мониторинг, измерване, анализ и оценка са обхванати и ще трябва да обмислите какво трябва да бъде измерено, използваните методи, когато данните трябва да бъдат анализирани и докладвани и на какви интервали. Документираната информация, която предоставя доказателства за това, трябва да се запази. Сега се набляга на прякото търсене на информация, която се отнася до това как клиентите виждат организацията. ISO 9001:2015 9.1 Наблюдение, измерване, анализ и оценяване Списък на приложимите технически средства за наблюдение и измерване Регламент за управление на СУК ISO 27001:2013 9.1 Наблюдение, измерване, анализ и оценяване Доклади от прегледи от ръководството Искане за предприемане на коригиращи действия Забележка Ефективността и на двете системи се доказва чрез наблюдение на параметрите, които са важни за реализацията на процесите – изискване и на двете системи. ISO 9001:2015 изисква и мониторинг на удовлетвореността на клиентите. Измерването на удовлетвореността на клиентите включва нивото на изпълнение на договорни и други изисквания.
  • 26. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 9.2 Вътрешен одит Процедура за вътрешни одити на СУК ISO 27001:2013 9.2 Вътрешен одит Годишна програма за провеждане на одити Доклади от вътрешен одит Искане за предприемане на коригиращи действия Забележка И за двете системи може да се прилага една и съща процедура. ISO 9001:2015 9.3 Преглед от ръководството Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 9.3 Преглед от ръководството Вътрешни правила за устройството и дейността на Комитет по сигурност на информацията Доклади от оперативни и обобщени прегледи от ръководството Забележка Въпреки че изискването в двата стандарти е едно и също, входните елементи на прегледът на управлението е различен. Резултатите от прегледа от ръководството на двете системи могат да се запишат в един и същ документ, но входните елементи трябва да са различни за всяка система.
  • 27. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 10. Подобряване ISO 27001:2013 10. Подобряване Забележка Подобряването и на двете системи обхваща несъответствия и коригиращи действия. Риск-регистрите за всяка от системите представлява план на превантивните дейности – т.е. подобрението е проактивна дейност по планиране. ISO 9001:2015 10.1 Общи положения ISO 27001:2013 Няма подобна клауза в ISO 27001 Забележка ISO 9001:2015 10.2 Несъответствие и коригиращо действие Процедура за управление на несъответствията Процедура за коригиращи действия ISO 27001:2013 10.2 Несъответствие и коригиращо действие Годишна програма за провеждане на одити на СУСИ Доклади от вътрешен одит Искане за предприемане на коригиращи действия Забележка Както във всяка система за управление, акцентът е върху непрекъснатото подобрение, което за СУК и СУСИ може да се реализира чрез съвместни процедура за коригиращи действия.
  • 28. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 10.3 Постоянно подобряване Програма за управление на рисковете и възможностите ISO 27001:2013 10.3 Постоянно подобряване Процедура за оценка на риска и план за третиране Забележка Както във всяка система за управление, акцентът е върху непрекъснатото подобрение, което за СУК и СУСИ може да се реализира чрез съвместни процедура за коригиращи действия. СФУК: Риск-регистър на организацията ISO 9001:2015 Приложение A (информационно) Изясняване на новата структура, на терминологията и на понятията ISO 27001:2013 Няма подобно приложение в ISO 27001 ISO 9001:2015 Приложение B (информационно) Други международни стандарти, свързани с управление на качеството и със системи за управление на качеството, разработени от ISO/TC 176 ISO 27001:2013 Няма подобно приложение в ISO 27001
  • 29. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 9001:2015 Няма подобно приложение в ISO 9001 ISO 27001:2013 Приложение А: Списък на проверките и техните цели Забележка ISO 27001:2013 определя 114 проверки в 14 клаузи и 35 контролни категории. В областта на информационната сигурност такива проверки защитават поверителността, целостта и достъпността на информацията. За да може плана за третиране на риска да предвиди адекватна реакция на срещу идентифицираните рискове, е необходимо да бъдат избрани и подходящи контроли. Проверките за сигурност са предпазни мерки за предотвратяване, откриване, противодействие или свеждане до минимум на рисковете за сигурността на физическите активи, информацията, компютърните системи или други активи. ISO 27001:2013 А.5: Политики за информационна сигурност (2 контроли) Политика по сигурност на информацията Процедура за управление на документирана информация
  • 30. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.6: Организация на информационната сигурност (7 контроли) Политика за работа от разстояние Политика за мобилни устройства Процедура за работа с мобилни устройства и работа от разстояние Вътрешни правила за устройството и дейностите на експертна техническа комисия за изграждане и развитие на информационни ресурси Вътрешни правила за устройството и дейността на Комитет по сигурност на информацията Процедура за сигурност на мрежи и оборудване Методология за оценка на риска, свързан с информационната сигурност ISO 27001:2013 А.7: Сигурност на човешките ресурси – 6 контроли, които се прилагат преди, по време или след заетост Процедура за управление на човешките ресурси
  • 31. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.8: Управление на активи (10 контроли) Процедура за управление на информационни активи Процедура за Класификация на информацията Процедура за работа с външни носители на информация Политика за унищожаване и повторно използване на информационни носители Процедура за унищожаване на информация и информационни носители Методология за оценка на риска, свързан с информационната сигурност ISO 27001:2013 А.9: Контрол на достъпа (14 контроли) Политика за управление на паролите Политика за унищожаване и повторно използване на информационни носители Процедура за управление на изходния код на програмите Политика за управление на достъпа Процедура за контрол на достъпа Политика за мрежова сигурност Процедура за сигурност на мрежи и оборудване
  • 32. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.10: Криптографски технологии (2 контроли) План за непрекъснатост на работата ISO 27001:2013 А.11: Физическа сигурност на обектите и оборудването на организацията (15 контрола) Процедура за управление на информационни активи Политика за чисто бюро и чист екран Процедура за управление на физическия достъп Процедура за контрол на достъпа ISO 27001:2013 А.12: Оперативна сигурност (14 контроли) Процедура за управление на документирана информация Процедура за Управление на промените на информационни системи и средства за обработка на информация Политика за резервиране на информация Процедура за управление на архиви Процедура за управление на капацитета Политика за мрежова сигурност Процедура за сигурност на мрежи и оборудване Процедура за защита от злонамерен софтуер Методология за оценка на риска, свързан с информационната сигурност
  • 33. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.13: Сигурни комуникации и пренос на данни (7 контроли) Процедура за обмен на информация Процедура за сигурност на мрежи и оборудване ISO 27001:2013 А.14: Изграждане, развитие и поддръжка на информационни системи (13 контроли) Процедура за обмен на информация Политика за сигурно разработване Процедура за сигурно разработване ISO 27001:2013 А.15: Сигурност за доставчици и трети страни (5 контроли) Политика по сигурност на информацията Процедура за управление на доставчици ISO 27001:2013 А.16: Управление на инциденти по сигурността на информацията (7 контроли) Политика по управление на инциденти Процедура за управление на инциденти
  • 34. Международен стандарт Клаузи в стандартите Документи за целите на системите за управление ISO 27001:2013 А.17: Непрекъснатост на дейността / възстановяване след бедствие (до степен, която засяга информационната сигурност) (4 контроли) Политика по непрекъснатост на дейността и възстановяване от аварии Процедура на осигуряване на непрекъснатостта на дейността ISO 27001:2013 А.18: Съответствие - с вътрешни изисквания, като политики и с външни изисквания, като например закони. (8 контроли) Политика по сигурност на информацията Процедура за управление на документирана информация Процедура за управление на информационни активи Процедура за сигурност на мрежи и оборудване