ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)
ИНТЕГРИРАН ПОДХОД
ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)
Similar to ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)
Successful Social Software Integration: LCTY 2011IBS Bulgaria
Similar to ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК) (20)
Human resources management in modern statistics - Janusz Dygaszewicz, Central...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (СУК), СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И ФИНАНСОВО УПРАВЛЕНИЕ И КОНТРОЛ (СФУК)
1.
2. Регламентирано Система за управление
ISO 9001:2015 Система за управление на качеството (СУК)
ISO 27001:2013
Система за управление на сигурността на информацията
(СУСИ)
ЗФУКПС
Система за финансово управление и контрол в публичния
сектор (СФУК)
Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 0.1 Общи положения
Регламент за управление на СУК
Схема на организационната структура
ISO 27001:2013
0.1 Общи положения
Политика по сигурност на информацията
Забележка И в двата стандарта тази клауза
обяснява целта и ползите от тях.
Стандартите имат различни
обхвати – като ISO 9001 се
фокусира върху качеството, а ISO
27001 се фокусира върху
информационната сигурност.
СФУК: Устройствен правилник
3. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
0.2 Принципи на
управлението на качеството
Регламент за управление на СУК
ISO 27001:2013 Няма подобна клауза в ISO 27001
Забележка
ISO 9001:2015 0.3 Процесен подход
ISO 27001:2013 Няма подобна клауза в ISO 27001
Забележка
ISO 9001:2015
0.4 Връзки с други
стандарти на системата за
управление
ISO 27001:2013
0.2 Съвместимост с други
стандарти на системата за
управление
Забележка И двата стандарта са приведени в съответствие с Annex SL - приложение, което
определя рамката на всички системи за управление. Това прави възможно
изграждането на единна интегрирана система за управление.
4. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
1. Обект и област на
приложение
Регламент за управление на СУК
ISO 27001:2013
1. Обект и област на
приложение
Политика по сигурност на информацията
Забележка Тази клауза и за двата стандарта описва обхвата им в съответната система за
управление.
ISO 9001:2015 2. Нормативни позовавания Регламент за управление на СУК
ISO 27001:2013 2. Нормативни позовавания Политика по сигурност на информацията
Забележка ISO 9001:2015 - препраща към други стандарти, които са задължителни за
прилагането на документа и също така са уникални.
ISO 27001:2013 - единственият стандарт, който се смята за абсолютно необходим за
използването на ISO 27002. Освен това в тази клауза се посочват различни други
стандарти, като има и библиография.
ISO 9001:2015 3. Термини и определения Регламент за управление на СУК
ISO 27001:2013 3. Термини и определения Политика по сигурност на информацията
Забележка ISO 9001:2015 - уникални за СУК дефиниции и някои общи термини, свързани с
прилагането на Annex SL. Определенията на специализирани термини са в ISO
9000:2015 - Управление на качеството - Основи и речник.
ISO 27001:2013 – всички специализирани термини и дефиниции са дефинирани в ISO
27000 и повечето се прилагат в цялото семейство стандарти ISO 27.
5. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 4. Контекст на организацията
ISO 27001:2013 4. Контекст на организацията
Забележка За СУК и за СУСИ - контекстът на организацията означава нейната среда на
функциониране. Изисква се контекстът да бъде определен както в рамките на
организацията, така и извън нея.
ISO 9001:2015
4.1 Разбиране на организацията
и нейния контекст
Регламент за управление на СУК
ISO 27001:2013
4.1 Разбиране на организацията
и нейния контекст
Политика по сигурност на информацията
Забележка Стандартите изискват организацията да определи вътрешните и външните фактори,
свързани със способността й да постигне желаните резултати чрез система за
управление.
ISO 9001:2015
4.2. Разбиране на потребностите
и очакванията на
заинтересованите страни
Регламент за управление на СУК
ISO 27001:2013
4.2. Разбиране на потребностите
и очакванията на
заинтересованите страни
Политика по сигурност на информацията
Забележка Определят се заинтересованите страни, техните нужди и очаквания, които ще бъдат
засегнати от системата за управление
6. К о н те к с т н а о р г а н и з а ц и я та :
Външни фактори
1. ................
2. ................
3. ................
Вътрешни фактори
1. ...................
2. ...................
3. ...................
7. Заинтересовани страни на входа на бизнес
процеса – органи на изпълнителната власт,
научни среди, образователни институции,
медии, граждани, международни институции,
анализатори, предприятия, физически лица,
административни източници на информация и
др.
Изисквания: Осигуряване на достъпни и
надеждни начини за изпълнението на законовите
им задължения
Потребности: Навременна и достъпна
информация относно начините за изпълнение на
задълженията им, методология и указания за
прилагането й, методическа помощ при
възникнали затруднения, надеждна комуникация.
Очаквания: Свеждане до минимум на
тежестта за заинтересованите страни.
Осигуряване на възможност за подаване на
информация и заявяване на услуга по най-
удобния за тях начин.
Заинтересовани страни на изхода на бизнес
процеса – органи на изпълнителната власт,
научни среди, образователни институции,
медии, граждани, международни институции,
анализатори, предприятия, физически лица,
административни източници на информация и
др.
Изисквания: Осигуряване на потребителски
фокусирани услуги и информация
Потребности: Достъпна и разбираема
информация относно начина за получаване на
необходимата услуга, възможността за
получаване на определена административна
услуга, законосъобразността на предоставените
информация и услуга, метаданни.
Очаквания: Предоставяне на точна,
навременна и професионално независима
информация или услуга по най-удобния за тях
начин.
И з и с к в а н и я , п отр е б н о с ти и оч а к в а н и я н а
з а и н те р ес о ва н и т е с тр а н и от д е й н о с т т а н а о р г а н и з а ц и я та :
8. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
4.3 Определяне на обхвата на
системата за управление на
качеството
ISO 27001:2013
4.3 Определяне на обхвата на
системата за управление на
сигурността на информацията
Забележка И двата стандарта изискват обхвата да бъде дефиниран.
ISO 9001:2015 изисква да се вземат под внимание продукти и услуги.
ISO 27001:2013 изисква разглеждане на интерфейси и зависимости между процесите
при определяне обхвата.
ISO 9001:2015
4.4. Система за управление на
качеството и нейните процеси
ISO 27001:2013
4.4. Система за управление на
сигурността на информацията
Забележка Изискванията за СУК и СУСИ са еднакви: системата трябва да бъде установена,
внедрена, документирана и постоянно подобрявана.
9. 1. Събиране и обработка на заявени услуги
или информация:
1.1. Управление на достъпа за работа с данни
1.2. Управление на несъответствията и корекции
на получена информация
1.3. Управление на получената информация чрез
информационни системи в режим онлайн
1.4. Управление на получената информация чрез
документи на хартиен или електронен носител в
режим офлайн
1.5. Управление на получената информация от
административни източници и регистри
2. Предоставяне на отговор на заявени
услуги или информация:
2.1. Предоставяне на стандартни удостоверителни
услуги
2.2. Предоставяне на услуги по индивидуални
заявки на потребители
2.3. Предоставяне на информация за медиите
3. Координация на процесите:
3.1. Управление на входящите документи
3.2. Управление на изходящите документи
4. Управление на риска:
4.1. Идентифициране и оценка на рисковете
4.2. Изготвяне на план за управлението на
рисковете (риск регистър)
4.3. Мониторинг на рисковете и докладване
5. Управление на взаимоотношенията:
5.1. Взаимоотношения с доставчици на
информация
5.1. Взаимоотношения с потребители на
информация и услуги
5.3. Взаимоотношения с органи на
изпълнителната власт, образователни и научни
институции, други администрации
О бх в а т н а СУ К и С У С И в о р г а н и з а ц и я та ( п р и м е р ) :
10. Силни страни
Много добра екипност, дължаща се на
дългогодишната съвместна работа;
Възможност за взаимозаменяемост на
служителите в кризисни ситуации;
Осигурена достъпност на всички служители до
специализирани информационни системи;
Възможност за обмяна на знания и опит
между експертите в администрацията поради
сходството на дейностите и общия
инструментариум, използван в събирането на
данни;
Географска близост на структури на
организацията с доставчици на информация и
потребители на услуги и информация;
......... .
Възможности
Въвеждане на система от индикатори за
измерване на изпълнението;
Развитие на уменията на ръководните
служители за използване на показатели, целеви
стойности и анализ „разходи - ползи” като
средство за планиране и управление;
Използване на бенчмаркинг практики между
сходни структури в една организация и между
структури на различни организации;
.............. .
С и л н и с тр а н и н а о р г а н и з а ц и я та и въ зм о ж н о с ти з а
и з п ол з ва н ето и м п р и о с и г ур я ва н е н а СУ К и СУ С И
( п р и м е р ) :
11. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 5. Лидерство
ISO 27001:2013 5. Лидерство
Забележка Двата стандарта поставят изисквания и за двете системи за ангажираност, политика и
отговорности относно управлението. Акцентът е повече върху лидерството, отколкото
върху управлението. Поставят се изисквания към „висшето ръководство”, което е
лицето или групата от хора, които ръководят и контролират организацията на най-
високо ниво.
ISO 9001:2015
5.1 Лидерство и ангажираност
5.1.1 Общи положения
Регламент за управление на качеството
ISO 27001:2013 5.1 Лидерство и ангажираност
Политика по сигурност на информацията
Забележка Изискванията в СУК и СУСИ са еднакви – ръководството трябва да се отнася към
стандартите по един и същ начин по отношение на прилагането на политиките,
осигуряването на ресурси, непрекъснатото подобрение, възлагането на роли и
отговорности и т.н.
12. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
5.1.2 Насоченост към
клиента
Регламент за управление на СУК
ISO 27001:2013
Няма подобна клауза в ISO
27001
ISO 9001:2015
5.2 Политика
5.2.1 Създаване на
политиката по качеството
5.2.2 Оповестяване на
политиката по качеството
Декларация на ръководството на организацията
за осигуряване на качеството чрез СУК
ISO 27001:2013 5.2 Политика
Декларация на ръководството на организацията
за осигуряване на политиката по сигурността на
информацията чрез СУСИ
Забележка Изискванията към двете системи са почти еднакви. Двете политики, които са
разписани като отделни документи, трябва да кореспонират помежду си и да са
съвместими за прилагане организацията.
ISO 9001:2015
5.3 Роли, отговорности и
правомощия в организацията
Съвет по качеството в организацията, определен
от ръководителя; Правилник за дейността на
съвета по качеството
ISO 27001:2013
5.3 Роли, отговорности и
правомощия в организацията
Комитет по сигурност на информацията,
определен от ръководителя; Правила за
работата на Комитета по сигурността на
информацията
Забележка Изискванията към двете системи са еднакви, така че ролите, отговорностите и
правомощия могат да бъдат дефинирани в един документ.
13. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 6. Планиране
ISO 27001:2013 6. Планиране
Забележка И двете системи изискват идентифициране и адресиране на рисковете и
възможностите, произтичащи от контекста на организацията. Необходимо е да се
определят потенциалните последици от промените – „мислене, основано на риска“
ISO 9001:2015
6.1 Действия за овладяване на
рисковете и възможностите
Програма за управление на рисковете и
възможностите
ISO 27001:2013
6.1 Действия за овладяване на
рисковете и възможностите
Процедура за оценка на риска и план за
третиране на риска
Методология за оценка на риска, свързан с
информационната сигурност
Забележка Управлението на риска изисква
оценка и планиране на действия
за справяне с риска и периодичен
преглед на ефективността на
изпълнението на планираните
мерки.
СФУК: Стратегия за управление на риска
Методиката за управление на риска в контекста
на ЗФУКПС
Риск-регистър
Доклади за управление на риска
14. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
6.2 Цели по качеството и
планиране на дейностите за
постигането им
Програма за реализиране на целите по качество
за съответната година
ISO 27001:2013
6.2 Цели по качеството и
планиране на дейностите за
постигането им
Програма за реализиране на целите на СУСИ за
съответната година
Забележка Целите и плановете за тяхната реализация и за двата стандарта могат да бъдат
поставени в един документ
ISO 9001:2015 6.3 Планиране на измененията
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка
15. Рол и , отго в о р н о с т и и п р а в о м о щи я в о р г а н и з а ц и я та
( п р и м е р ) :
СУК: Управление на процесите в организацията
Длъжностни характеристики
Работни групи със състав, определен със заповед на ръководителя на организацията
Д е й с тв и я з а о в л а д я в а н е н а р и с к о в ете в
о р г а н и з а ц и я та ( п р и м е р ) :
Стратегия за управлението на риска в организацията
Риск-регистър на организацията
Доклади за управление на риска в организацията
П л а н и р а н е н а д е й н о с ти т е з а п о с ти г а н е н а ц е л и те н а
о р г а н и з а ц и я та , с въ р з а н и съ с СУ К , СУ С И и С ФУ К
( п р и м е р ) :
СУК: Програма за реализиране на целите по качеството на организацията
СУСИ: Програма за реализиране на целите по информационна сигурност на организацията
СФУК: Цели на администрацията; План за дейността на организацията; Риск-регистър на
организацията
16. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 7. Поддържане
ISO 27001:2013 7. Поддържане
Забележка За да функционират двете системи, трябва да се гарантира, че организацията
разполага с правилните ресурси, хора и инфраструктура за постигане на целите.
ISO 9001:2015
7.1 Ресурси
7.1.1 Общи положения
ISO 27001:2013 7.1 Ресурси
Забележка Двата стандарта изискват от организацията да определи и предостави необходимите
вътрешни и външни ресурси за създаване, внедряване, поддържане и непрекъснато
подобряване на СУК и СУСИ. Може в един и същ процес от двете системи да бъдат
изпълнени изисквания от двата стандарта (като например процеса на закупуване).
Тези дейности са елемент от корпоративната поддръжка в организацията.
ISO 9001:2015 7.1.2 Човешки ресурси
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
17. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 7.1.3 Инфраструктура
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
ISO 9001:2015
7.1.4 Заобикаляща среда за
изпълнение на процесите
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
ISO 9001:2015
7.1.5 Ресурси за наблюдение
и измерване
Списък на приложимите технически средства за
наблюдение и измерване
ISO 27001:2013
Няма подобна клауза в ISO
27001
Политика по сигурност на информацията
Забележка Тези дейности са елемент от корпоративната поддръжка в организацията.
ISO 9001:2015
7.1.6 Знания и опит в
организацията
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка Документи: План за обучение на служителите; Оценяване на изпълнението на
длъжността на служителите
18. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 7.2 Компетентност
ISO 27001:2013 7.2 Компетентност
Забележка Изискванията относно компетентността са еднакви и за двете системи - трябва да се
идентифицира и осигури обучение за необходимите компетенции на служителите,
(вкл. да се документира).
Документи: План за обучение на служителите; Оценяване на изпълнението на
длъжността на служителите
ISO 9001:2015 7.3 Осъзнаване
ISO 27001:2013 7.3 Осъзнаване
Забележка И двете системи изискват служителите да са запознати със съответните политики и
процедури, тяхната роля в управлението на системата и влиянието им върху
представянето на организацията.
Инструментариум: Интернет и интранет сайт на организацията; Административна
информационни системи; Обучения; Работни срещи
19. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 7.4. Обмен на информация
Регламент за управление на СУК
ISO 27001:2013 7.4. Обмен на информация
Процедура за обмен на информация
Забележка Изискванията относно обмена на информация са еднакви и за двете системи и могат
да бъдат постигнати чрез едни и същи процеси (например: съобщения на табла за
обяви, изпращане на съобщения чрез имейл, редовни работни срещи и др.).
ISO 9001:2015 7.5 Документирана информация
Процедура за управление на документите
Процедура за управление на записите
ISO 27001:2013 7.5 Документирана информация
Процедура за управление на документирана
информация
Забележка Изискванията на двата стандарта
са еднакви по отношение на
контрола на документираната
информация. Може да бъде
приложена една и съща
процедура, така че да бъдат
изпълнени изискванията и на
двата стандарта и да се установи
система за документиране.
СФУК: Инструкция (правила) за деловодната
дейност и документооборота в организацията
20. План за обучение на служителите
Вътрешни обучения, инициирани от ръководителите на структури в организацията или други
служители (документирани по установения ред)
Оценяване на изпълнението на длъжността на служителите
О б м е н н а и н фо р м а ц и я в о р г а н и з а ц и я та ( п р и м е р ) :
Деловодна система и електронна поща
Обучения
Работни срещи
Информационни табла в сградите на организацията
Уп р а в л е н и е н а д о к ум е н ти р а н а т а и н фо р м а ц и я в
о р г а н и з а ц и я та ( п р и м е р ) :
Инструкция за деловодната дейност в организацията
Вътрешни правила за дейността на учрежденския архив в организацията
Д е й н о с ти з а п о д д ъ р ж а н е н а з н а н и я та и
к о м п ете н тн о с т и т е н а с лу ж и т е л и т е в о р г а н и з а ц и я т а
( п р и м е р ) :
21. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 8. Дейности
ISO 27001:2013 8. Дейности
Забележка Тази клауза се отнася до изпълнението на плановете и процесите, които позволяват
на организацията да отговори на изискванията на клиентите и да проектира продукти
и услуги.
ISO 9001:2015
8.1 Оперативно планиране и
управление
ISO 27001:2013
8.1 Оперативно планиране и
управление
Забележка ISO 9001:2015 – акцентира върху дефинирането и контрола на процесите.
ISO 27001:2013 – фокусът е върху установяването на контрол на информационната
сигурност.
Документиране: Оперативното планиране в организацията е присъща дейност,
съпътстваща изпълнението на ежедневните задължения – годишни програми за
дейността, график за дейностите, индивидуални работни планове на служителите,
утвърдени цели на администрацията и др.)
22. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
8.2 Изисквания за продуктите и
услугите
Процедури за организацията на дейностите от
входа до изхода на работния процес
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка
ISO 9001:2015
8.3 Проектиране и разработване
на продукти и услуги
Регламент за управление на СУК
ISO 27001:2013
A.6.1.5 Информационна
сигурност при управление на
проекти
Политика за сигурно разработване
Процедура за сигурно разработване
Забележка Една процедура за проектиране и развитие може да бъде част и от двете системи.
23. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
8.4 Управление на процеси,
продукти и услуги от външни
доставчици
Процедура управление на несъответствията
Процедура за коригиращи действия
ISO 27001:2013
А.15 Сигурност за доставчици
и трети страни
Процедура за управление на доставчици
Забележка Договорите с доставчиците следва
да включват клаузи относно
информационната сигурност, а
информационната сигурност може
да бъде един от критериите за
оценка на доставчиците.
Доставчиците се избират
съобразно качеството на
предлагания от тях продукт или
услуга.
СФУК: Вътрешни правила за обществените
поръчки
24. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015
8.5 Производство и
предоставяне на услуга
ISO 27001:2013 А.12 Оперативна сигурност
Забележка Информационната сигурност съпътства ИТ процесите, които поддържат
предоставянето на услуги. Планът за качество включва и политиките за
информационна сигурност.
ISO 9001:2015
8.6 Пускане на продукти и
услуги
Процедури за организацията на дейностите от
входа до изхода на работния процес
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка
ISO 9001:2015
8.7 Управление на
несъответстващи изходни
елементи
Процедура за управление на несъответствията
Процедура за коригиращи действия
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка
25. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 9. Оценяване на резултатността
ISO 27001:2013 9. Оценяване на резултатността
Забележка Оценката включва мониторинг, измерване и анализ, вътрешен одит и преглед от
ръководството. Изискванията за мониторинг, измерване, анализ и оценка са обхванати
и ще трябва да обмислите какво трябва да бъде измерено, използваните методи,
когато данните трябва да бъдат анализирани и докладвани и на какви интервали.
Документираната информация, която предоставя доказателства за това, трябва да се
запази. Сега се набляга на прякото търсене на информация, която се отнася до това
как клиентите виждат организацията.
ISO 9001:2015
9.1 Наблюдение, измерване,
анализ и оценяване
Списък на приложимите технически средства за
наблюдение и измерване
Регламент за управление на СУК
ISO 27001:2013
9.1 Наблюдение, измерване,
анализ и оценяване
Доклади от прегледи от ръководството
Искане за предприемане на коригиращи действия
Забележка Ефективността и на двете системи се доказва чрез наблюдение на параметрите, които
са важни за реализацията на процесите – изискване и на двете системи. ISO
9001:2015 изисква и мониторинг на удовлетвореността на клиентите. Измерването на
удовлетвореността на клиентите включва нивото на изпълнение на договорни и други
изисквания.
26. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 9.2 Вътрешен одит Процедура за вътрешни одити на СУК
ISO 27001:2013 9.2 Вътрешен одит
Годишна програма за провеждане на одити
Доклади от вътрешен одит
Искане за предприемане на коригиращи действия
Забележка И за двете системи може да се прилага една и съща процедура.
ISO 9001:2015 9.3 Преглед от ръководството
Процедура за управление на несъответствията
Процедура за коригиращи действия
ISO 27001:2013 9.3 Преглед от ръководството
Вътрешни правила за устройството и дейността
на Комитет по сигурност на информацията
Доклади от оперативни и обобщени прегледи от
ръководството
Забележка Въпреки че изискването в двата стандарти е едно и също, входните елементи на
прегледът на управлението е различен. Резултатите от прегледа от ръководството на
двете системи могат да се запишат в един и същ документ, но входните елементи
трябва да са различни за всяка система.
27. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 10. Подобряване
ISO 27001:2013 10. Подобряване
Забележка Подобряването и на двете системи обхваща несъответствия и коригиращи действия.
Риск-регистрите за всяка от системите представлява план на превантивните дейности
– т.е. подобрението е проактивна дейност по планиране.
ISO 9001:2015 10.1 Общи положения
ISO 27001:2013
Няма подобна клауза в ISO
27001
Забележка
ISO 9001:2015
10.2 Несъответствие и
коригиращо действие
Процедура за управление на несъответствията
Процедура за коригиращи действия
ISO 27001:2013
10.2 Несъответствие и
коригиращо действие
Годишна програма за провеждане на одити на
СУСИ
Доклади от вътрешен одит
Искане за предприемане на коригиращи действия
Забележка Както във всяка система за управление, акцентът е върху непрекъснатото
подобрение, което за СУК и СУСИ може да се реализира чрез съвместни процедура за
коригиращи действия.
28. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 10.3 Постоянно подобряване
Програма за управление на рисковете и
възможностите
ISO 27001:2013 10.3 Постоянно подобряване
Процедура за оценка на риска и план за
третиране
Забележка Както във всяка система за
управление, акцентът е върху
непрекъснатото подобрение, което
за СУК и СУСИ може да се
реализира чрез съвместни
процедура за коригиращи
действия.
СФУК: Риск-регистър на организацията
ISO 9001:2015
Приложение A (информационно) Изясняване на новата структура, на
терминологията и на понятията
ISO 27001:2013 Няма подобно приложение в ISO 27001
ISO 9001:2015
Приложение B (информационно) Други международни стандарти, свързани с
управление на качеството и със системи за управление на качеството,
разработени от ISO/TC 176
ISO 27001:2013 Няма подобно приложение в ISO 27001
29. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 9001:2015 Няма подобно приложение в ISO 9001
ISO 27001:2013 Приложение А: Списък на проверките и техните цели
Забележка ISO 27001:2013 определя 114 проверки в 14 клаузи и 35 контролни категории.
В областта на информационната сигурност такива проверки защитават
поверителността, целостта и достъпността на информацията. За да може плана за
третиране на риска да предвиди адекватна реакция на срещу идентифицираните
рискове, е необходимо да бъдат избрани и подходящи контроли.
Проверките за сигурност са предпазни мерки за предотвратяване, откриване,
противодействие или свеждане до минимум на рисковете за сигурността на
физическите активи, информацията, компютърните системи или други активи.
ISO 27001:2013
А.5: Политики за
информационна сигурност (2
контроли)
Политика по сигурност на информацията
Процедура за управление на документирана
информация
30. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 27001:2013
А.6: Организация на
информационната сигурност
(7 контроли)
Политика за работа от разстояние
Политика за мобилни устройства
Процедура за работа с мобилни устройства и
работа от разстояние
Вътрешни правила за устройството и дейностите
на експертна техническа комисия за изграждане и
развитие на информационни ресурси
Вътрешни правила за устройството и дейността
на Комитет по сигурност на информацията
Процедура за сигурност на мрежи и оборудване
Методология за оценка на риска, свързан с
информационната сигурност
ISO 27001:2013
А.7: Сигурност на човешките
ресурси – 6 контроли, които се
прилагат преди, по време или
след заетост
Процедура за управление на човешките ресурси
31. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 27001:2013
А.8: Управление на активи (10
контроли)
Процедура за управление на информационни
активи
Процедура за Класификация на информацията
Процедура за работа с външни носители на
информация
Политика за унищожаване и повторно използване
на информационни носители
Процедура за унищожаване на информация и
информационни носители
Методология за оценка на риска, свързан с
информационната сигурност
ISO 27001:2013
А.9: Контрол на достъпа (14
контроли)
Политика за управление на паролите
Политика за унищожаване и повторно използване
на информационни носители
Процедура за управление на изходния код на
програмите
Политика за управление на достъпа
Процедура за контрол на достъпа
Политика за мрежова сигурност
Процедура за сигурност на мрежи и оборудване
32. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 27001:2013
А.10: Криптографски
технологии (2 контроли)
План за непрекъснатост на работата
ISO 27001:2013
А.11: Физическа сигурност на
обектите и оборудването на
организацията (15 контрола)
Процедура за управление на информационни
активи
Политика за чисто бюро и чист екран
Процедура за управление на физическия достъп
Процедура за контрол на достъпа
ISO 27001:2013
А.12: Оперативна сигурност
(14 контроли)
Процедура за управление на документирана
информация
Процедура за Управление на промените на
информационни системи и средства за обработка
на информация
Политика за резервиране на информация
Процедура за управление на архиви
Процедура за управление на капацитета
Политика за мрежова сигурност
Процедура за сигурност на мрежи и оборудване
Процедура за защита от злонамерен софтуер
Методология за оценка на риска, свързан с
информационната сигурност
33. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 27001:2013
А.13: Сигурни комуникации и
пренос на данни (7 контроли)
Процедура за обмен на информация
Процедура за сигурност на мрежи и оборудване
ISO 27001:2013
А.14: Изграждане, развитие и
поддръжка на информационни
системи (13 контроли)
Процедура за обмен на информация
Политика за сигурно разработване
Процедура за сигурно разработване
ISO 27001:2013
А.15: Сигурност за доставчици
и трети страни (5 контроли)
Политика по сигурност на информацията
Процедура за управление на доставчици
ISO 27001:2013
А.16: Управление на инциденти
по сигурността на
информацията (7 контроли)
Политика по управление на инциденти
Процедура за управление на инциденти
34. Международен
стандарт
Клаузи в стандартите
Документи за целите на системите за
управление
ISO 27001:2013
А.17: Непрекъснатост на
дейността / възстановяване
след бедствие (до степен,
която засяга
информационната сигурност)
(4 контроли)
Политика по непрекъснатост на дейността и
възстановяване от аварии
Процедура на осигуряване на непрекъснатостта
на дейността
ISO 27001:2013
А.18: Съответствие - с
вътрешни изисквания, като
политики и с външни
изисквания, като например
закони. (8 контроли)
Политика по сигурност на информацията
Процедура за управление на документирана
информация
Процедура за управление на информационни
активи
Процедура за сигурност на мрежи и оборудване