четвъртък, 18 януари 2018  RSS
    Барометър | Региони | Компании | Лица | Назначения


    912 прочитания

    Как става сертифицирането по ISO 27001?

    За условията, сроковете и цената на внедряване на международни стандарти, вижте какво сподели Емил Илиев, управител на "Си Ес Би" пред Economy.bg
    19 декември 2017, 14:03 a+ a- a

     „Всички сме чували за японското икономическо чудо, за бурния растеж, постигнат след Втората световна война. Обаче много малко са хората, които се замислят каква важна роля са изиграли високите критерии за качество на японците“, разказва ни Емил Илиев, управител на „Си Ес Би" ЕООД, сертификационен орган по ISO стандарти. „За съжаление, у нас използването на стандартите като управленски инструмент за постигането на по-високи резултати  често остава на заден план. Вместо това се търсят бързи решения, които си остават една формалност“, посочва той.

    Поводът за нашата среща е нарастващият интерес към един конкретен стандарт ISO27001.  По него се сертифицират системи за управление на информационната сигурност, които включват като елемент и защитата на лични данни. „Си Ес Би" ЕООД е една от трите компании, акредитирани от Българска служба за акредитация да сертифицират по този стандарт. Другите две са: „Ай Кю Серт“ ООД и „СЖС България“ ЕООД.

    Г-н Илиев, най-общо какво представляват ISO стандартите за управление?
    В България като че ли най-популярен е ISO 9001 – стандарт за управление на качеството. Той е претърпявал редица промени през годините. Както този стандарт, така и останалите ISO стандарти за управление имат сходна структура. Те най-общо представляват едно „ръководство“, което набелязва различни процедури. Предявява изисквания към организациите как тези процедури следва да бъдат разработени. Но не казват по същество и в детайли какво трябва да прави съответната компания. Например стандартът предявява изискване да бъде налична политика по качеството или политика за защита на личните данни и тя да бъде разгласена. Но не посочва как – дали на фирмения сайт, дали при поискване. Стандартите не са догма.

    Какво представляват одитирането и сертифицирането по даден ISO стандарт за управление?
    За да бъде сертифицирана една организация по даден стандарт се провежда одит. Т.е. проверява се дали организацията отговаря за изискванията, залегнали в съответния стандарт.

    Каква е ролята на консултантите в този процес?
    Никъде в стандартите за системи за управление няма изискване за консултантска намеса. Но практиката е наложила да се ползва съдействие от страна на консултантите при разработване на документацията на системата и нейното внедряване. Също и при провеждането на различни специализирани обучения. Не е реалистично обаче да се очаква консултантът да разработи цялата документация. Той може да познава много добре изискванията на стандарта, но няма как да познава спецификите на бизнеса на конкретната организация. Не е добра идея и да се заложи на някаква шаблонизирана документация, която е адекватна на изискванията на стандарта, но не е приспособена към процесите в конкретната компания. Това ще си останат няколко листа хартия, на които никой няма да обърне внимание и които няма да донесат реална полза за организацията.

    Има ли нещо специфично, касаещо конкретно сертификацията по ISO27001?
    Фамилията 27000 включва стандарти, свързани с управлението на информационната сигурност. Там има редица стандарти, но сертификация се извършва само по 27001. Останалите са допълнителни. Стандартът 27001 има приложение „А“, което е популярно като Декларация за приложимост на стандарта. В тази Декларация за приложимост има изписани редица механизми за контрол в отделните направления и нюанси на информационната сигурност, сред които и защитата на личните данни. 270002 е кодекс за добри практики. Една организация може да декларира, че спазва тези добри практики, но не може да го удостовери с ISO сертификат. В ISO 27001 се говори за управление на риска, добре би било организацията да познава ISO 27005, защото в него се посочва най-общо методика, с която може да се направи оценка на риска. Когато сертифицираме по ISO 27001, ние като сертификационен орган по никакъв начин не можем да предявим изискване към организациите да спазват и тези допълнителни стандарти.

    През какви етапи преминава сертификационният процес?
    Основните етапи са два. Най-напред имаме подготвителен етап. Първо, организацията се запознава с изискванията на стандарта, който иска да внедри. След това се прави анализ на кои от изискванията на стандарта компанията отговаря и в кои области трябва да се предприемат действия. Възможно е например стандартът да поставя изискване за наличие на политика по информационна сигурност. Компанията може реално да има такава, всички да са запознати с нея, но де факто да я няма описана в документ. Всяка една политика би следвало да бъде разработена на база добрите практики на организацията и приведена в съответствие със стандарта.

    След като организацията си направи анализ, каква е следващата стъпка?
    Следващата стъпка е да се осигури т.нар. документирана информация за системата. Това са всички онези доскоро наричани „документи и записи“ в една система, които са изискуеми по съответния международен стандарт. Понятието „документирана информация“ се въвежда от 2015 година, дотогава се боравеше с понятието „документи и записи“.

    Вътре в самия стандарт посочва ли се обхватът на тази документирана информация?
    Стандартът дава насоки какво включва съответната документирана информация. Тук е моментът да кажа, че стандартът има много общи изисквания. Стандартът не казва точно какво трябва да бъде разработено. По отношение на човешките ресурси стандартите казват, че трябва да бъдат съхранявани записи, свързани с компетентността на персонала. Толкова. Не определя какви записи. Всяка една организация би следвало според спецификата на своята дейност сама да прецени обема и съответно вида, в който ще съхранява тези обективни доказателства.

    В какво се изразява „внедряването“ на документацията?
    Това не е нищо друго, освен вземане на едно управленско решение от коя дата, от кой момент нататък започва да се прилага това, което е регламентирано по съответните документи.  Тук е мястото и на едно специализирано обучение. Разработената от двама или трима души процедура трябва да се спазва и изпълнява и от останалите двайсет и двама души в организацията, образно казано. Те трябва да бъдат запознати с изискванията. Това е т.нар. обучение при внедряване.

    Това обучение компанията сама ли си го организира?
    Това е задължение на организацията, която внедрява системата. Тук отварям една огромна скоба. Обикновено практиката показва, че организацията иска да внедри система за управление, съответстваща на даден стандарт, и понеже няма достатъчно време и няма достатъчно ресурси, прибягва към търсенето на консултантска помощ. И процесът стартира с избор на въпросната консултантска организация, която вече поема цялостната дейност по подготовката на системата за внедряване.

    Обичайно процесът по разработване и внедряване на документацията колко време отнема?
    Няма някакви общоприети срокове за изграждане и внедряване на системата. Това е въпрос на управленско решение и възможности на организацията. Ако организацията е решила наистина да внедри една система и да я използва като управленски механизми в своята дейност, тогава логично е времето за внедряване да е много по-голямо и би следвало да се очакват и по-задълбочени резултати. За съжаление, практиката показва, че в последно време съвременният мениджър няма много- много време за изграждане на системата. Обикновено казва: „Искам до 1 месец или до 2 месеца системата да бъде готова“. Аз бих казал, че между 1 и 3 месеца е времето за изграждане и внедряване на системата. Ако говорим за чисто документиране на система и покриването на минимум изисквания – това може да стане и за една седмица. Но това в никакъв случай не е добрата практика.

    А след приключване на подготвителния етап какво следва?
    При установяване на контакт с потенциален клиент ние събираме така наречената „предварителна информация“. Тя е необходима, за да бъдат изготвени конкретни условия за сертификация – технически и ценови параметри. От значение са както размерът на компанията, броят работни площадки, така и доколко рисков е секторът, в който тя оперира. Преценяват се и нашата готовност за сертификация, както и компетентност. Обикновено клиентът бърза. Но ние не сме в състояние да реагираме от днес за утре. При нас има практики има правила, които не могат да бъдат нарушавани. Не само, защото не искаме, а защото и чисто технологично няма как да се случи. Ние оферираме на клиента съответно цени и срокове за сертификация. Запознаваме го с общите правила за сертификация, които са валидни за абсолютно всички, независимо от какъв бранш. И при положение че клиентът приеме условията, практиката е да подпишем договор и стартираме процеса по сертификация. Планирането на датите и екипите става на базата на т.нар. човекодни, необходими за провеждане на одита. Тези човекодни не идват субективно от настроението на планиращия. Те са обусловени от стандартите на Международния акредитационен форум, в които се посочва съобразно броя на служителите и внедряваната система колко човекодни са необходими.

    С какво стартира процесът по сертификация?
    Организацията декларира своята готовност да бъде сертифицирана. Съгласуваме дати и екип. На съответните дати нашият екип отива на място. Всеки един одит започва с т.нар. откриващо заседание. Това е една среща на одиторския екип с ръководството на организацията, в която се обсъжда планът за одит; посочват се хората от страна на организацията, които ще придружават одитиращия екип; уточняват се детайли, свързани с работата на организацията като например работно време и график за почивки.

    Какво представлява сертификационният одит?
    Този одит обхваща две части. Първо, предварителен одит за запознаване до каква степен клиентът е готов за сертификация. Второ, пристъпване към същинската сертификация. Най-общо на първия етап нашите екипи установяват дали всичко е както трябва в документално отношение. Впоследствие проверяваме дали това, което е регламентирано, се спазва. Самият сертификационен процес включва метода на интервю със съответни представители на организацията и, разбира се, запознаване не само със самия процес, но и с всички документи и записи, които го съпровождат. По време на одита нашите екипи не са в състояние да проверят 100% дейността на организацията и нещата се случват на извадков принцип, да речем проверяваме комуникацията с няколко клиента или дейността в няколко клона на предприятието, не във всички. Важно е да отбележим, че одиторът не е консултант. Той не отива в организацията да каже как трябва да се случат нещата.

    Обичайно колко време минава от приключване на предварителния одит до започване на същинската сертификация?
    Периодът е от 1 до 90 дни.  Първо, организацията трябва да декларира готовност, както и ние, че можем да осигурим съответния екип, който предварително сме съгласували. При положение че всички тези неща са изпълнени, на следващия ден може да стартира провеждането на самия сертификационен одит. Но не бива да се остава с впечатление, че това е практика. Обикновено това се прави в организации с по-малък персонал, с по-малко на брой процеси, с по-малка сложност на дейността, с по-малък риск.

    Какво се случва, ако при предварителния одит констатирате несъответствия?
    Нашата практика е да ги документираме във вид на обобщени констатации, които се предоставят на организацията като бележки. Не даваме насоки как да бъдат отстранени, а само ги посочваме. Примерно стандартът изисква да бъде проведен вътрешен одит. Отивайки на етап 1 колегите установяват, че не е проведен вътрешен одит. Те нямат право да препоръчват какво и как да стане, а трябва да констатират, че не е проведен вътрешен одит към момента на етап 1 и трябва да информират ясно клиента, че ако до основния одит, примерно след 2 седмици, не е проведен вътрешен одит, това ще бъде констатирано като съществено несъответствие и няма как да бъде сертифицирана организацията. Целта на този предварителен одит е да се намалят до минимум проблемните въпроси и проблемните точки при една бъдеща сертификация.  Организацията може да поиска допълнително време за отстраняване на несъответсвието. По нашите правила това е допустимо. Но не бива времето от етап 1 до етап 2 да бъде повече от 90 дни.

    Как приключва сертификационният одит?
    Сертификационният одит трябва да приключи на място с т.нар. заключителна среща. По време на нея одиторският екип би следвало да сподели своите наблюдения и в кратка изводна форма да даде своето становище. Това обикновено прави ръководителят на екипа. Той може да препоръча фирмата за сертификация или да не я препоръча. Крайното решение се взема в сертификационната организация на базата на допълнителни проверки и анализи, свързани с изискванията за компетентност на персонала, комплектност на документацията и т.н. Този процес при нас завършва с т.нар. „сертификационно решение“, което може да бъде положително или отрицателно.

    От завършване на одита на място до излизане със сертификационно решение типично колко време минава?
    От 3 до 10 дни. Практиката при нас е следната: след приключване на одита на място, лидерът на екипа и колегите му имат до 5 работни дни да подготвят и окомплектоват всички документи, които са събрали по време на одита. Лидерът на екипа подготвя доклад за проведения одит. Ние в рамките на 2-3 дни можем да организираме преглед на този доклад и вземане на сертификационно решение. Провеждайки одит на място в организацията, одиторският екип може да констатира определени неизпълнения на изискванията или т.нар. несъответствия. Тези несъответсвия трябва да бъдат класифицирани. При нас те се делят на съществени и на несъществени. Ако има констатирани несъществени несъответствия, преди вземане на сертификационно решение, ние искаме от организацията да ни предостави план за действие как би отстранила тези несъответствия. Този план е елемент на вземането на сертификационното решение. При положение че се одобри този план, се взема сертификационно решение, издава се сертификат, а закриването на тези несъответствия се проверява на следващия надзорен одит.

    Кога се провежда този надзорен одит?
    Имаме три одита още. Освен сертификационен, имаме и два надзорни, които се провеждат през 12 месеца. Така че сертифицирайки организацията през месец ноември 2017 година, при наличието на 3 несъществени несъответствия, ако ние имаме план за тяхното отстраняване, който е одобрен, ние издаваме сертификат на организацията. Първата задача на следващия надзорен одит е да провери дали тези несъответсвия са отстранени или все още продължават под някаква форма да съществуват.

    Задължително ли е същата компания да осъществи и надзорния одит?
    Обикновено договорът за сертификация е 3-годишен. Той обхваща т.нар. сертификационен цикъл. Този сертификационен цикъл има съответните етапи – сертификация, 2 надзорни одита включително и ресертификационен одит. Те се планират в програмата за одит за дадената организация. За да бъде валиден сертификатът на една организация, практиката е надзорните одити да бъдат провеждани от същата организация. Ако по някаква причина клиентът реши да прекрати дейността си с дадена сертификационна организация и иска да продължи с друга, при спазване на клаузите на съответния договор, който е подписан, това е допустимо. Извършва се т.нар. „трансфер“.  Ако провеждайки надзорен одит на 12-ия месец, се установи, че системата за управление не се поддържа и няма основание да бъде потвърдена валидността на сертификата, тогава практиката е валидността да бъде временно отнета или сертификатът да бъде окончателно обявен за невалиден. Валидността се потвърждава след всеки надзорен одит.

    Колко струва процедурата по сертифициране?
    Ще бъде несериозно да ви кажа някаква цифра, а и подвеждащо. Но ще ви обясня механизма, по който се ценообразува. Като акредитирана сертификационна организация ние сме длъжни да спазим предвидените човекодни за съответния стандарт. Ако са необходими 3 човекодни за сертификация и по 2 човекодни за надзорни одити, общо това са 9 човекодни за целия сертификационен цикъл. Тези 9 човекодни имаме право да ги анализираме още веднъж и в зависимост от спецификата на организацията ние можем да ги увеличим или намалим. Но това увеличение или намаление не може да е с повече от 20%. Тези човекодни се остойностяват на база приетите ставки за цената на един човекоден. Различните сертификационни организации имат различни ставки, определени на пазарен принцип.



    Свързани новини
    Нагоре
    Отпечатай
     

    преди 27 минути
    Общо 600 млн. лв. са инвестирани у нас от началото на годината
    Инвестициите ще осигурят близо 900 нови работни места
    преди 1 час
    Coca-Cola открива ИТ развоен център в София
    Ще бъдат разкрити 130 работни места
    преди 1 час
    ЕК предложи по-гъвкави ставки на ДДС
    Новите правила обещават и по-малко бюрокрация за малките предприятия
    преди 2 часа