Leita í fréttum mbl.is

Bloggfærslur mánaðarins, febrúar 2008

Rekstraröryggi og stjórnun rekstrarsamfellu

Þriðjudaginn 19. febrúar hélt Skýrslutæknifélagi Íslands hádegisverðarfund þar sem fundarefnið var rekstraröryggi og stjórnun rekstrarsamfellu.  Fjallað var "um faglega rekstrarstjórnun með beitingu staðla til að ná fram öryggi og til að tryggja samfelldan rekstur", eins og segir í fundarboði.  Þrír fyrirlesarar skoðuðu hver sinn staðalinn, þ.e. BS 25999, ISO 27002 og ISO 20000. 

Fyrir þá sem ekki þekkja til, er rétt að skoða áður en lengra er haldið hvað felst í stjórnun rekstrarsamfellu.  Það er markmið stjórnunar rekstrarsamfellu að tryggja samfelldan rekstur þeirrar starfsemi sem stjórnkerfið nær til.  Þetta þýðir í stuttu máli að greina fyrirfram hugsanleg áhrif af margvíslegum atvikum sem dregið geta úr hæfi fyrirtækis til að starfa á eðlilegan hátt og þar með auka getu fyrirtækisins til að þola að hluti starfsemi þess falli niður.  Bestur árangur við stjórnun rekstrarsamfellu næst, ef stjórnkerfið er drifið áfram af rekstrarlegum/viðskiptalegum sjónarmiðum, þannig að úrræði eru miðuð við að viðskiptavinurinn verði sem minnst var við áföll.

Breski staðallinn BS 25999 kemur í tveimur hlutum, þ.e. BS 25999-1 Code of practice for business continuity management og BS 25999-2 Business continuity management - Specification.  Fyrri hlutinn er með leiðbeiningar um það hvað á að vera í góðu stjórnkerfi rekstrarsamfellu, en síðari hlutinn lýsir kröfunum sem gerðar eru vegna uppbyggingu stjórnkerfisins og er vottunarhluti staðalsins.

Alþjóðastaðallinn ISO/IEC 27002 er hluti af röð staðla frá 27000 til 27006 sem fjalla um stjórnun upplýsingaöryggis.  Eru þeir ýmist komnir út eða væntanlegir. ISO/IEC 27002 hét áður ISO/IEC 17799 og sem slíkur íslenskur staðall. Inniheldur hann starfsvenjur fyrir stjórnun upplýsingaöryggis.  Hefur hann náð mjög mikilli útbreiðslu og er líklegast sá staðall um upplýsingaöryggi sem mestra vinsælda nýtur.  ISO/IEC 27001 inniheldur kröfur til stjórnkerfis upplýsingaöryggis og er vottunarhluti staðlaraðarinnar.

Alþjóðastaðallinn ISO/IEC 20000 inniheldur starfsvenjum um  þjónustustjórnun í upplýsingatækni.  Hann er uppruninn í ITIL (IT Infrastructure Library) og breska staðlinum BS 15000 IT Service Management.  Líkt og hinir staðlarnir kemur BS 15000/ISO 20000 í tveimur hlutum og er annar vottunarhluti staðalsins.

Allir fjalla staðlarnir á einn eða annan hátt um stjórnun rekstrarsamfellu.  BS 25999 mest en ISO 20000 minnst.  Vissulega má segja að UT þjónustustjórnun sé í eðli sínu að tryggja samfeldni þjónustu og starfsemi og sama má segja um stjórnun upplýsingaöryggis.

Ég saknaði þess á fundinum að ekki væri fjallað um CobiT aðferðina, þar sem hún tekur betur á rekstrarsamfellu en bæði ISO 27002 og ISO 20000, þó svo að hún fari ekki eins djúpt í hlutina og BS 25999. 

Eftir fundinn hef ég fengið nokkur símtöl og fyrirspurnir, þar sem erindin vöktu upp fleiri spurningar en þau svöruðu.  Algengasta spurningin er:  Í hverju felst verkferli við innleiðingu aðferða við stjórnun rekstrarsamfellu?  Það má segja að við þessu er bæði einfalt og flókið svar.  Þar sem ekki er pláss fyrir flókna svarið í svona pistli, þá læt ég það einfalda duga.  Fyrst er rétt að benda á, að reynslan hefur sýnt að yfir 90% fyrirtækja sem verða fyrir alvarlegu rekstraráfalli og hafa ekki innleitt eða undirbúið einhverjar ráðstafanir til að bregðast við slíku áfalli, leggja upp laupana innan 5 ára.  Þar af hætta 40 af hundraði rekstri strax eða fljótlega eftir áfallið og önnur 40% deyja innan 18 mánaða.

 

1    Hvað felst í stjórnun rekstarsamfellu?

Stjórnun rekstrarsamfellu er viðvarandi ferli áhættumats og -stjórnunar í þeim tilgangi að tryggja að rekstur haldist samfelldur þó áhætta raungerist.  Þessi áhætti gæti verið frá ytra umhverfi (sem fyrirtækið hefur enga stjórn á, svo sem rafmagnsbilun) eða innan fyrirtækisins, svo sem vísvitandi eða óviljandi skemmdir á kerfum.  Stjórnun rekstarsamfellu er ekki bara um endurreisn eftir áfall, áhættumat eða endurheimt vegna bilunar í tækjum.  Stjórnun rekstrarsamfellu er góð aðferð fyrir fyrirtækið til að endurskoða og, þar sem við á, endurhanna þær leiðir sem fyrirtækið notar við afhenda vörur og þjónustu á sama tíma og það eykur þol sitt fyrir röskun, truflunum eða tapi.  Þá telst það til góðra viðskiptahátt og vera hluti af stjórnháttum fyrirtækja að tryggja samfelldan rekstur.

2    Hverjir koma að máli?

Heildarábyrgð á ferlinu á fela stjórnarmanni eða háttsettum stjórnanda.  Með þessu er ferlinu gert jafn hátt undir höfði innan fyrirtækisins og mikilvægi þess segir til um og líkurnar aukast á skilvirkri innleiðingu.  Úthlutun ábyrgðar á þessu stigi ætti líka að tryggja að atriði tengt samfelldum rekstri eru skoðuð við gerð viðskiptaáætlana.  Staðbundin ábyrgð deilist síðan á einstaka stjórnendur.

Aðili, sem sér um að samræma stjórnun rekstrarsamfellu innan fyrirtækisins, ætti að heyra beint undir stjórn eða þann háttsetta stjórnanda sem fer með þessi mál.  Í það hlutverk ætti helst að velja einstakling sem hefur góðan skilning á rekstrinum og mannlegum samskiptum, en einnig getur verið þörf á góðri verkefnisstjórn og góðum hópstjóra. Stjórnandi rekstrarsamfellu þarf síðan að fá stuðning frá lægri lögum fyrirtækisins, staðbundnum starfsmönnum, hópum og stjórnendum.

3    Grunnvallaratriði stjórnunar rekstrarsamfellu

Stjórnun rekstrarsamfellu snýst um að skilja reksturinn og koma á þeim ferlum sem nauðsynelgir eru til að fyrirtækið lifi af.  Til staðar þarf að vera stefna og markmið sem sýnir að hverju fyrirtækið einbeitir sér í rekstrinum, en það verður jafnframt það sama og stjórnun rekstrarsamfellur beinir sjónum að.  Í rekstri fyrirtækis eru margir áhrifaþættir, svo sem þjónustuveitendur, viðskiptavinir, kerfi og búnaður, sem styðja við mikilvæg verkferli.  Nauðsynlegt er að virkja fulltrúa þessara lykiláhrifaþátta til þess að neyðaráætlunin, sem kemur út úr þessu ferli, sé marktæk.

Lítið gagn er að stjórnun rekstrarsamfellu nema hún sé meðtekin.  Af þeirri ástæðu er nauðsynlegt að halda úti fræðslu og auka vitund starfsmanna til að tryggja skilning um allt fyrirtækið og að áætlunin verði meðtekin jafnt inn á við sem út á við.

4    Lykil atriði stjórnunar rekstrarsamfellu

Lykil atriði í stjórnun rekstrarsamfellu eru m.a. að:

  • Skilja samhengi þess rekstrar sem fyrirtækið og/eða einingar þess starfa við.
  • Auðkenna og forgangsraða mikilvægum rekstrar-/viðskiptaferlum innan þess samhengis
  • Auðkenna allar eignir og auðlindir sem tengjast þessum mikilvægu ferlum
  • Auðkenna og skilja áhættur sem fyrirtækið stendur andspænis og geta leitt til truflunar á rekstrinum.
  • Skilgreina áhrif og afleiðingar hugsanlegra atvika og hámarks ásættanlegt þjónusturof.
  • Ákvarða hámarkstíma vegna endurreisnar.
  • Tryggja að fyrirtækið hafi viðeigandi tryggingar.
  • Koma á skilgreindum ábyrgðum, aðgerðum og ferlum vegna endurreisnar rekstrar-/viðskiptaferla ef til óvæntrar og óskipulagðrar truflunar kemur og vita hvað líklegt er að slíkar aðgerðir eða ferli leiði af sér.
  • Setja fram, skjalfesta og innleiða neyðaráætlun (áætlun um samfelldan rekstur) fyrir fyrirtækið í heild og einstök mikilvæg rekstrar-/viðskiptaferli í samræmi við stefnu fyrirtækisins.
  • Skilgreina ástæður eða aðstæður sem valda því að gripið er til neyðarviðbragða og endurreisnarferla.
  • Tryggja að allir starfsmenn skilji hlutverk sitt og ábyrgðir ef neyðarástand skapast.
  • Skapa einingu og skuldbindingu um innleiðingu, þátttöku í og þjálfun vegna rekstrarsamfellu.
  • Viðhafa reglubundna og viðeignandi prófanir og uppfærslu á áætluninni og ferlum.
  • Tryggja að stjórnun rekstrarsamfellunnar sé hluti af verkferlum og skipulagi fyrirtækisins.
  • Úthluta til aðila með viðeignandi stöðu innan fyrirtækisins ábyrgð við að samræma ráðstafanir vegna rekstrarsamfellu og endurreisnar.

5    Ferlið vegna stjórnunar rekstrarsamfellu

Ferlið vegna stjórnunar á samfelldum rekstri skiptist í 6 þrep.  Þessi þrep þarf, þar sem við á, að fara ítrekað í gegnum, t.d. getur prófun leitt í ljós veikleika í hluta af skipulagi sem þarf að taka á og síðan prófa aftur.  Þrepin eru:

  • Verkefnisstjórn
  • Skilja reksturinn
  • Setja fram stefnumörkun og úrræði um samfelldan rekstur
  • Þróa og innleiða viðbrögð
  • Fella stjórnun rekstrarsamfellu inn í vinnuumhverfið
  • Prófa, viðhalda, taka út og endurskoða stjórnun rekstrarsamfellu

Heildarferlið vegna stjórnunar rekstrarsamfellu felur skilyrðislaust í sér viðvarandi ferli endurskoðunar, læra af reynslu og að nýta sér þessa þekkingu til að uppfæra stefnumörkunina og úrræðin.

6    Niðurstaða skilvirkra aðferða við stjórnun rekstrarsamfellu

Niðurstöður skilvirkra aðferða við stjórnun rekstrarsamfellu eru:

  1. Mikilvægir starfsþættir eru auðkennir og varðir, þannig að samfeldni þeirra er tryggð
  2. Virkjuð er geta fyrirtækisins til að stjórna atvikum og koma þannig í veg fyrir að atvik verði að kreppu
  3. Mótaður er og skjalfestur betri skilningur fyrirtækisins á sjálfum sér og samskiptum við önnur fyrirtæki, opinbera eftirlitsaðila eða ríkisstofnanir, stjórnvöld á hverjum stað og neyðarviðbragsaðila
  4. Starfsmenn fá þjálfun í réttum viðbrögðum við atviki eða rekstrartruflun.
  5. Starfsmenn fá viðeigandi stuðning og upplýsingar ef til rekstrartruflunar kemur.
  6. Kröfur þeirra sem eiga hagsmuna að gæta njóta skilnings og eru uppfylltar með því að ofangreindar niðurstöður eru fengnar.
  7. Orðspor fyrirtækisins er verndað; og
  8. Rekstur fyrirtækisins er í samræmi við lög og reglur.

Ofangreindur texti er tekinn úr skjali sem ég hef samið og heitir Rammi um stjórnun rekstrarsamfellu, en ég hef unið við og fengist við ráðgjöf á þessu sviði í tengslum við stjórnun upplýsingaöryggis undanfarin 16 ár.  Ef einhver óskar eftir nánari upplýsingum um þetta efni er viðkomandi hvattur til að hafa samband með því að senda póst á oryggi@internet.is og ég mun reyna að verða eins mikið að liði og ég get.

Það skal tekið fram að það ferli sem farið er í gegnum við mótun og innleiðingu stjórnkerfis rekstrarsamfellu er mjög öflugt tæki til að endurhanna vinnuferla og öðlast skilning á eðli einstakra rekstrarþátta.  Þetta ferli leiðir sjálfkrafa af sér betri stjórnhætti sem nær undantekningarlaust leiðir af sér betri rekstur og betri afkomu.  Betri afkoma leiðir svo af sér að verðmæti fyrirtækisins eykst og þar með eign hluthafa.

 


Mat byggt á hverju?

Vissulega er ýmislegt sem breyst hefur til hins verra í rekstrarumhverfi íslensku bankanna, en það er ekkert sem bendir til þess að rekstur þeirra standi eitthvað veikari fótum en fyrr.  Þannig er lausafjárstaða Kaupþings mjög sterk.  Raunar svo sterk að ég efast um að það finnist margir bankar í Evrópu, hvað þá Norðurlöndum, sem er eins vel fjármagnaður.  Bankinn er búinn að grípa til fjölþættra aðgerða til að bregðast við "bankakreppunni" og er í raun óskiljanlegt að lánshæfismat hans hafi lækkað svona mikið.  Svipaða sögu er að segja af Landsbankanum, en Icesave reikningarnir í Bretlandi hafa styrkt lausafjárstöðu bankans mjög mikið.  Nú er bankinn fjármagnaður að stórum hluta af innlánum í stað lána á millibankamarkaði.  Glitinir stendur líklegast verst að þessu leiti af íslensku bönkunum, en þar hafa menn þegar farið af stað með aðhaldsaðgerðir.

Það merkilegasta við þess breytingu er að "bankakreppan" fór af stað vegna vandræða með svo kölluð undirmálslán á bandarískum fasteignamarkaði.  Það er tvennt sem vert er að hafa í huga varðandi þessi lán.  1)  Íslensku bankarnir eiga lítið sem ekkert undir varðandi þessi lán.  2)  Moody's lofsöng þessi lán fyrir bara einu ári eða svo.  Evrópskir bankar treystu þessum lánum eftir að Moody's, S&P og fleiri matsfyrirtæki stimluðu þau í bak og fyrir á sínum tíma og hirtu sína þóknun fyrir að hafa komið með greiningu sína (samkvæmt upplýsingum í 60 minutes).

Það er grafalvarlegur hlutur að lánshæfimat íslensku bankanna sé að lækka með þessum hætti.  Menn bera hugsanlega blak af Moody's og segja að þetta hafi verið fyrirsjáanlegt, en þegar horft er til þess að fjölmargir erlendir bankar, sem hafa farið mjög illa út úr undirmálslánunum, eru að halda fyrra mati sínu, þá vekur þetta furðu.  Það sem verra er að svona mat, sem hugsanlega er byggt á veikum grunni getur haft dómínóáhrif á íslenskt efnahagslíf og er ekki gott innlegg á sama tíma og Seðlabanki Íslands er þegar búinn að stytta í hengingarólinni meira en góðu hófu gegnir.


mbl.is Lánshæfismat bankanna lækkað
Tilkynna um óviðeigandi tengingu við frétt

Til hamingju Verne Holdings

Ég vil óska forráðamönnum Verne Holdings ehf. til hamingju með þennan áfanga.  Vissulega er kálið ekki sopið þó í ausuna sé komið, en stórt skref hefur verið stigið í átt að byggingu gagnaversins.   Með Vilhjálm Þorsteinsson og Björólf Thor í  brúnni, þá er ég sannfærður um að þetta á eftir að blómstra. 

Ef hægt er að vera með gagnaver í Ástralíu, á Hawaii eða Írlandi, þá er Ísland ekkert verri staður.  Kostirnir eru augljósir í formi landfræðilegs aðskilnaðar, en jafnframt að vera mitt á milli tveggja stórra markaðssvæða.  Þar sem lítinn tíma tekur fyrir gagnaboð að fara heimshorna á milli (t.d. tekur það boð innan við  sekúndu að fara frá Evrópu til Ástralíu þaðan til Hawaii og aftur til Ástralíu með viðkomu á Íslandi), þá skiptir það engu máli hvort gagnaver með upplýsingaveitu er staðsett hér á landi eða í Mið-Evrópu svo fremi sem góð samskiptarás er til staðar.

Enn og aftur, mínar hamingjuóskir til forráðamanna Verne Holdings og ég hlakka til að sjá gagnaverið verða að veruleika. 


mbl.is 20 milljarða fjárfesting
Tilkynna um óviðeigandi tengingu við frétt

Snilldarleg ályktunargáfa

Mér finnst hún kostuleg síðasta setningin í þessari frétt um meiðyrðamál unga fólksins gegn Kastljósi.

Kastljós heldur því fram að stefnan feli í sér kröfu um ritskoðun.

Hvernig getur stefna sem líklegast er með tilvísanir í lagatexta verið ritskoðun?  Eru það ekki lögin sem banna tiltekna framsetningu efnis til þess að a) vernda friðhelgi einkalífs og b) vernda æru einstaklingsins?  Lögin setja þær leikreglur sem fara ber eftir hér á landi. Lögin gefa þeim, sem telja brotið á sér í umfjöllun, kost á að kæra þá umfjöllun til lögreglu eða höfða einkamál.  Kastljós verður að gæta þess að halda sinni umfjöllun innan ramma laga og það getur vel verið að í einhverjum tilfellum þýði það að haga verði umfjöllun á minna krassandi hátt en lagt var upp með.  Ef Kastljós telur að lögin stuðli að ritskoðun, þá er eitthvað að á þeim bæ.

Staðreynd málsins er að Kastljós gekk of langt í umfjöllun sinni.  Farið var með staðlausa stafi og verið með dylgjur út í saklaust fólk.  Það heitir ærumeiðing.  Umsækjandi sem átti að njóta persónuverndar, var sviptur þeirri persónuvernd í þeim eina tilgangi að koma höggi á sitjandi þingmann.  Mánaðar gamlar upplýsingar voru dregnar fram í miðri kosningabaráttu til að draga úr trúverðugleika þingmannsins.  Maður hafði á tilfinningunni að atburðarrás hafi verið búin til og orð fólks virtust slitin úr samhengi.  Ferli sem var í alla staði lögum samkvæmt var sagt vera óeðlilegt, líklegast vegna þess að starfsmaður Kastljóss hafði ekki fyrir því að kanna lagagrunninn og verklagsreglur.  Það getur vel verið að allsherjarnefnd Alþingis hefði átt að hafna umsókninni, en hún gerði það ekki.  Það var ekki við stúlkuna að sakast að nefndin hleypti umsókninni í gegn.  Hún var bara að nýta rétt sinn samkvæmt lögum.  Það var heldur ekki við Jónínu Bjartmarz að sakast.  Hún kom ekki nálægt málinu á neinu stigi þessi eftir að það kom til kasta allsherjarnefndar.  Það eina sem stendur eftir er mál sem minnir á galdraofsóknir fyrri tíma, enda fékk Kastljós bágt fyrir í úrskurði Siðanefndar Blaðamannafélagsins.  Var sá úrskurður kannski líka tilraun til ritskoðunar?  Ég býst við að starfsmenn Kastljóss álíti það vera tilraun til að hefta persónufrelsi, ef þeir fá sektarmiða frá lögreglunni fyrir að aka of hratt.  Eða aka þeir kannski allir á löglegum hraða vegna þess að þeir vita að þeir gætu annars átt sekt yfir höfði sér.  Það sama gildir um allt annað í samfélaginu.  Brjóti menn í bága við lög, þá geta menn átt von á kæru.


mbl.is Meiðyrðamál gegn Kastljósi
Tilkynna um óviðeigandi tengingu við frétt

Stjórnun upplýsingaöryggis - námskeið hjá Staðlaráði Íslands

Dagana 7. og 8. febrúar nk. verður haldið hjá Staðlaráði Íslands námskeið þar sem kynntir verða alþjóðastaðlarnir ÍST ISO/IEC 17799 Starfsvenjur fyrir stjórnun upplýsingaöryggis og ÍST ISO/IEC 27001 Stjórnkerfi upplýsingaöryggis - Kröfur.  Námskeiðið er haldið að Laugavegi 178 og er hægt að skrá sig með því að smella hér. Fyrirlesari er Marinó G. Njálsson, sérfræðingur í stjórnun upplýsingaöryggis.

Mjög mörg fyrirtæki eru að íhuga innleiðingu þessara staðla eða standa frammi fyrir kröfum aðila á borð við Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnunar um innleiðingu stjórnkerfa sem auka eiga öryggi upplýsinga.  Nýlega hafa greiðslukortafyrirtækin bæst í þennan hóp, en þeir sem taka á móti greiðslukortum þurfa að uppfylla kröfur staðalsins PCI: Data Security Standard og er m.a. hægt að nota aðferðafræði ISO 27001 og ISO 17799 við það.  Þó svo að fyrirtæki og stofnanir hafi ekki kröfur framangreindaraðila til að reka á eftir sér, þá er full ástæða fyrir alla sem safna, vinna með og varðveita upplýsingar að kynna sér innihald þessara staðla. 

Tekið skal fram að upplýsingaöryggi og upplýsingatækniöryggi er ekki eitt og það sama.  Upplýsingaöryggi er mun víðfeðmara hugtak og nær til upplýsinga á hvaða formi sem er, utan upplýsingakerfa sem innan.  Námskeiðið, sem minnst er á að ofan, fjallar því nær ekkert um tækni og tæknilegar lausnir heldur fyrst og fremst um aðferðafræði og helling af heilbrigðri skynsemi.

Hér fyrir neðan er stutt kynning á stöðlunum:

ÞAÐ er oft sagt, að næst á eftir starfsfólki séu upplýsingar dýrmætasta eign hvers fyrirtækis eða stofnunar. Þau treysta mjög mikið á upplýsingar á hvaða formi sem þær eru. Skiptir þá ekki máli hvort upplýsingar eru á rafrænu formi, skráðar á pappír eða annan áþreifanlegan hátt eða búa í þekkingu fólks. Upplýsingakerfi veita, t.d., stjórnendum mikilvægar upplýsingar um reksturinn, þar sem þau varðveita bókhaldsgögn, sölutölur, rannsóknaniðurstöður, markaðsáætlanir og önnur trúnaðargögn, sem notuð eru við úrvinnslu, stefnumótun, markaðssetningu og almenna ákvörðunartöku.

Mikilvægi upplýsingakerfa fyrirtækja er það mikið, að kerfisbilanir hafa áhrif á starfsgetu fyrirtækjanna. Að missa út tölvukerfið er eitt alvarlegasta áfall sem getur hent. Rannsóknir í Bandaríkjunum sýna að æ fleiri fyrirtæki komast í þrot og hætta rekstri hafi þau orðið fyrir alvarlegu tjóni í tölvumiðstöðvum og ekki haft trygga neyðaráætlun. Á 8. áratugnum var þetta hlutskipti um 75% fyrirtækja, 10 árum síðar var þetta hlutfall komið í 82% og hefur síðan hækkað í 90 af hundraði. Því má segja að öryggi upplýsingakerfa sé orðinn einn mikilvægasti þátturinn í rekstraröryggi fyrirtækja. En öryggi upplýsinga snýst einnig um að koma í veg fyrir að mikilvæg pappírsgögn glatist í bruna og að mikilvæg sérþekking hætti að vera aðgengileg við það að starfsmaður hætti störfum eða lendi í slysi.

Allar upplýsingar, sem fela í sér verðmæti, þarf að vernda fyrir þeim ógnunum sem að þeim steðjar, hvort heldur þær stafa af umhverfinu (t.d. náttúruhamfarir), tækninni (t.d. rafmagnsbilun) eða mannfólkinu (t.d. starfsmönnum). Verndin felst stundum í því að losna við ógnunina, en oftast er það ekki hægt. Þá er gripið til þess að styrkja varnir upplýsingaeignanna til að draga úr áhættunni, færa áhættuna til (t.d. með því að kaupa tryggingar) eða maður einfaldlega viðurkennir að ekki borgar sig að verjast tiltekinni ógnun.

Staðlar um upplýsingaöryggi

Upplýsingavernd hefur verið umhugsunarefni fjölmargra aðila. Þannig var á 8. áratugnum unnin mikil vinna í Bandaríkjunum, en í lok þess níunda höfðu evrópsk samtök tölvunotenda frumkvæði að því að taka saman skjal með svo kölluðum bestu starfsreglum um stjórnun upplýsingaöryggis. Þetta skjal varð síðar að breska staðlinum BS 7799 og síðar að tveimur alþjóðlegum stöðlum ISO/IEC 27001 og ISO/IEC 17799 (sem mun breytast í 27002 á næstu misserum).

Staðlarnir urðu fljótlega mjög vinsæll, enda byggðir á áratuga reynslu þeirra sem hafa komið að öryggi upplýsinga og upplýsingakerfa. Er svo komið að víða er gerð krafa um að til staðar sé vottað stjórnkerfi samkvæmt þessum stöðlum til þess að tryggt sé að öryggi viðkvæmra fjármála- eða persónuupplýsinga sé eins og best verður kosið.  Hér á landi hafa Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnun mælt með að þessir staðlar séu notaðir við uppbyggingu og innleiðingu ráðstafana sem uppfylla kröfur stofnananna til öryggis upplýsinga.

Staðallinn kemur í tveimur hlutum:

  • ÍST ISO/IEC 17799:2005 Starfsvenjur fyrir stjórnun upplýsingaöryggis,
  • ÍST ISO/IEC 27001:2005 Stjórnkerfi upplýsingaöryggis - Kröfur

ISO 17799 inniheldur leiðbeiningar um þau atriði sem gott er að skoða þegar hugað er að öryggi upplýsinga, en ISO 27001 setur fram leiðbeiningar um uppbyggingu, innleiðingu, rekstur og viðhald stjórnkerfis upplýsingaöryggis.  Sækist fyrirtæki eftir vottun samkvæmt þessum stöðlum, þá nær vottunin í raun til ISO 27001.

Hlutverk staðlanna

Staðlarnir leggja til stjórnunaraðferðir sem fyrirtæki geta notað til að meta og styrkja stöðu öryggismála. Í sumum tilfellum er nauðsynlegt að beita tæknilegum lausnum, en stjórnunarhættir eru ekki síður mikilvægir og oftast skipta þeir meira máli. Nokkur mikilvæg atriði sem leiða til góðrar stöðu öryggismála og eru dekkuð í staðlinum:

  • Stjórnunaraðferðir sem leggja áherslu á öryggi
  • Vel skilgreind ábyrgðarsvið varðandi öryggisþætti innan fyrirtækis
  • Vel skilgreint hlutverk eftirlitsaðila (endurskoðanda) sem nær til upplýsingaöryggis í víðustu merkingu, en ekki eingöngu tæknilegra þátta
  • Góður skilningur á því hve nauðsynlegt er að deildir, stjórnendur, tæknifólk, notendur, viðskiptavinir og samstarfsaðilar fái vitneskju um öryggiskröfur og að skipting ábyrgða þarf að koma fram í samningum, starfslýsingu, skriflegum leiðbeiningum og á öðrum formi, sem þörf er á
  • Mikilvægi þess að skilja og viðurkenna gildi upplýsinga fyrir rekstur fyrirtækisins
  • Mikilvægi öryggisvitundar, þjálfunar og stöðugrar endurskoðunar á öryggismálum sem grundvallarþáttar í starfsemi fyrirtækis

Hagur af stöðlunum

Staðlarnir samanstanda af viðamiklu safni öryggisreglna sem miða að því að auka kröfur til öryggis. Þó svo að ekki sé stefnt að formlegri vottun, er margs konar hagur af því að uppfylla grunnreglur staðlanna og fara eftir leiðsögn í ISO 17799:

  • Dregið er úr líkum á tjóni vegna ógnana, svo sem hakkara, þjófnaðar, náttúruhamfara og tæknilegra bilana
  • Rekstrarumhverfi verður almennt öruggara
  • Staðfesting á að notast er við viðurkenndar öryggisreglur
  • Bætt öryggisvitund í öllu fyrirtækinu
  • Skilvirkari stjórnun og starfsreglur
  • Betri skilningur á því hvar úrbætur á öryggi eru nauðsynlegar
  • Betri nýting á fjármunum sem varið er til að bæta öryggi upplýsinga

 


Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (19.3.): 1
  • Sl. sólarhring: 6
  • Sl. viku: 26
  • Frá upphafi: 1676995

Annað

  • Innlit í dag: 1
  • Innlit sl. viku: 23
  • Gestir í dag: 1
  • IP-tölur í dag: 1

Uppfært á 3 mín. fresti.
Skýringar

Mars 2024
S M Þ M F F L
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband