11 maja 2016

Biurokracja wymagana przez normy ISO

Jedną z głównych barier dla wdrażania, opartych o normy ISO, systemów zarządzania bezpieczeństwem informacji, z którymi się spotykam jest głęboką niechęć dla biurokracji. Systemy zarządzania bardzo często kojarzą się moim rozmówcą z segregatorami dokumentów i opasłymi procedurami, które uniemożliwiają jakąkolwiek działalność.
Absolutnie się z tym nie zgadzam, niemniej częstość tego typu opinii pozwala wysnuć wniosek, że w rzeczywistości świat norm bywa tak postrzegany.

To co mogę zrobić w tej sytuacji, to współczuć wyboru konsultantów, którzy zostali zaangażowani w tworzenie takich systemów zarządzania (przepraszam za zgryźliwość, ale pewnie przedstawili najtańsze oferty) oraz odnieść się trochę do źródeł.



Biorąc na tapetę moją "ulubioną" ISO 27001:2013 widzimy takie zapisy:
7.5.2 Opracowanie i aktualizowanie
Opracowując i aktualizując udokumentowane informacje organizacja powinna zapewnić: 
a)  odpowiednią  identyfikację i opis (np. tytuł, data, autor lub numer referencyjny);
b)  właściwy format (np. język, wersję oprogramowania, grafikę) i nośnik (np. papierowy, elektroniczny); 
c)  przegląd i zatwierdzenie pod kątem przydatności i adekwatności.
Cóż to za straszne wymagania tam można znaleźć? Zalecenia by dokumenty wyglądały podobnie, by można je było łatwo zidentyfikować i by przed opublikowaniem ktoś potwierdził czy mają sens. Cóż…jak na razie wygląda to zdrowo-rozsądkowo, więc czytajmy dalej.

7.5.3 Nadzór nad udokumentowanymi informacjami
Udokumentowane informacje wymagane przez system zarządzania bezpieczeństwem informacji i niniejszą Normę Międzynarodową powinny być nadzorowane, aby zapewnić, że:
a)  są one dostępne i nadają się do zastosowania, tam, gdzie są potrzebne i wtedy, gdy są potrzebne; 
b)  są odpowiednio chronione (np. przed utratą poufności, niewłaściwym użyciem, lub utratą integralności).
Aha - norma wymaga by dokumentacja była dostępna, i to w miejscach gzie jest potrzebna, a na dodatek by ktoś zastanowił się czy należy ją jakoś zabezpieczyć. Ale prawdę mówiąc - to również jest rozsądne i dziwne by było inaczej w dobrze zarządzanej organizacji. Czytajmy więc dalej…

W celu nadzoru nad udokumentowanymi informacjami organizacja powinna uwzględnić następujące działania, jeśli ma to zastosowanie: 
c)  dystrybucję, dostęp, wyszukiwanie i wykorzystywanie;
d)  przechowywanie i zabezpieczanie, łączenie z zapewnieniem czytelności;
e)  nadzorowanie zmian (np. kontrola wersji);
f)  zachowywanie i likwidację.
No tak - wreszcie się zaczęło. Ta "niedobra" norma wymaga by zadbać o to by dokumentacja i zapisy trafiały we właściwe ręce. Na dodatek powinno to być właściwie przechowywane zapewniając dostęp do aktualnej wersji dokumentacji. A co gorsza należy jeszcze poprawnie niszczyć niepotrzebne informacje. Sądzę, że to może być kluczowe. Norma nie dopuszcza bałaganu w dokumentacji. Fakt. Organizacje, w których panuje kultura bałaganu i prowizorki będą mieć problem. Choć dla organizacji, w których rozumie się, że pewne rzeczy powinny być dokumentowane chyba znów wymaganie staje się oczywiste. Zbliżając się do końca wymagań mamy jeszcze następujące treści:

Udokumentowane informacje pochodzące spoza organizacji, uznane przez nią za niezbędne do planowania i operacyjnego działania systemu zarządzania bezpieczeństwem informacji powinny być odpowiednio oznaczone i nadzorowane.
Znaczy to nie mniej (i nie więcej), niż konieczność nadzorowanie również tych dokumentów wytworzonych poza organizacją, które są istotne dla jej funkcjonowania. Znów powiedziałbym, że ma to sens.

Skąd więc biorą się te wątpliwości? Widzę 3 możliwe powody: niezrozumienie istoty normy, przedobrzenie lub korzystanie z "gotowców", które w jakiejś innej organizacji się sprawdziły, ba - może nawet stały się podstawą certyfikacji.
SZBI powinien być szyty na miarę. Miałem klientów, którzy dobrze się czuli z informacjami papierowymi, ostatnio większość korzysta z inteligentnych systemów informatycznych, które pomagają im zarządzać dokumentacją wygodnie. Nic nie stoi na przeszkodzie by dokumentację trzymać na wiki, by ryzykiem zarządzać wykorzystując zadania, by istotne kwestie dokumentować w mailach… To, że norma faktycznie zwraca uwagę na konieczność dokumentowania niektórych kwestii to fakt, ale bądźmy szczerzy. Bez przykładowego rejestrowania incydentów, zarządzania zmianą czy okresowych przeglądów żadna organizacja nie będzie dobrze działać na dłuższą metę. Idea modeli dojrzałości ma swoje głębokie merytoryczne uzasadnienie. Nie ma jednak żadnych wymagań dotyczących tego jak dokumentacja ma wglądać. Jeżeli ktoś da radę przygotować procedurę na 1 stronie, i co ważniejsze - zapewni, że ona faktycznie będzie działać, to po co pisać opasłe dokumenty z wykresami, tabelkami, zdjęciami i szlaczkami?
SZBI ma przede wszystkim działać. Organizacja powinna go wdrożyć tak by jej codzienna - uporządkowana praktyka biznesowa, powodowała, że procesy będą funkcjonować tak jak powinny. Przygotowywanie rozwiązań "pod audytora", w tym szukanie "gotowców" nie sprawdzi się. Faktycznie - może udać się oszukać audytora twierdząc, że wszystko działa tak jak należy. Ale po jakimś czasie fikcja wyjdzie na wierzch. Organizacja wkurzona bezsensowną robotą przestanie odnawiać certyfikację, zacznie rozpuszczać plotki o jej biurokracji. To nie norma jednak (zazwyczaj) generuje problemy. To jej bezsensowne wdrażanie.

Brak komentarzy:

Prześlij komentarz

Dzień dobry. Komentarze na tym forum są moderowane