2. תוכן תקן, מה זה ולמה לי כאב הראש הזה ? אימוץ גישה נכונה ובונה ליצירת יתרונות עסקיים. קשיים קידום הארגון: מקצועיות, התייעלות והתמקצעות, קידום סדר איכות ואבטחת מידע ההסמכה כתהליך סיכום: טיפים ומפתחות להצלחה
3. מהו תקן ? יוסי עושה תואר ראשון בשיאצו ארגוני מוסמך לדיקור יפני לדבורי בר תקן: מפרט או שיטה מקובלים, ואף במקרים מסוימים מחייבים, ליישום בתחום מסוים דוג'- תקן ISO 9001 הוא מודל להבטחת איכות בתיכון, פיתוח, ייצור, התקנה, מתן שירות ובתחזוקה.
4. למה לי כאב הראש של התקינה ? מחוייבות חוקית או עסקית יצירת יתרון עסקי ישיר מול מתחרים קידום איכות/אבטחת מידע/יעילות/התמקצעות הסתמכות על מתודולוגיה מובנית ומוכחת (ITIL/ISO) שיפור אבטחת מידע ניהול סיכונים מניע חיצוני וגורם חיצוני מוגדר מסייע להנעת התהליך.
6. שימוש בתקן כמנוף בחירת גישה בונה, הגדרת יעדים, מחויבות ומעורבות הנהלה בכל השלבים. יתרונות ישירים: פתיחת שווקים וקבלת חותמת איכות מגורם אוביקטיבי שיפור וקידום דרכי עבודה ותשתיות בארגון בנושא כמו איכות או אבטחת מידע. השענות על ידע ותבניות שנבנו ע"י אנשי מקצוע, נבחנו והוטמעו בארגונים רבים. יתרונות עקיפים: באמצעות מתודולגיה מובנית נוצר סדר,ארגון בנושאים מרכזיים ומשניים והארת פינות 'חשוכות' ולא מטופלות. קבלת תוצרי לוואי כמו יכולות ומוצרים שנוצרו כתוצאה מהמהלך.
7. סקירת קשיים אתגרים! כלכלי הצדקה כלכלית חד פעמית ומתמשכת לעלויות התקן אובייקטיבי עמידה בדרישות אוביקטיביות וסקירות חיצוניות ע"י בודק מוסמך, שינויים בתקן והשלמת פערי ידע. יצירה, הטמעה, ניהול, תעוד ובקרה של נהלים, פעולות ותהליכים כמו פתוח תוכנה וניהול כח אדם.
8. סקירת אתגרים סוביקטיביים פסיכולוגיות: התנגדויות ענייניות ולא ענייניות לתהליך. ניהול והקצאת משאבים. שילוב עם שינויים,התפתחויות ואילוצים אחרים. התמדה לאורך שנים. עוד ניירות מיותרים! חסרה לי עבודה ? למה לשנות?
9. דוגמא: אתגרים בתהליך הסמכתPCI DSS התהליך מקיף את הארגון על כל רבדיו ולכן דורש מעורבות מוחלטת של כל הגורמים בחברה. דוגמא להקצאת משאבים להסמכת PCI: מנהל פרויקט ואחראי אבטחת מידע משימות הקשחה לצוות הסיסטם. משימות אבטחת מידע לצוות פתוח. הדרכות לכל מחלקות הארגון ליווי הנהלה
15. תהליך מתמשך... התהליך לא מסתיים עם קבלת ההסמכה למשל יש לבצע code review על ידי גורם חיצוני לצוות הפיתוח, כל שינוי שמבוצע מלווה בתיעוד וביישום נהלים של מעקב שוטף אחר שינויים. בצוע הדרכות ועדכונים באופן שוטף. בצוע סקירות חדירה תקופתיות וסקירות שנתיות
16. המלצות ליישום -אסטרטגיה קביעת הגישה של הארגון - למשל גישה של שיפור ולימוד למוד של כל מרכיבי ההסמכה . בניית תוכנית, פרוטה למטרות משנה, קביעת לו"ז ותקציב. מחויבות מוחלטת של ההנהלה וגיבוי לתהליך כדי לאפשר הטמעה מלאה, בכל הרמות וללא סייגים.
17. המלצות ליישום- נהול פרוייקט התייחסות להסמכה כמו אל פרויקט לכל דבר ועניין בחשיבות גבוהה מבחינת סדר העדיפויות השוטף של החברה. איתור וקביעת מנהל פרוייקט ניהול פרויקט מסודר והקצאת משאבים נכונה. ביצוע בקרה שוטפת, לחייב את כל המעורבים לעמוד בלו"ז, להעביר דיווחים מדויקים, לקחת אחריות כשנוצרים פערים וכדומה.
18. סיכום לתקינה כמו PCI ו- ISO יש השפעה על כל רובדי הארגון ועל כל השלבים במחזור חיי המוצר. מדובר בתהליך לא פשוט שיש להיערך אליו כאל פרויקט מורכב מבחינת אינטגרציה חיצונית והטמעה פנימית. מומלץ להפיק את התועלות והתוצרים מתהליך ההסמכה אם מחויבים אליו ממילא.
19. תודה רבה! איתמר קלעי Human Factor itamarkalay10@gmail.com 972-52-8898602 972-4-6619113
20. PCI vs ISO 27001 תקן PCI ממוקד צורך הגנה על כ"א מורכב מדרישות מפורטות מוגדרות תוצאה של נתוח סיכונים הנכס המוגן שייך לבית העסק, חברת האשראי והלקוח. תקן ISO כללי ותהליכי באופיו, התהליך כולל נהול סקר סיכונים בתחילתו, היישום נבנה לפי הסיכונים של הארגון הספציפי. מכיל המלצות ליישום, תהליך מובנה עם תוצרים מנדטוריים. שייך לגוףISO