ארגון וניהול
את התמונה של משרדים וארגונים ספוני כונניות עמוסות תיקים כרסתנים מכוסי אבק ושולחנות עמוסים בניירת וטפסים, החליפה זה מכבר תמונה של משרדים מודרניים ומהודרים, רצפות פרקט עם צמחיה ותאורה נעימה ושולחנות נקיים ומסודרים המתהדרים במסכים דקים. במקביל לכך עם השתלטות הגלובליזציה והפיכתנו לכפר גלובלי אחד כאשר המוצרים דומים והמחיר כבר ידוע לכולם, נשאלות השאלות הבאות:
האם הבנו את הלקוח וברורות לנו דרישותיו?
- האם "המוצר" המסופק ללקוח עומד בדרישות ובמובטח?
- האם הוגדרו תהליכי הליבה והבקרות הנגזרות לכל שלב?
- האם אנו מודעים לסיכונים ולאיומים העומדים בפנינו ואופן ניהולם?
- האם עובדי הארגון נאמנים, מהימנים ומוכשרים לתפקידם?
- האם הנהלת הארגון והעובדים מודעים לרגישות המידע ואופן הטיפול בו?
- האם לעובדי הארגון ידועה וברורה מדיניות ההנהלה ונהלי העבודה הנגזרים ממנה?
- האם האמצעים הננקטים להבטחת האיכות והמידע מספיקים ועדכניים?
- האם ידועות "פרצות וחולשות" בתהליכים העסקיים ובמערכות התומכות?
- האם האמצעים הננקטים לשמירה על הארגון ואבטחת המידע בו מספיקים ועדכניים?
- האם הבקרות בתהליכים ובמערכות עונות לצרכי ודרישות החוק והלקוח?
- האם אנו מוכנים לעת צרה ואסון ויודעים מה לעשות?
- האם נקבעו אמות מידה לאימות עמידת הארגון בחוקים, תקנים ונהלים?
- האם אנו עומדים במטרות וביעדים אשר הצבנו?
- האם אנו יעילים ואפקטיביים?
שאלות אלו ונוספות נשאלות על ידי המחוקק או הלקוח או אפילו מועצת המנהלים בבואם לבחון ולסקור מידת איכות ניהול החברה ואופן עמידתה בדרישות תקנים, חוקים הוראות בינלאומיות והסכמים. מענה הולם לשאלות אלו ניתן עם הקמת מערכת "איכות ניהול ואבטחת מידע" אשר עומדת בדרישות תקנים בינלאומיים, תוך קבלת אחריות ומחויבות על ידי הנהלת הארגון.
תקן בין-לאומי זה משמש מודל להקמה, ליישום, להפעלה, לניטור, לסקירה, לתחזוקה ולשיפור של מערכת ניהול אבטחת המידע. ההחלטה על אימוץ ויישום התקן צריכה לבוא מצד הנהלת הארגון אשר חייבת למנות נציג מטעמה להובלת התהליך משלב הרעיון לביצוע בפועל. התכנון והיישום של מערכת ניהול אבטחת המידע מושפע ממטרות הארגון, מצרכיו, מהסיכונים על נכסיו, מתהליכי העבודה בו, המשאב האנושי, גודלו ומיקומו.
תקני ניהול אלו מתבססים על מודל השיפור המתמיד PDCA
חברת N.A.Security מלווה בפיתוח מערכות ניהול לחברות ולאירגונים לפי התקנים: ׁׁׂׂIso9001:2008 ,Iso27001:2005 ,Iso22301, BS25999ׁׁ, Iso/Iec 27002, Iso27799 הוראות SOX, HIPAA, 357, 257 ואחרות.
לדוגמא על ארגון אשר חייב לעמוד בדרישות חוקים ותקנות בינלאומיות כמו SOX, Bazel 2, הוראה 357, הוראה לניהול סיכוני אבטחת המידע של הגופים המוסדיים (משרד האוצר המפקח על שוק ההון), חוק נתוני אשראי, חוק חתימה דיגיטלית, SAS 70 ואחרים – מומלץ להקים מערכת איכות ניהול איכות כוללת אשר עומדת בדרישות התקן לניהול אבטחת מידע ואיכות.
היתרונות העיקריים בהקמת מערכת איכות ניהול כוללת:
- נותן מסגרת ניהולית אחת.
- קיימת מערכת ניהול אחת המשלבת את הבקרות והנהלים המשותפים תוך איחוד משאבים ומאמצים.
- אימוץ התקן דורש מדידת אפקטיביות התהליכים תוך הצגת שיפור מתמיד, בעוד התקנות והחוקים מציגים צילום מצב קיים בהיבט של אבטחת המידע.
- תפעול מערכת ניהול אבטחת מידע ואיכות חסכונית ואפקטיבית.
לסיכום
ארגון חכם הוא ארגון שלמד מניסיונו ולומד מניסיונם של אחרים, רגיש לצרכי הלקוח, יוזם שיתופיות עם הספקים והעובדים, מדגיש פעילות מניעה על פני פעילות תיקון, מבטיח את המידע ולא רק מאבטח אותו, משקיע במשאב האנושי, רואה במידע נכס יקר מפז, משקיע בלימוד והפקת לקחים מאירועים פנימיים וחיצוניים, עוסק באיסוף נתונים ממערכת הניהול ומשתמש בהם לקבלת החלטות עסקיות. ארגון כזה יגשים כל חזון ומטרה.
כי איכות, מהימנות ואבטחת מידע הן היסודות להצלחת כל ארגון.