Noi sisteme de management: ISO 26000, 27000 si 28000

ACADEMIA DE STUDII ECONOMICE

FACULTATEA DE MARKETING

Noi sisteme de management:

ISO 26000, 27000 si 28000

Visan Madalina

Pantazi Ana Maria

Bairac Ana

grupa 1771, seria D

Marketing, anul IV

Bucuresti

Cuprins

Despre ISO (Organizatia Internationala de Standardizare)..........3

ISO 26000 - Responsabilitatea sociala.................4

Când si cum a început elaborarea standardului ISO/SR? .............4

Care este domeniul de aplicare al standardului?............................5

Cine poate elabora ISO 26000?.......... ..... ...... ......................7

Cum se elaboreaza ISO 26000?

ISO 27000 - Securitatea informatiei................11

Securitatea informatiei..................11

Istoric si continut ISO/IEC 27000.............12

Beneficiile unei certificari................13

Concluzii........................15

ISO 28000 - Securitatea canalelor de distributie............16

4.1. Continut.......................16

4.2. Despre ISO/PAS 28000.................17

4.3. Initierea procesului de certificare..............18

4.4. Companii ce ofera servicii de consultanta si certificare ISO in Romania.............................20

Bibliografie.........................22

1. Despre ISO (Organizatia Internationala de Standardizare)

Cine este ISO?

ISO: Organizatia Internationala de Standardizare

- Organizatie privata, non profit, înfiintata în 1947 (Geneva, Elvetia)

- Promoveaza dezvoltarea standardelor internationale

- Standardele voluntare: contributie pozitiva la dezvoltarea lumii

- Colaborare în întreaga lume (WTO, UN, ILO, WHO..)

- 156 tari membre (110 tari în curs de dezvoltare)

Structura ISO

2. ISO 26000 - Responsabilitatea sociala

De ce elaboreaza ISO un standard pentru Responsabilitate Sociala (SR) ?

ISO elaboreaza standarde pentru dezvoltarea durabila a lumii întregi:

Responsabilitate sociala

Actiunile unei organizatii de a-si asuma responsabilitatea pentru impacturile activitatilor sale asupra societatii si mediului, astfel încât aceste actiuni:

• sunt coerente cu interesele societatii si dezvoltarea durabila;
• se bazeaza pe comportare etica, conformitatea cu legile aplicabile si instrumentele interguvernamentale;     
• sunt integrate în activitatile în desfasurare, ale organizatiei.
• este o necesitate pentru generatiile viitoare
• se potriveste cu strategia ISO de a dezvolta standarde care sunt cerute de piata si care sunt relevante la nivel global ajutând astfel la crearea unei lumi "durabile"

2.1. Când si cum a început elaborarea standardului ISO/SR?

Ce tip de standard va fi ISO/SR?

ISO 26000 "Ghid pentru responsabilitate sociala"

- standard international care furnizeaza îndrumare

- nu se intentioneaza a fi utilizat pentru certificare de terta parte

- nu va fi un standard pentru sistem de management

2.2. Care este domeniul de aplicare al standardului?

Sa ajute organizatiile pentru tratarea responsabilitatii lor sociale

Sa furnizeze o îndrumare practica referitoare la operationalizarea SR, identificarea si angajarea partilor interesate si cresterea credibilitatii rapoartelor si dovezilor despre SR

Sa sublinieze rezultatele si îmbunatatirea performantei

Sa creasca încrederea si satisfactia clientilor si a altor parti interesate fata de aceste organizatii

Sa fie legat de si nu în conflict cu documentele existente, tratatele si conventiile internationale si cu standardele ISO existente

Nu intentioneaza sa reduca autoritatea guvernamentala în ceea ce priveste responsabilitatea sociala a organizatiilor

Sa promoveze o terminologie comuna si o constientizare cât mai larga în domeniul SR

Cine poate elabora ISO 26000?

Experti din cele 6 categorii de parti interesate

- consumatori

- guvern

- industrie

- munca

- ONG-uri

- servicii, suport, cercetare si altele

Participarea în grupul de lucru al ISO pentru SR este realizata prin experti din partea membrilor ISO (Organisme nationale de standardizare) si din partea organizatiilor de legatura

Orice organizatie internationala relevanta poate transmite o cerere pentru a deveni organizatie de legatura (maxim 2 reprezentanti/organizatie) - * 33 organizatii

Alte comitete ale ISO pot numi pâna la 2 reprezentanti pentru fiecare comitet -

*2 comitete

Puncte importante ale ISO WG SR

Reprezentare echilibrata a partilor interesate în conducerea ISO/SR si grupurile tematice + parteneriat

Luarea deciziilor asupra standardului se realizeaza pe baza consensului

Abordarea procesului la nivelul partilor interesate (nou pentru ISO)

Au fost facute eforturi pentru asigurarea unui angajament al partilor interesate, cât mai larg si mai profund, de-a lungul întregului proces de elaborare a standardului

Memorandul de întelegere cu ILO

Participarea organizatiilor care au un impact semnificativ în CSR si dezvoltare durabila (UN, OECD, GRI, SAI, AccountAbility etc.)

2.4. Cum se elaboreaza ISO 26000?

Când si cum a fost elaborat ISO 26000?
Urmatorii pasi

ISO, Organizatia Internationala pentru Standarde, va publica in noiembrie 2009 un standard pentru responsabilitate sociala. Standardul, care se va numi 26000, nu va presupune audit si acreditare, ci va fi un ghid de bune practici la care organizatiile care au programe de responsabilitatea sociala vor adera voluntar.

Conceptul de responsabilitate sociala corporatista (CSR) se refera la implicarea companiilor in rezolvarea unor probleme ale comunitatilor in care activeaza si se bazeaza pe principiul recompensarii sprijinului pe care il primesc companiile de la partenerii sociali de-a lungul dezvoltarii lor. Organizatiile care isi asuma CSR iau in considerare impactul activitatii corporatiei asupra societatii si incearca sa devina parteneri sociali viabili.

In Romania, CSR se dezvolta pe masura ce economia devine mai stabila. Conform unei estimari a Saga Business&Community, companie specializata in servicii sociale si de mediu, in 2005, companiile au investit circa 10 milioane de euro in activitati CSR.

"CSR este cheia dezvoltarii unei tari, economic, social, ecologic si politic." spune Martin Neureiter, presedintele Centrului pentru Civism Corporatist din Austria. "Poate suna putin exagerat, dar este foarte aproape de adevar. In Romania, de exemplu, sunt multe zone care se afla in schimbare continua din punct de vedere al mediului, al industriei, al serviciilor de sanatate si sociale, al educatiei. Sunt moduri in care poti aborda aceste schimbari: unul e ca fiecare sa incerce sa castige cat mai mult, chiar si in detrimentul altor zone, ceea ce va duce dezechilibru social; altul este ca autoritatile sa incerce sa aduca zonele al acelasi nivel bazandu-se pe cele trei linii de actiune ale CSR - economica, sociala si de mediu - si sa atraga si partenerii sociali in acest proces. Atunci se poate atinge un echilibru echitabil."

In conditiile in care fiecare companie are propria ei politica de CSR si abordarile si etica sunt diferite de la caz la caz, Neureiter considera ca un standard ISO este un pas relevant la nivel mondial. "ISO 26000 va crea o schimbare semnificativa. Pentru prima data va fi definita o terminologie comuna in acest domeniu. Asta inseamna ca daca o companie din Romania vorbeste despre CSR cu o companie din Indonezia, vor intelege acelasi lucru. E la fel de important si faptul ca acest standard va fi primul document global care va include principiile si normele de implementare. Va deveni standardul dezvoltarii viitoare a responsabilitatii sociale."

"CSR poate fi un vehicul catre mai bine. Si este un lucru grozav pentru ca este o unealta a initiativelor private. Companiile nu trebuie sa se astepte sa faca statul ceva. Ele pot actiona in cadrul sferelor lor de influenta fara sa mai astepte reactia politicului. Si asa pot crea o schimbare reala, chiar daca are loc numai intr-o zona limitata. Important e ca pot face ceva. Mai mult, genul acesta de actiune ridica standardele pentru politic, care este provocat sa ia masuri. Daca o intreprindere mica poata sa faca o schimbare, atunci guvernul de ce nu poate?"

Standardul de responsabilitate sociala se va adresa nu doar companiilor, ci tuturor actorilor sociali care se pot sau care se implica deja in actiuni responsabile fata de comunitate.

Proiectul a fost demarat la inceputul anului 2004 si va dura pana la inceputul lui 2009. ISO 26000 este un proiect de cercetare demarat si organizat de International Organization for Standardisation (ISO). ISO este o organizatie formata din reprezentanti ai institutiilor nationale de standardizare din 157 de tari.
Despre introducerea standardului ISO 26000, Martin Neureiter, CEO The CSR Company, Austria, unul dintre invitatii Conferintei, crede ca "va produce o schimbare radicala in ceea ce priveste practicile de responsabilitate sociala, in primul rand pentru faptul ca va impune o terminologie comuna. Daca o companie din Romania va vorbi despre CSR cu o companie din Indonezia, ambele vor intelege acelasi lucru si vor lucra pe un teren comun. In al doilea rand, elaborarea ISO 26000 va fi primul document global care va include preocuparile, principiile si modalitatile de implementare - ceva ce nu exista in acest moment. Va stabili standardul pentru orice viitoare dezvoltare a responsabilitatii sociale intr-o maniera relevanta la nivel global".

Conform ISO, standardul 26000 va trebui sa:

- ajute organizatiile care doresc sa isi asume responsabilitati sociale in asa fel incat sa respecte conditiile culturale, de mediu, sociale, legale, precum si pe cele ale dezvoltarii economice;
- ofere indrumare practica organizatiilor pentru a-si identifica partenerii sociali si pentru a creste credibilitatea rapoartelor de SR;
- creasca increderea in organizatii;
- fie consecvent cu legile si standardele ISO in vigoare;
- nu intentioneze sa reduca autoritatea statelor in privinta responsabilitatii sociale a companiilor;
- promoveze o terminologie comuna in domeniu;
- promoveze responsabilitatea sociala.

La elaborarea standardului participal atat state dezvoltate economic cat si state in curs de dezvoltare. In opinia lui Martin Neureiter, aceasta este cheia succesului standardului. "Statele cu niveluri diferite de dezvoltare au probleme diferite. Organizatiile actioneaza in conditii complet diferite si abordarile lor fata de responsabilitatea sociala sunt adaptate local. Accesul la apa potabila e de la sine inteles in unele state, in timp ce in altele este o problema de viata si de moarte, care poate determina disparitia unei comunitati. De aceea contributia fiecarui stat este vitala pentru standard, pentru ca numai asa poate fi relevant la nivel mondial."

ISO 26 000 - responsabilitate sociala

ISO nu se aplica numai pe etichetele de apa minerala sau vopsea lavabila. Incepand din 2008, firmele care isi asuma responsabilitati sociale si de mediu vor putea "purta" o "eticheta" de standard calitativ - ISO 26 000, responsabilitate sociala. In Romania, responsabilitatea sociala corporativa (CSR) este un domeniu care a inceput sa se dezvolte. Conform unei estimari a Saga Business&Community, companie specializata in servicii sociale si de mediu, in 2005 companiile au investit circa 10 milioane de euro in activitati CSR.

Organizatia Internationala pentru Standardizare (ISO) va lansa in 2008 un standard international pentru responsabilitarea sociala. ISO 26000 nu va fi un standard de certificare, ci va constitui un ghid pentru organizatii, care il vor adopta pe baza de voluntariat.
ISO doreste sa promoveze responsabilitatea sociala corporativa fara a innabusi creativitatea si dezvoltarea. Tocmai de aceea, ISO 26000 nu va fi obligatoriu. Scopul este de a incuraja asumarea voluntara a unor responsabilitati sociale si de mediu pe baza unor concepte, definitii si metode de evaluare comune.
Standardul de responsabilitate sociala este dezvoltat de organizatie in colaborare cu organizatii industriale, guvernamentale, ale lucratorilor si consumatorilor, neguvernamentale, etc. din toata lumea. Baza de dezvoltare a ISO 26 000 sunt modelele din SIS - Institutul Suedez de Standardizare si ABNT - Asociatia Braziliana a Standardelor Tehnice.
Responsabilitatea sociala a corporatiilor se refera la implicarea companiilor in viata comunitatilor - in problemele sociale si de mediu inconjurator. Actiunea CSR este direct legata de reputatia unei firme si din aceasta cauza de competitivitatea ei pe piata.
Conceptul CSR include mai multe elemente printre care: asigurarea oportunitatilor egale, asigurarea pregatirii continue a angajatilor, impactul activitatii corporatiei asupra societatii, reputatia companiei, brand-ul si marketingul, investitia etica, grija fata de mediul inconjurator, etica in guvernarea corporatista.
Comunitatile locale pot folosi CSR ca instrument pentru a implica companiile active local sa se implice in viata comunitatii. Organizatiile care reprezinta comunitatea ar trebui sa identifice cele mai fierbinti aspecte ale agendei publice si sa le prezinte companiilor pentru a obtine suport.

CSR - o baza pentru obiectivele UE Lisabona

In Strategia Lisabona, Comisia Europeana arata ca responsabilitatea sociala corporatista este o contributie la dezvoltarea durabila, si deci la realizarea obiectivelor Strategiei. "Initiativele voluntare ale intreprinderilor, luand forma unor practici legate de responsabilitatea sociala pot constitui un aport esential la dezvoltarea durabila, intarind in acelasi timp potentialul de inovatie si competitivitate al Europei".

3. ISO 27000 - Securitatea informatiei

Informatia este sangele fiecarei organizatii si poate exista sub mai multe forme.
Aceasta poate fi printata sau scrisa pe hartie, stocata electronic, transmisa prin e-mail, aratata in filme sau spusa in conversatii. In mediul de afaceri competitiv prezent, informatia este "amenintata" constant de diferite surse. Acestea pot fi interne, externe, accidentale sau rau-voitoare. Cu tendintele crescande ale noilor tehnologii de stocare a informatiei si de gasire a acesteia, cresc si riscurile care afecteaza siguranta informatiei.

Informatiile sunt o resursa a organizatiei care, ca si celelalte resurse importante de business, adauga valoare organizatiei si trebuie protejate ca atare. Securitatea informatiilor protejeaza informatiile organizatiei împotriva unei game variate de amenintari - inclusiv fraude electronice, spionaj, sabotaj, vandalism, sau dezastre naturale - în scopul asigurarii continuitatii activitatii, minimizarii daunelor posibile si pastrarii avantajului competitiv, profitabilitatii, si chiar a legalitatii.

3.1. Securitatea informatiei

Securitatea informatiei nu mai trebuie tratata doar din punct de vedere tehnic, ea trebuie inclusa in managementul companiei. Securitatea informatiei poate fi pusa la incercare de virusi, acces neautorizat, procesarea neadecvata de catre angajatii companiei (asa-numitele erori umane), defectiuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.

Toate acestea isi pun amprenta asupra activitatii si imaginii companiei. Iata de ce aceasta problema trebuie tratata foarte serios si inclusa in managementul companiei.

Pastrarea datelor a devenit o problema tot mai importanta atat datorita faptului ca se manipuleaza un volum tot mai mare de date, dar si modului de accesare al acestor informatii care trebuie sa fie rapid, eficient, optim din punct de vedere al raportului timp accesare/ valoare informatie.

Nu in ultimul rand datele stocate trebuie sa fie arhivate astfel incat sa se asigure o securitate adecvata in ceea ce priveste persoanele care au acces la ele dar si din punct de vedere al concordantei cu legislatia privind securitatea si protectia informatiilor.

Securizarea datelor si importanta acestora pentru activitatile carora le sunt destinate duce la o clasificare a acestora in functie de nivelul de siguranta.

Date clasate in primul nivel de securitate (SEC1) cuprind datele cele mai "sensibile" din punct de vedere al importantei lor pentru activitatea unei companii. Putem include aici date despre posesorii de carduri de exemplu sau informatii despre orice produs nou si a caror siguranta este vitala pentru firma. Din acest motiv ele sunt accesate de un grup restrans de persoane, autorizate sa utilizeze aceste informatii.

Date clasate in al doilea nivel de securitate (SEC2) cuprind date confidentiale care sunt securizate impotriva utilizarii lor de catre persoane din interiorul firmei (angajati, personal auxiliar, etc). Accesarea lor de catre persoane neautorizate ar putea aduce prejudicii activitatilor operationale ale firmei, pierderi pe plan de imagine sau de diminuare a profitului, cu efecte negative fata de concurenta.

Datele clasate in cadrul nivelului trei de securitate (SEC3) cuprind informatii securizate fata de accesul din exterior, dar a caror publicare nu ar produce efecte negative semnificative

Al patrulea nivel de securitate se refera la datele neclasificate din punct de vedere al securizarii lor. Cantitativ, cuprind un numar mai mare de date fata de cele trei nivele de securitate anterior prezentate. Datele din cadrul acestui sector nu necesita o protectie speciala si nici realizarea unui back-up permanent in comparatie cu celelalte.

Pentru o securizare corecta a datelor este necesar anterior a se stabili cateva criterii esentiale: cat de repede se doreste stocarea informatiilor, cat de convenient din punct de vedere al modului de operare trebuie realizata securizarea lor, unde sunt stocate datele si care este modalitatea de acces la ele precum si frecventa realizarii operatiunii de back-up pentru informatiile cele mai importante.

In ultima vreme o importanta tot mai mare se acorda armonizarii dintre confidentialitatea si securitatea datelor fata de legislatia in vigoare din acest domeniu. In Marea Britanie de exemplu, Information Commissioneres Office (ICO) a pus la dispozitie o adresa de web  unde sunt specificate foarte clar drepturile si obligatiile firmelor care folosesc informatii din diverse domenii, precum si a modului de protectie si securitate a acestora.

De aceeea, exista o nevoie generala a unei Politici de Securitate a Informatiei pentru toate organizatiile. Exista nevoia de confidentialitate, integritate si disponibilitate atat pentru organizatii cat si pentru informarea clientilor. Standardul pentru Securitatea Informatiei (ISMS) BS 7799 (predecesorul ISO/IEC 27001:2005) a devenit rapid unul dintre cele mai cerute si vandute standarde.Un Sistem de Management al Securitatii Informatiilor (SMSI) este o abordare sistematica a gestionarii informatiilor sensibile ale organizatiei în scopul protejarii acestora.

Un SMSI este un sistem de management bazat pe o abordare a riscurilor la care organizatia este expusa si are scopul de a stabili, implementa, opera, monitoriza, revizui, mentine si imbunatati securitatea informatiei.
Certificarea unui SMSI se face in baza referentialului ISO 27001 (fost BS 7799-2).

3.2. Istoric si continut ISO/IEC 27000

Care este istoricul acestor standarde?

Primul standard pentru certificarea SMSI a fost standardul britanic: BS 7799. Acesta a avut 2 parti:

Partea I: BS 7799-1 , care era un Cod de Practica, care a devenit mai tarziu ISO/IEC 17799. In prezent acest ultim standard a fost inlocuit de ISO/IEC 27002. ISO/IEC 17799 - Codul de Practica pentru Managementul Securitatii Informatiei, stabileste liniile si principiile generale pentru organizatii pentru a initia, implementa, mentine si imbunatatii managementul securitatii informatiei.

Partea a II-a : BS 7799-2. Acesta a fost primul standard dupa care se putea efectua certificarea unei organizatii. Pe acestui referential, s-a elaborat primul standard international de certificare pentru SMSI, ISO 27001. ISO/IEC 27001:2005 (fostul BS 7799-2:2002) este un standard care stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei.Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia.

Preocuparea organismelor de standardizare pentru domeniul securitatii informatiei reiese si din faptul ca ISO a rezervat seria ISO / IEC 27000 pentru o serie de standarde de administrare a securitatii informatiei, în maniera similara seriei ISO 9000 referitoare la asigurarea calitatii.

Urmatoarele standarde din aceasta serie sunt fie publicate, fie în curs de elaborare:

- ISO 27000 va contine terminologia - vocabular si definitii - privind securitatea informatiei;

- ISO 27001, publicat în 2005, contine specificatiile pentru un sistem de administrare a securitatii informatiei, în baza carora organizatiile sunt certificate;

- ISO 27002 va fi noul nume al standardul ISO 17799 (BS 7799 - 1), codul de practica pentru administrarea securitatii informatiei;

- ISO 27003 va fi un ghid de implementare:

- ISO 27004 va fi un standard privind masurarea administrarii securitatii informatiei;

- ISO 27005 va fi un standard privind administrarea riscurilor de securitate a informatiei (va înlocui BS 7799 - 3, publicat de curand);

- ISO 27006 va fi un ghid privind procesul de certificare / înregistrare pentru organismele acreditate de certificare / înregistrare.

Este posibil ca în aceasta serie sa fie inclus si un standard privind asigurarea continuitatii operationale.

3.3. Beneficiile unei certificari

Implementarea si certificarea unui Sistem de Management al Securitatii Informatiei  (pe scurt SMSI) este o decizie strategica pentru orice organizatie deoarece garanteaza securitatea informatiilor societatii certificate dar si a informatiilor clientilor si partenerilor de afaceri.

Acest sistem furnizeaza recomandari pentru tinerea sub control al riscurilor informationale, aduce o clarificare  asupra tipurilor de amenintari si da directii de abordare ale metodelor de protectie pentru a asigura supravietuirea companiei, minimizarea potentialelor daune financiare, maximizarea profitului si a perspectivelor organizatiei.

In zilele noastre, avand in vedere ca majoritatea datelor se tin pe suport informatic, o atentie deosebita trebuie acordata protectiei sistemelor informatice. Securitatea informatiei trebuie sa aiba legatura cu toate aspectele legate de protejarea datelor indiferent de forma in care acestea exista (suport magnetic, optic, hartie, etc.).

Indicarea in mod clar a indeplinirii de catre organizatie a conditiilor standardului BS 7799 partea a 2-a sau ISO 27001; Aceste standarde contin cele mai bune recomandari facute de experti in SMSI. Printre beneficiile unei certificarii putem enumera:

1 Ofera clientilor si partenerilor de afaceri incredere sporita in organizatia certificata;

Reduce necesitatea unei posibile evaluari a sistemului de securitate din partea clientilor sau partenerilor care cer acest lucru;

2. Ofera managerilor un control mai bun asupra fluxurilor de informatii din organizatia certificata;

3. Sunt identificate si  tinute sub control riscurile care pot afecta activitatea organizatiei;

4. Posibilitatatea de a intruni toate conditiile de eligibilitate la licitatii acolo unde certificarea SMSI este un criteriu;

5. O pozitie si imagine mai buna pe piata, in fata societatilor concurente care au doar un singur sistem certificat (ex : ISO 9001)

Este potrivit pentru cateva tipuri diferite de folosinta organizationala incluzand urmatoarele:

- formularea cerintelor de securitate si a obiectivelor;
- asigurarea ca riscurile de securitate sunt "stapanite" din punct de vedere al costului;
- asigurarea unei conformitati cu legislatia si diverse reglementari;
- identificarea si clarificarea proceselor existente de management al securitatii informatiei;
- folosinta lui de catre management pentru a determina statusul activitatilor de management al securitatii informatiei;
- folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu e?

politicile, directivele si standardele adoptate de catre organizatie;
- furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si proceduri, catre partenerii comerciali;
- furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii.

Ce categorie de organizatii ar trebui sa-si certifice propriul Sistem de Management al Securitatii Informatiei ? Orice organizatie, care considera ca informatiile cu care intra in contact trebuie protejate, trebuie sa aiba un astfel de sistem de management prin care sa isi tina sub control toate riscurile.
In plus, certificarea SMSI, este o carte de vizita ce nu poate fi trecuta cu vederea de catre partenerii de afaceri sau de clienti.

Standardul ISO 27000 ofera organizatiei posibilitatea de a construi un proces de securizare ce este capabil sa optimizeze in mod sistematic la diferite niveluri valorile acesteia in domeniul securizarii.

Acest proces conduce la o serie de avantaje, dintre care putem enumera:

-Dovada securitatii sistemului informatic fata de terti (autoritati, clienti, parteneri);

-Avantaje concurentiale: "calitate documentata" de catre un organism independent;

-Reducerea costurilor prin structuri transparente si optimizate;

-Securitatea ca parte componenta a proceselor de afaceri;

-Constientizarea si controlul riscurilor informatice/ informationale si a altor tipuri de riscuri;

-Documentarea structurilor si proceselor;

-Evaluarea proceselor din organizatie din punctul de vedere al securitatii acestora;

-Prioritatea securitatii afacerii: Business Continuity Management;

-Standard recunoscut international;

-Posibilitatea scaderii primelor de asigurare;

-Integrarea facila a ISO 27000 in alte sisteme de management (ISO 9001)

ISO / IEC 27001 (BS 7799 - 2) este standardul în baza caruia pot fi certificate sistemele de administrare a securitatii informatiei, reprezentand structurile pentru proiectarea, implementarea, administrarea, întretinerea si intrarea în functiune a proceselor de securitate a informatiei, precum si controalele consistente si sistematice în cadrul acestora.Standardul acopera toate tipurile de organizatii, de la întreprinderi comerciale si agentii guvernamentale pana la organizatii non-profit. El specifica cerintele pentru constituirea, implementarea, operarea, monitorizarea, întretinerea si îmbunatatirea unui sistem de administrare a securitatii informatiei documentat, în contextul proceselor de administrare a riscurilor globale la nivelul organizatiei.

3.4. Concluzii

      ISO/ IEC 27001 este aliniat atat cu ISO 9001 dar si cu ISO 14001. Toate cele trei standarde contin elemente si principii de sistem comune inclusiv procesul ciclic de imbunatatire continua PDCA (Plan-Do-Check-Act, Planifica-Elaboreaza-Verifica-Imbunatateste). 
Aceasta abordare face posibila integrarea usoara a acestor sisteme, astfel incat sa aiba sens un sistem unic de management in organizatie.

Acestea sunt cateva dintre cele mai cunoscute standarde si documente publicate în domeniul securitatii informatice, exista multe altele la nivel local, regional sau global care pot fi consultate.
Fiecare dintre aceste documente trateaza cu prioritate anumite aspecte: în timp ce unele ofera o vedere globala asupra proceselor informatice sau sunt focalizate pe procese operationale, altele se concentreaza pe controalele de securitate. Standardele se suprapun în unele zone si sunt complementare în altele.

Cunoasterea acestor standarde este un prim pas pentru o administrare eficienta a securitatii informatice, încadrata într-un cadru mai larg de organizare a serviciilor informatice, de îmbunatatire a calitatii acestora, de administrare a riscurilor, în final de atingere a unui nivel superior de calitate în executarea si livrarea serviciilor informatice.

In sistemul financiar-bancar romanesc exista din ce în ce mai multe preocupari pentru administrarea securitatii informatiei, pentru definirea rolurilor si responsabilitatilor, pentru aplicarea standardelor si reglementarilor în domeniu, pentru calificarea si certificarea personalului tehnic, dar si pentru educarea utilizatorilor din institutiile bancare. Acest lucru este vizibil la nivelul sistemului bancar, prin activitatile desfasurate de membrii Comisiei de securitate IT&C a Asociatiei Romane a Bancilor, precum si prin programele de pregatire, conferintele si seminariile organizate în ultimul an de Institutul Bancar Roman.

De unde se incepe?

1. Dezvoltati o politica pentru securitatea informatiei si identificati informatiile cheie ale organizatiei dvs. Procurati standardul ISO/IEC 17799:2005 si ISO/IEC 27001:2005 care va va ajuta sa faceti acest lucru;
2. Construiti-va ISMS-ul; instruirea personalului cheie va ajuta in garantarea unei implementari de succes. Alegeti-va cu atentie societatea de consultanta, pentru ca acest lucru isi va pune amprenta in faza finala, la certificare.
3. Odata ce sistemul de management este implementat in totalitate, puteti sa cereti auditarea unui organism de certificare, pentru ca apoi sa primiti acreditarea.

4. ISO 28000 - Securitatea canalelor de distributie

In prezent managementul securitatii a devenit o provocare complexa in toate ariile dar in special in ceea ce priveste canalele de distributie. Logistica si parteneriatele in domeniul canalelor de distributie pot avea de suferit datorita caderilor sau a reglementarilor nationale si internationale variate. Companiile isi doresc sa asigure securitatea canalelor de distributie prin identificarea potentialelor amenintari, evaluarea riscurilor si implementarea de masuri de control.

4.1. Continut

Noua serie de standarde internationale (seria ISO 28000) referitoare la sistemele de management al securitatii lantului de aprovizionare, va ajuta la reducerea riscurilor pentru oameni si marfuri in cadrul lantului de aprovizionare. Standardele trateaza riscurile potentiale de securitate prezente in toate etapele procesului de aprovizionare, avand drept tinta pericole ca terorismul, frauda si pirateria.

Secretarul general al ISO, Alan Bryden a precizat ca "Amenintarile in piata internationala nu cunosc frontiere. Seria ISO 28000 furnizeaza o solutie globala la probleme globale. Cu un sistem de management al securitatii recunoscut international, partile interesate din lantul de aprovizionare pot asigura securitatea oamenilor si marfurilor, facilitand in acelasi timp comertul international si contribuind la binele societatii in intregul ei."

Seria de standarde internationale ISO 28000 stabileste cerintele pentru sistemul de management al securitatii. Aceste standarde pot fi aplicate de organizatii de toate marimile implicate in productie, service, depozitare si transport aerian, naval, feroviar si rutier, in orice etapa a procesului de productie sau aprovizionare.

Seria include prevederi pentru:

* stabilirea, implementarea, mentinerea si dezvoltarea sistemului de management al securitatii;

* asigurarea conformitatii cu politica de management al securitatii;
* demonstrarea acestei conformitati;

* obtinerea certificarii sau inregistrarea conformitatii de un organism de terta parte acreditat;

* elaborarea unei declaratii de conformitate pe propria raspundere.

 ISO 28000:2007, Specification for security management systems for the supply chain (Specificatie pentru sistemul de management al securitatii pentru lantul de aprovizionare);

 ISO 28001:2007, Security management systems for the supply chain. Best practices for implementing supply chain security. Assessments and plans. Requirements and guidance (Sisteme de management al securitatii lantului de aprovizionare. Cele mai bune practici pentru implementarea securitatii lantului de aprovizionare. Evaluari si planuri. Cerinte si recomandari);

 ISO 28003:2007, Security management systems for the supply chain. Requirements for bodies providing audit and certification of supply chain security management systems (Sisteme de management al securitatii lantului de aprovizionare. Cerinte pentru organismele care efectueaza audit si certificare a sistemelor de management al securitatii lantului de aprovizionare)

 ISO 28004:2007, Security management systems for the supply chain security. Guidelines for the implementation of ISO 28000 (Sisteme de management al securitatii lantului de aprovizionare. Linii directoare pentru implementarea standardului ISO 28000).

ISO a publicat o noua serie de standarde internationale (seria ISO 28000) referitoare la sistemele de management al securitatii lantului de aprovizionare, care va ajuta la reducerea riscurilor pentru oameni si marfuri în cadrul lantului de aprovizionare. Standardele trateaza riscurile potentiale de securitate prezente în toate etapele procesului de aprovizionare, având drept tinta pericole ca terorismul, frauda si pirateria.

Secretarul general al ISO, Alan Bryden a precizat ca "Amenintarile în piata internationala nu cunosc frontiere. Seria ISO 28000 furnizeaza o solutie globala la probleme globale. Cu un sistem de management al securitatii recunoscut international, partile interesate din lantul de aprovizionare pot asigura securitatea oamenilor si marfurilor, facilitând în acelasi timp comertul international si contribuind la binele societatii în întregul ei."

Seria de standarde internationale ISO 28000 stabileste cerintele pentru sistemul de management al securitatii. Aceste standarde pot fi aplicate de organizatii de toate marimile implicate în productie, service, depozitare si transport aerian, naval, feroviar si rutier, în orice etapa a procesului de productie sau aprovizionare.

Seria include prevederi pentru:

 stabilirea, implementarea, mentinerea si dezvoltarea sistemului de management al securitatii;

 asigurarea conformitatii cu politica de management al securitatii;

 demonstrarea acestei conformitati;

 obtinerea certificarii sau înregistrarea conformitatii de un organism de terta parte acreditat;

 elaborarea unei declaratii de conformitate pe propria raspundere.

4.2. Despre ISO/PAS 28000

ISO/PAS 28000 a fost dezvoltat ca raspuns al cerintelor pentru un sistem de management al securitatii aplicabil tuturor elementelor implicate in canalele de distributie. Rolul sau este de a servi ca element de baza in identificarea pericolelor asupra securitatii canalelor de distributie, evaluarea riscurilor identificate si implementarea de masuri de control adecvate.

Cerintele ISO/PAS 28000 includ toate aspectele critice ce vizeaza siguranta canalelor de distributie precum managementul informatiilor, ambalarea, depozitarea sau transferul bunurilor intre locatii si vehicule.

Majoritatea cerintelor acestui referential sunt de multe ori cerinte ale partenerilor de afaceri astfel ca adoptarea si implementarea ISO/ PAS 28000 poate fi realizata mai usor de catre companie.

ISO/PAS 28000:2005 - Specificatii pentru sisteme de management al securitatii canalelor de distributie

ISO/PAS 28000:2005 - Subliniaza cerintele necesare unei organizatii pentru a-si stabili, implementa si imbunatati un sistem de management al securitatii canalelor de distributie.

Acestea includ aspecte critice in asigurarea securitatii canalelor de distributie cum ar fi:

- finantarea;

- productia;

- managementul informational;

- facilitati pentru impachetare, depozitare si transfer de bunuri intre tipuri de transport si locatii.

ISO/PAS 28000 poate fi utilizat de o gama larga de organizatii din domeniul productiei, serviciilor, logisticii si transportului la orice nivel al canalului de distributie si are rolul de a reasigura partenerii de afaceri ca securitatea canalului este luata in considerare la modul cel mai serios.

El integreaza abordarile standardelor ISO 9001:2000 si ISO 14001:2004 - inclusiv ciclul PDCA si cerinta pentru imbunatatirea continua, dar si elementele de management al riscului din ISO 14001.

ISO 28000 este una din lucrarile dezvoltate pentru securitatea canalelor de distributie intermodale ale ISO/TC 8 si include urmatoarele documente:

- ISO/PAS 20858:2004, "Tehnologie navala si maritima - Evaluari ale securitatii facilitatilor maritime si dezvoltarea unui plan de securitate";

- ISO/PAS 28001, "Cele mai bune practici de custodie in securitatea canalelor de distributie";

- ISO/PAS 28004, "Sisteme de management al securitatii destinate canalelor de distributie - Ghiduri generale de principii, sisteme si tehnici de suport".

4.3. Initierea procesului

Analiza solicitarii privind acordarea de consultanta si discutii cu managementul organizatiei pentru stabilirea termenului de finalizare, analiza si semnarea contractului de consultanta.

Evaluare initiala (audit diagnoza)

- Identificarea si analiza activitatilor derulate de organizatie pentru stabilirea domeniului de aplicare a sistemului de management;

- Analiza modului de lucru al organizatiei (elemente tehnico-organizatorice si practici curente);

- Analiza resurselor de care dispune organizatia : resurse umane si identificarea functiilor, conditiile de infrastructura (spatii, echipamente,

etc);

- Analiza sistemului de inregistrari utilizat de organizatie.

Proiectarea sistemului

- Stabilirea specificului canalelor de distributie utilizate si a parteneriatelor in acest domeniu;

- Identificarea pericolelor si evaluarea riscurilor privind securitatea canalelor de distributie;

- Stabilirea masurilor de control pentru reducerea sau eliminarea riscurilor;

- Identificarea cerintelor legale aplicabile;

- Stabilirea listei cu documentatia ce va fi elaborata in cadrul sistemului de management.

Elaborarea documentatiei sistemului de management

- Proceduri, instructiuni de lucru, politici, programe, planuri, inregistrari.

Instruirea

Instruirea personalului (management si personal operator) cu cerintele sistemului de management si cerintele documentatiei elaborate.

Acordarea de asistenta in implementarea sistemului de management

Instruirea responsabililor de proces/activitati cu cerintele procedurilor aplicabile si inregistrarile ce vor fi mentinute.

Asistenta in cadrul auditului de certificare

Contactarea organismului de certificare, consultanta in completarea cererii de certificare si acordarea de asistenta la auditul de certificare.

Etapele certificarii

4.4. Companii ce ofera servicii de consultanta si certificare ISO in Romania

CERTIND

Certificare sisteme de management ISO9001; ISO14001; OHSAS 18001; HACCP; ISO 22000; ISO 27001; SA8000;

ISO/PAS 28000 certificare DOP (denumire de origine) produse alimentare; certificare IGP (indicatie geografica);

ISM managementul securitatii facilitatilor portuare; inspectii si evaluari ale calitatii produselor si fluxurilor de productie; organism de certificare acreditat international "Esyd" Grecia Contact: Str. George Enescu nr. 27-29 (Palatul UGIR 1903), sector 1 , Tel. 021.313.36.51; Fax 021.313.36.51 ; www.certind.ro ; office@certind.ro

CERTROM

Organism de certificare: sisteme de management al calitatii conform SR EN ISO 9001:2001; sisteme de management de mediu conform SR EN ISO 14001:2005; conformitate produse conform standardului de produs; conformitate produse pentru constructii din domeniul reglementat recunoscut de MEC si MTCT; sisteme de management a sigurantei alimentelor conform SR EN ISO 22000:2005; sisteme de sanatate si securitate ocupationala conform OHSAS 18001:2004 Contact: Str. Atomistilor nr. 111, Magurele, jud. Ilfov , Tel. 021.457.59.75; 021.493.00.75 ; www.certrom.ro ; office@certrom.ro
Orar: L-V: 9-17

IMM CERT B & B

Organism de certificare a sistemelor de management al calitatii pe baza SR EN ISO 9001/2001, certifica organizatiile solicitante desfasurand activitati de audit si instruire in domeniul specific de activitate Contact: Aleea Adjud nr. 2, bl. F1, et. 2, ap. 11, sector 3, 020331 , Tel. 021.341.05.05; 0745.121.092; 0740.067.925; Fax 021.341.05.05 ; www.immcertb-b.ro iuliana_ciornei@yahoo.com
Orar: L-V: 8,30-17,30

S.R.A.C.

Reputatia solida si statutul de lider al pietei romanesti de certificare fac din SRAC partenerul dvs. ideal - peste 5000 de clienti din aproape toate domeniile de activitate: unitati de administratie publica, principalii mari operatori nationali, spitale, universitati, aeroporturi, societati viticole, etc.; certificarile noastre sunt acreditate si recunoscute in intreaga lume, pentru urmatoarele sisteme de management: calitate ISO 9001, mediu ISO 14001, siguranta alimentelor (HACCP) - ISO 22000 , sanatate si securitate ocupationala - OHSAS 18001, securitatea informatiilor (BS 7799 - 2) - ISO/IEC 27001; S.R.A.C. este prezent si pe piata internationala, prin certificari in tari ca: Austria, Franta, Ungaria, Italia, Republica Moldova, Serbia si Muntenegru, etc Contact: Str. Vasile Parvan nr. 14, sector 1 , Tel. 021.313.63.35; Fax 021.313.23.80 ; www.srac.ro office@srac.ro
Orar: L-V: 8-16

SOCIETATEA ROMANA PENTRU CERTIFICARE ROCERT

Certifica sisteme calitate, mediu si sanatate si securitate ocupationala conform ISO 9000, 14000, OHSAS 18000.Parteneri PC BC (Polonia) si YUQS (Serbia) Contact: Str. Iani Buzoiani nr. 1, bl. 16A, ap. 43, sector 1 , Tel. 021.224.36.99; Fax 021.224.26.39 ; www.rocert.ro ; rocert@rocert.ro
Orar: L-V: 9-16

5. Bibliografie

1. Departamentul purtatorului de cuvant al guvernului EU-RO Newsletter - Guvernul Romaniei

2. https://www.iso.org/iso/catalogue_detail?csnumber=41921

3. https://www.lrqausa.com/ISO-PAS-28000.htm

4. https://www.consultanta-certificare.ro/ stiri/ iso-pas-28000-2005-canale-de-distributie.html

5.https://www.govinst.com/

6. https://www.lr.org/Industries/ LRQA/ Standards/ Standards/ ISO+28000.htm

7. https://www.selenis.ro/index.php?option=com_e_press&Itemid=164&id=137

8. https://www.consulting-management.ro/stiri_4.php

https://www.consultanta-certificare.ro/stiri/iso-26000-responsabilitatea-sociala.html

10. https://www.euractiv.ro/