Dostosowanie do specyfiki i potrzeb

Dostosowanie do specyfiki i potrzeb

Podejście daje elastyczność w dostosowywaniu dekompozycji celów zgodności zależnie od specyficznych potrzeb. Model danych NOR-STA obejmuje cele, cele podrzędne, wymagania i dowody zgodności oraz umożliwia prowadzenie ocen i określanie całościowego poziomu realizacji celów zgodności.

Struktura modelu zarządzania zgodnością

Można zarządzać strukturą powiązań i określać cele podrzędne i wymagania właściwe dla przyjętych celów. Stosowana struktura danych umożliwia śledzenie wymagań i dowodów przypisanych dla danych celów, oraz w drugim kierunku jakie cele są wspierane przez dane dowody.

Wszystkie informacje dotyczące zgodności można śledzić, mogą być poddane weryfikacji i audytom. Gdy zostanie wykryta jakaś niezgodność, odpowiednie informacje mogą być oznaczone jako nieakceptowane (co jest oznaczone kolorem czerwony na widoku ekranu po prawej stronie) i być objęte działaniami korygującymi. Możliwe działania mogą obejmować:

  • dostarczenie nowych, skorygowanych dowodów,
  • poprawę strategii implementacji i zmianę dekompozycji celów,
  • korektę opisu zakresu celów oraz wymagań.

Ponowny przegląd wymagań i dowodów, a czasem też strategii implementacji, jest wymagany dla oznaczenia akceptacji realizacji danego celu zgodności.

Podczas budowy i dostosowywania struktury modelu zgodności należy stosować proste i precyzyjne strategie wdrażania celów. Należy wykonywać przeglądy strategii gdyż niepoprawne strategie prowadzą do identyfikacji niewłaściwych i niekompletnych wymagań. Gdy strategie nie są poprawne można mieć iluzję osiągnięcia celu podczas gdy w rzeczywistości być od niego daleko. Z tego powodu należy podważać poprawność strategii i upewniać się, czy są właściwe. Za każdym razem, gdy zostanie znaleziona błędna strategia należy zmienić jej ocenę na negatywną (niezgodność), a następnie poprawić ją oraz inne powiązane elementy, jeżeli jest to wymagane.

Uzasadnienie wyboru strategii wdrażania zgodności

Jest sześć podstawowych pytań, które należy zadać sprawdzają każdą strategię:

  • Czy jest odpowiednia dla danego celu? Czy rzeczywiście jej spełnienie gwarantuje, że cel zostanie osiągnięty?
  • Czy jest jednoznaczna? Czy nie istnieją różne interpretacje strategii, w szczególności z punktu widzenia innych użytkowników?
  • Czy została zweryfikowana? Czy dysponujemy dowodami, że stosowanie danej strategii dane oczekiwane wyniki?
  • Czy jest kompletna? Czy określono wszystkie potrzebne cele podrzędne oraz wymagania, aby pokryć pełny zakres strategii, wszystkie warianty i sytuacje?
  • Czy jest efektywna? Czy wszystkie wymagane środki i dowody są rzeczywiście potrzebne? Nie ma wymagań na dowody lub prace, które są zbędne?
  • Czy jest bez wad? Czy nie ma wad lub nieścisłości w strategii?

W przykładzie listy kontrolnej kopii zapasowych (omawianym w sekcji 2) analizując strategię dla celu numer 2 można zadać pytanie, czy obejmuje ona poufność danych w kopii zapasowej. Analiza pokazuje, że tego nie obejmuje. Jeżeli uważasz poufność kopii zapasowej za istotną dla realizacji celu, to należy natychmiast oznaczyć strategię jako niepoprawną i rozpocząć proces korygujący. Strategia może zostać ponownie oznaczona jako poprawna po ponownym przeglądzie, gdy wykazane zostanie, że strategia i powiązany zbiór wymagań są poprawne i właściwe dla danego celu

Darmowy demonstrator projektu
dla wybranego standardu

Samoocena
zgodności z ISO 27001

Wypróbuj usługi NOR-STA
za darmo przez 30 dni