SharePoint 2010 – Metricii SMSI – ISO27001


Așa cum spuneam într-un articol de mai demult, SharePoint poate fi folosit ca instrument pentru implementarea ISO 27001:2005 Standardul de Management al Securității Informaționale.

În articolul curent vă voi prezenta o implementare a Indicatorilor de evaluare a eficienţei SMSI folosind tehnologiile SharePoint 2010 Enterprise edition și InfoPath. Din păcate funcțiile pentru formulare și completarea formularelor InfoPath în format Web Client nu sunt accesibile în SharePoint Foundation 2010, ediția gratuită de SharePoint.

Ce sunt metricii?

Metricii sunt de fapt indicatorii generali de evaluare a eficienței implementărilor standardului ISO 27001. Criticam în articolele anterioare, faptul că în România din ce în ce mai multe companii, firme vor un carton cu certificarea SMSI, pentru că este la modă sau pentru că este diferențiator în licitații. Din păcate sunt foarte puține companii care acceptă valoarea unor astfel de implementări, dată în primul rând de conștientizarea personalului și gestionarea centralizată a riscurilor de securitate, rezultate din exploatarea sistemelor informaționale actuale.

Fiind un standard managerial, un rol important în acest standard îl au indicatorii de performanță, care pot reprezenta un tablou general de bord pentru management. În mod mai exact reprezintă raportul care se prezintă anual conducerii în materie de securitate a sistemului informațional din cadrul companiei. Atenți nu am spus informatic pentru că mulți dintre noi cunosc diferența terminologiilor.

Principalele categorii de indicatori se referă la domeniile:

  • Managementul riscului
  • Controale de securitate
  • Ciclului de viaţă al dezvoltării sistemelor
  • Planul de Securitate
  • Securitatea resurselor umane
  • Protecţia fizică şi a mediului de lucru
  • Controlul datelor de intrare – ieşire
  • Continuitatea afacerii
  • Întreţinerea sistemelor hardware şi a software-ului
  • Integritatea datelor
  • Documentaţia
  • Instruirea, educarea şi conştientizarea utilizatorilor
  • Capacitatea de răspuns la incidentele de securitate
    Fiecare domeniu poate avea la rândul său mai mulți indicatori și diferite metode de calcul sau surse de date. În modul, să spunem, mai clasic, metricii se pot gestiona într-un document Word cu formulare prestabilite și câmpuri calculate.
    Exemplu de pagină Word cu câmpuri:

Metrici SMSI Word

Implementare în SharePoint

Pentru a centraliza activitățile de completare a acestor formulare, dar și pentru a beneficia de funcțiile de colectare și agregare automatizată a datelor cea mai bună soluție pe care am identificat-o este aceea a utilizării SharePoint Server 2010.

Într-o formă puerilă, o pagină asemănătore celei din imagine poate fi reprezentată printr-un simplu formular InfoPath. Detalii despre funcționalitate și modul de completare în video următor:

Formular simplu in InfoPath

 

Într-un mod mult mai avansat, putem implementa toți indicatorii într-o singură bibliotecă SharePoint de tip Forms prin utilizarea funcțiilor de Content type.

O biblitecă de formulare cu content type activat trebuie să conțină mai multe template-uri, câte unul pentru fiecare indicator. Important pentru o reprezentare globă a tuturor indicatorilor este să păstrăm numele câmpului rezultat la fel pentru fiecare indicator.

În următorul video vă expunem o altă formă de prezentare, care o considerăm mai practică, din punct de vedere al managementului centralizat al indicatorilor de securitate. În mod concret vom activa Content types, vom asigna un template pentru unul din indicatori si vom crea un nou template pentru alt indicator.

Bibliotecă de formulare cu Content Type diferit.

 

Versiunea și mai avansată este aceea prin care în formularul InfoPath se preiau automat informații din diferite liste salvate în SharePoint. În articolul de mai demult povesteam despre asset inventory și alte tipuri de liste stocate.

Dintr-un formular InfoPath ne putem conecta la diferite surse de date pentru a extrage informații sau chiar a transmite informații:

DCW

Probabil că se pot găsi și diferite alte metode de completare și raportare centralizată a indicatorilor de performanță ai securității unei organizații.

Dar…

 

Tehnologia este cu adevărat frumoasă dacă știi să-i găsești utilitatea și să-ți faci viața mai ușoară cu ajutorul ei. La ora actuală, în România, domeniul certificărilor de securitate și a companiilor care pot/vor/au cu ce să implementeze astfel de soluții și nu hărtii și cartoane, este destul de limitat.

9 gânduri despre „SharePoint 2010 – Metricii SMSI – ISO27001

  1. Acești indicatori reprezintă una dn principalele date de intrare pentru revizia (și nu analiza, așa după cum este tradus greșit la noi începînd cu ISO 9001) managementului. În final, Security Officer este cel ce face recomandările necesare, iar managementul aprobă. În urma unei astfel de revizii rezultă un set de decizii ale managementului, în principal cu privire la alocarea resurselor.

    Apreciază

  2. Mister Greavu am inteles ca acesta este un articol publicitar, nu? Acum puteti estima un pret pentru o astfel de implementare? Doar de curiozitate. Am firma la care am implementat pachet complet ISO de calitate (alea 3 daca va pricepeti) fara 27001 cu 600 de eur cu tot cu certificare.

    Apreciază

  3. Super articol, felicitari.
    O singura intrebare pentru ca nu am unde testa. Acel formular infopath poate completa valorile si informatiile din acele campuri intr-o baza de date? In imaginea DCW se vede ceva cu SQL Server.

    Apreciază

  4. Domnu Munteanu, sa fiti dumneavoastra sanatos, dar poate ca m-am exprimat gresit: mi s-a implementat. Eram tare curios cat face si un 27001 asa cum este prezentat, nu cu hartii. Daca se poate in public vorbind :)

    Apreciază

    1. Baby,

      cred ca mai trebuie o corectie, de asta data nu de formă ci de fond: nu ti s-a implementat nimic. De banii ăia aţi cumpărat nişte hîrtii. O dată pe an, probabil înaintea auditului de supraveghere, cineva va înjura pe motiv de „hîrtii de completat”. Dar am deviat de la întrebarea ta.

      Răspuns: depinde….

      Apreciază

  5. Domnul Casino,
    Preturile nu se exprima public pe Internet. Si daca va intereseaza subiectul trebuie sa stiti ca preturile nu se stabilesc in mod standard ci in functie de marimea companiei. Pentru hartii si cartoane gasiti preturi pe net. Pentru implementari se poate discuta. Dar daca ati mers pe versiunea de hartii si cartoane clar ca nu va intereseaza o implementare.

    Apreciază

  6. Foarte util articolul. De mentionat faptul ca este o sursa foarte importanta de informatii si pentru cei care implementeaza alte standarde din familia ISO, doar indicatorii de performanta se folosesc si in celelalte standarde.

    Apreciază

Comentariile nu închise.

Blog la WordPress.com.

SUS ↑