Здавалка
Главная | Обратная связь

Продолжительность рабочего времени



Критерии

7.1 Компания будет действовать в соответствии с применяемыми законами и промышлен­ными стандартами, касающимися времени работы, в любом случае от персонала не может быть востребована на регулярной основе работа, превышающая 48 ч в неделю, и в течение каждых семи дней должен быть предоставлен, по крайней мере, один выходной день,

7. 2 Компания будет следить за тем, чтобы сверхурочное время (свыше 48 ч в неделю) не превышало 12 ч в неделю у каждого работающего и чтобы к сверхурочной работе привлекали в исключительных случаях и при условии непродолжительного времени, при обязательной денежной компенсации за сверхурочный труд.

Оплата труда

Критерии

8.1 Компания будет следить за тем, чтобы зарплаты, выплачиваемые за обычную рабочую неделю, соответствовали, по крайней мере, положенному по закону или принятому в отрасли минимуму и были всегда достаточны для удовлетворения основных потребностей плюс сред­ства для удовлетворения собственных потребностей,

8.2 Компания будет следить за тем, чтобы удержания из зарплаты не производились в дис­циплинарных целях, чтобы до рабочих регулярно доводилась подробная информация о сочета­нии зарплаты с прибылью, компания будет следить также за тем, чтобы заработная плата и прибыль выдавались в полном соответствии с применяемыми законами и чтобы оплата труда производилась либо наличными деньгами, либо в виде чека так, как удобно рабочим,

8.3. Компания будет следить за тем, чтобы договорные мероприятия, касающиеся только труда, и сложные программы обучения не предпринимались с целью невыполнения своих обязательств перед персоналом в соответствии с действующим законодательством о труде и социальной защите.»

В настоящее время в специфических условиях России SA 8000 должен восприниматься как самая главная часть стратегии по управлению персоналом, так как наши потери из-за тяжелого морального состояния персонала и резкого падения престижа за рубежом - неисчислимы.

В условиях экономической нестабильности и социальных противоречий люди ищут достойный путь к выживанию и самоутверждению для себя и своих семей.

В данной ситуации каждый руководитель, лидер несет социальную ответственность за судьбы людей, организаций, страны. Преобразования должны обеспечить выживание, развитие и процветание – повышения качества жизни.

Система управления информационной безопасностью

ИСО 27001:2005

 

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Система управления информационной безопас­ности ISMS (Information Security Management System) — это часть общей системы управления, ос­нованной на анализе бизнес-рисков, в функции ко­торой входит: устанавливать, осуществлять, управ­лять, контролировать, рассматривать, поддерживать и улучшать информационную безопасность. Данная система обеспечивает защиту от хакеров, промыш­ленного шпионажа, недобросовестных сотрудников, отключения питания, сбоев в работе оборудования и программного обеспечения, вирусов и т.п.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию). Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

· сделать большинство информационных активов наиболее понятными для менеджмента компании,

· выявлять основные угрозы безопасности для существующих бизнес-процессов ,

· рассчитывать риски и принимать решения на основе бизнес-целей компании,

· обеспечить эффективное управление системой в критичных ситуациях,

· проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности),

· четко определить личную ответственность,

· достигнуть снижения и оптимизации стоимости поддержки системы безопасности,

· облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000,

· продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности,

· получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках ,

· подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.

 

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· управление внутренней организацией информационной безопасности.

· обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· управление реестром информационных активов и правила их классификации.

· управление безопасностью оборудования.

· обеспечение физической безопасности.

· обеспечение информационной безопасности персонала.

· планирование и принятие информационных систем.

· резервное копирование.

· обеспечение безопасности сети.

 

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность – это результат устойчивого функционирования процессов, связанных с информационными технологиями.

Внедрение процессов с учетом рекомендаций международного стандарта ISO 27001:2005 помогло множеству организаций по всему миру обеспечить безопасность информации и что необходимо для устойчивого развития бизнеса.

Выгоды внедрения системы менеджмента информационной безопасности по требованиям стандарта ISO/IEC 27001:2005

Международный стандарт ISO/IEC 27001:2005 "Системы менеджмента информационной безопасности. Требования" устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Основа стандарта ИСО 27001 - система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

· На каком направлении информационной безопасности требуется сосредоточить внимание?

· Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Менеджмент рисков происходит по классической схеме: поиск, классификация, ранжирование, оценка, план по снижению рисков, принятие остаточных рисков и регулярный пересмотр рисков.

Структура стандарта содержит как описание Системы информационной безопасности, обязательства руководства, внутренние аудиты системы менеджмента, так и анализ системы менеджмента информационной безопасности руководством и совершенствование системы.

ISO 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес- рисков организации.

 

Рис.17 Система управления СУИБ

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом, обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

По стандарту ISO 27001:2005 проводится официальная сертификация системы управления информационной безопасностью.

Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

3.5.1Этапы разработки и внедрения системы управления ИБ

Можно выделить следующие основные этапы разработки системы управления ИБ:

· Инвентаризация активов.

· Категорирование активов.

· Оценка защищенности информационной системы.

· Оценка информационных рисков.

· Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов).

· Внедрение выбранных мер обработки рисков.

· Контроль выполнения и эффективности выбранных мер.

· Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.