Целите са важни, защото показват посоката или мястото, до което организацията иска да стигне. Системата за управление, независимо от какъв тип е не може да съществува без цели. Смисълът на внедряването на система за управление в една организация е тя да води до постигане на поставените цели.
Изисквания
Изискванията към целите за сигурността на информацията са посочени в т.6.2 от ISO/IEC 27001:2022.
Според стандарта, на първо място целите, които си поставя организацията трябва да бъдат в съответствие с нейната политика по сигурност на информацията. Политиката определя посоката, а целите представляват малките стъпки, които вървят в предопределената посока до постигане на желаното състояние. Няма никакъв смисъл в политиката да са обявени едни намерения, а целите да са в съвсем друга посока. Това не води до постигане на желания резултат.
На второ място, целите трябва да бъдат измерими. Измерима цел означава, че може да се измери резултата от предприетите действия. Например, да се намали броят на инцидентите, свързани със сигурността на информацията с 50% спрямо предходната година. Когато се поставят цели е много удачно да се използва SMART концепцията, според която целите трябва да бъдат:
- S (Specific) – специфични;
- M (Measurable) – измерими;
- A (Achievable) – постижими;
- R (Realistic) – реалистични;
- T (Time-bound) – и да са ориентирана във времето, т.е. с някакъв краен срок.
На трето място, целите трябва да бъдат съобразени с приложимите изисквания и резултатите от оценяването на риска и въздействието върху риска.
Следващо важно изискване е целите да бъдат наблюдавани. Целта е периодично да се наблюдава напредъка по изпълнението на целите, за да може организацията да е сигурна, че се движи в правилната посока и ако се наблюдават отклонения от целта да се предприемат своевременни действия.
Когато целите са определени, стандартът изисква те да бъдат оповестени в организацията. Това означава, че служителите на организацията трябва да са наясно какви са целите за сигурността на организацията и каква е тяхната роля за тяхното постигане. Опитът показва, че не е достатъчно целите да бъдат просто обявени. За да могат служителите да разбират какво се очаква от тях е добре целите да бъдат разяснени или представени спрямо различните нива или функции. Защото какво означава за един служител в отдел продажби да се намалят инцидентите с 50%?
Освен това, динамиката на времето днес е толкова голяма, че промените са по-скоро нещо постоянно, отколкото вероятно. Поради тази причина, целите трябва да се актуализират, когато възникнат промени.
И на последно място, но не и по важност, целите трябва да бъдат налични като документирана информация, как и под каква форма е въпрос на решение на организацията. Добра практика е целите да бъдат документирани в отделен документ.
Постигане на целите
Дори и най-добрите цели не означават нищо, ако няма план за това как ще бъдат постигнати. За да подпомогне процеса на планиране, стандартът дава насоки или по-точно въпроси на които организацията да си отговори:
- какви действия трябва да се предприемат, за да се постигне дадената цел;
- какви ресурси ще бъдат необходими за изпълнението на тези дейности – време, хора, финансови ресурси;
- кой ще бъде отговорен за изпълнението на съответните дейности;
- какъв е срокът за изпълнение на дейностите;
- как ще бъдат оценявани резултатите от дейностите.
Отговорите на тези въпроси ще помогнат на организацията да състави план за действие, който ще се превърне в реално действащ, когато бъде разяснен на служителите и те го приемат като свой личен ангажимент и отговорност, защото в противен случаи ще се убедите правотата на думите на Джак Канфийлд „неясните цели произвеждат неясни резултати“.
0 отговори на "Защо са важни целите?"