I Ogólnopolska Wymiana Doświadczeń Pełnomocników i Menedżerów ds. ISO 27001 zorganizowana przez TÜV NORD Polska już za nami. W dniach 22-23.11.2011r w hotelu Radisson Blue Sobieski w Warszawie kilkadziesiąt osób reprezentujących takie sektory jak: bankowość, lotnictwo, administracja publiczna, usługi IT, medycyna, przemysł ciężki i inne, mogły wymienić swoje doświadczenia i wiedzę w obszarze systemów zarządzania bezpieczeństwem informacji. Uczestnicy Wymiany byli zgodni, nasze spotkanie było strzałem w dziesiątkę więc już dzisiaj deklarujemy kontynuację tego wydarzenia w 2012 roku.

Poniżej niektóre opinie uczestników Wymiany.

"Ocena wysoka. Umożliwienie poznania i wymiany doświadczeń pomiędzy reprezentantami różnych organizacji, zarówno tych przed certyfikacją jak i po certyfikacji."

Agencja Restrukturyzacji i Modernizacji Rolnictwa

"Dobór tematów poszczególnych prezentacji bardzo dobrze dobrany. Organizacja Wymiany na bardzo wysokim poziomie."

Jastrzębska Spółka Węglowa S.A.

"Bardzo pożyteczna inicjatywa"

Przedsiębiorstwo Państwowe "Porty Lotnicze"

Świetna inicjatywa, do kontynuacji! Bardzo dobra organizacja, lokalizacja i prelegenci. Ocena 5+.

BRE Bank SA

Konferencja bardzo dobrze zorganizowana. Brakowało dotychczas takiej konferencji…"

Centrum Operacyjne Sp. z o.o. Bank Pocztowy

"Bardzo przydatne wydarzenie, bardzo wartościowe i potrzebne – wskazana kontynuacja"

Ministerstwo Finansów

Tak natomiast podsumował Wymianę Doświadczeń jeden z opiekunów merytorycznych, Lead Auditor ISMS – Robert Wójcik.

Myślę, że udało nam się przygotować merytoryczne wystąpienia z możliwością otwartej dyskusji. Jedynym wrogiem na sali wykładowej był czas. Zrealizowaliśmy wszystkie zaplanowane prezentacje i tam gdzie spodziewaliśmy się dyskusji tak się stało. Był to pierwszy przypadek w mojej karierze, kiedy mogłem swobodnie dyskutować na temat wątpliwości, nieprecyzyjnych zapisów z uczestnikami. Dyskusja nastawiona na wypracowanie wspólnych wniosków przyczyni się zapewne do lepszego zrozumienia wymagań normy. Podczas auditu nie jest to możliwe.
Uczestnictwo przedstawicieli PKN pozwoliło również przedyskutować zagadnienia związane z nowym wydaniem normy i tłumaczenia na język polski. Uczestnicy wraz z auditorami zaproponowali rozwiązanie mające na celu skrócenie procesu tłumaczenia normy. Rozwiązanie miałoby polegać na tym, że po ukazaniu się wersji ISO/IEC 27001:201x w oryginale, zostałaby przetłumaczona tylko pierwsza strona, to pozwoliłoby używać normy jako PN do czasu pełnego tłumaczenia. To niezwykle istotne zagadnienie w obliczu zmian w prawie. Coraz częściej w zakresie wymagań ochrony informacji, regulacje odwołują się literalnie do polskiej normy PN-ISO/IEC 27001. Stąd bardzo ważne jest aby polskie wydanie normy nadążało za oryginałem i było aktualne.
Kolejne zagadnienie związane z terminem incydent oraz zdarzenie pokazało, że trendy obserwowane przez audytorów TÜV NORD Polska w ramach próbek auditowych pokrywają się z obserwacjami uczestników Wymiany Doświadczeń. Aby nie zostawić uczestników bez odpowiedzi na pytanie czym jest zdarzenie i jaka jest korelacja zdarzenia z incydentem bezpieczeństwa, została zaprezentowana norma: ISO/IEC 27035:2011. Szukając wspólnie metod na postępowania z incydentami, zdarzeniami i słabościami wydaje się, że przedstawiony schemat postępowania w powyższej normie rozwiąże wszystkie wątpliwości.
Podczas prezentacji Szanowni Uczestnicy Wymiany Doświadczeń zareagowali bardzo żywo na problem obserwowany w innych systemach zarządzania. Problem polegający na stagnacji, zatrzymaniu doskonalenia, rozwoju systemu. Doszliśmy do wspólnego wniosku, że w przypadku ISO 27001 taka sytuacja nam nie grozi.
Podczas wymiany poruszyliśmy wiele innych tematów, nie sposób wszystkiego opisać, zwłaszcza, że niektóre z nich były tak dynamicznie prezentowane, że nie było czasu ich notować. Niemniej wszyscy doszliśmy do wniosku, że to pierwsza w Polsce Wymiana Doświadczeń i nie ostatnia. Poznaliśmy również oczekiwania w zakresie zmiany formy wystąpień – zaangażowanie uczestników wymiany do prezentacji swoich unikalnych rozwiązań.

Robert Wójcik - Auditor wiodący TÜV NORD Polska

W imieniu TÜV NORD Polska dziękujemy wszystkim uczestnikom za czynny udział i za merytoryczną dyskusję. Dziękujemy również firmie Blue Energy Sp. z o.o. za wsparcie podczas omawiania zagadnień związanych z wdrażaniem systemu zarządzania bezpieczeństwem informacji. Wszystkich zainteresowanych przyszłym uczestnictwem w naszych corocznych imprezach poświęconych bezpieczeństwu informacji prosimy o kontakt z Mariuszem Klatka.

Najbliższe wydarzenia w 2012 roku to:

III Konferencja Bezpieczeństwa Informacji oraz II Ogólnopolska Wymiana
Pełnomocników i Menedżerów ds. ISO 27001.