רונית שדה יועצים  //  054-2277887  //  ronit@ronitsadeh.com  //           //

  • LinkedIn - White Circle
  • Facebook - White Circle

האתר נבנה ועוצב על ידי אופיר שפיגל - תקשורת וקשרי ממשל ofirpr.co.il, דרך Wix.com

פוסטים אחרונים:
Please reload

מה הם שבעת השלבים לכתיבת נהלי ISO 27001?

 

כתיבת מדיניות או נוהל הוא פרויקט קטן בפני עצמו - אם אתה לא מתכנן ומבצע אותו בצורה מתאימה, רוב הסיכויים שמשהו ישתבש עם המסמך שלך.

אלה הם שבעה השלבים שמצאתי כישימים עבור כל מסמך בכל סוג של ארגון :

  • למד את הדרישות

ראשית אתה צריך ללמוד בזהירות רבה את הדרישות השונות - האם יש חקיקה אשר דורשת אזכור? או אולי חוזה עם הלקוח שלך? או מדיניות אחרת שכבר קיימת בארגון שלך (אולי תקן חברה)? וכמובן הדרישות של ISO 27001 אם אתה רוצה לעמוד בדרישות של תקנים אלה.

  • קח בחשבון את תוצאות הערכת הסיכונים שבצעת

הערכת הסיכונים שלך תקבע באילו נושאים עליך לטפל במסמך שלך, אך גם באיזו מידה - לדוגמה, ייתכן שיהיה עליך להחליט אם תסווג את המידע שלך בהתאם לסודיות שלו, ואם כן, אם תזדקק לשניים, שלושה או ארבע רמות של סודיות.

  • לייעל ולקשר את כל המסמכים

דבר חשוב שיש לשקול הוא המספר הכולל של מסמכים - אתה הולך לכתוב עשרה עמודים בני 1 עמודים או מסמך אחד בן 10 עמודים? זה הרבה יותר קל לנהל מסמך אחד, במיוחד אם קהל היעד של הקוראים זהה. יתר על כן, עליך להיות זהיר כדי לקשר את המסמך עם מסמכים אחרים - הבעיות שאתה מגדיר עשויות להיות מוגדרות חלקית במסמך אחר. במקרה כזה, ייתכן שלא יהיה צורך לכתוב מסמך חדש, אולי רק להרחיב את הקיים.

אם אתה כותב מסמך חדש על בעיה שהוזכרה כבר במסמך אחר, הקפד למנוע יתירות - כדי לתאר את אותה בעיה בשני המסמכים. מאוחר יותר יהיה הסיוט לשמור על המסמכים האלה;

  • בנה את המסמך שלך

כמו כן, עליך להקפיד על שמירת כללי הארגון שלך לגבי אופן עיצוב המסמך - ייתכן שכבר יש לך תבנית עם גופנים, כותרות עליונות ותחתונות מוגדרים מראש.

אם כבר יישמת את ISO 27001 (או כל תקן ניהול אחר), יהיה עליך להתבונן בהליך של בקרת מסמכים - הליך זה מגדיר לא רק את פורמט המסמך, אלא גם את הכללים לאישורו , הפצה וכו '

  • כתוב את כל חלקי המסמך

כלל האצבע הוא - ככל שהארגון קטן יותר והסיכונים קטנים יותר, כך המסמך שלך יהיה פחות מורכב. אין דבר יותר חסר תועלת מאשר להחליט לכתוב מסמך ארוך שאף אחד לא הולך לקרוא - אתה צריך להבין כי קריאת המסמך לוקחת זמן, ורמת תשומת הלב היא ביחס הפוך ביחס למספר שורות במסמך . טכניקה טובה כדי להתגבר על ההתנגדות של עובדים למסמך (אף אחד לא אוהב לשנות, במיוחד אם מדובר בחובה לשנות סיסמאות על בסיס קבוע) היא לערב אותם בכתיבה או בהערות למסמך הזה - ככה הם יבינו מדוע זה הכרחי

  • קבל את אישור המסמך

צעד זה הוא מובן מאליו, אבל החשיבות הבסיסית שלו היא זו - אם אתה לא מנהל בכיר בחברה שלך, לא יהיה לך את הכוח לאכוף את המסמך הזה. זו הסיבה שמישהו עם עמדה כזו צריך להבין את זה, לאשר את זה. נשמע קל, אבל תאמינו לי - זה לא. שלב זה (וגם הבא) הם אלה שבהם היישום לרוב נכשל.

  • להדריך את העובדים ולהפוך אותם מודעים לחשיבותו

צעד זה הוא כנראה החשוב ביותר, אבל למרבה הצער הוא אחד הנשכחים לעתים קרובות מאוד. כאמור, עובדים עייפים משינויים מתמידים, והם בוודאי לא יקבלו בברכה שינויים במיוחד אם זה אומר יותר עבודה עבורם. לכן, חשוב מאוד להסביר לעובדים שלך מדוע מדיניות או נוהל כזה הוא הכרחי - למה זה טוב לא רק עבור החברה, אלא גם עבור עצמם.

לפעמים ההכשרה תהיה הכרחית - יהיה זה לא נכון להניח שלכל אחד יש את הכישורים לביצוע פעילויות חדשות. בשבילך, מי כתב את המסמך הזה, זה אולי נראה קל ומובן מאליו, אבל עבורם זה אולי נראה כמו ניתוח מוח.

Please reload

חפש אותנו גם פה:
  • LinkedIn Social Icon
  • Facebook Social Icon