ISO 27001 сложно ли внедрять?
Вопросы внедрения СУИБ представляет наш партнер директор ООО "Агентство активного аудита" Владимир Ткаченко.
Часто под внедрением Системы Управления Информационной Безопасностью (СУИБ) согласно требований стандарта ISO 27001:2013 ошибочно подразумевают две крайности (часто в том или другом варианте мы слышим от потенциальных закачиков):
- Какое ПО для СУИБ вы предлагаете ? - часто подразумевается, что какой-то программный продукт может поддерживать ВСЕ процессы СУИБ;
- Внедрение СУИБ слишком сложно (нереально, громоздко) для нашей компании.
Оба мнения ошибочны, так как СУИБ это совокупность процессов, которые конечно могут поддерживаться, в том числе с помощью программного обеспечения, но специализированного на узкую задачу, хотя на сегодняшний день происходит конвергенция этих задач, но об этом чуть позже.
Касательно сложности внедрения отметим лишь ,что это вопрос "политической" воли руководства. Если менеджмент самоустраняется от внедрения процессов по стандарту "отдавая" задачу подчиненным подразделениям, то как правило, действительно внедрение СУИБ превращается в мучение, но не в силу сложности стандарта, а из-за недостаточных полномочий у рабочей группы или вступления ее в противоречие со сложившейся в компании бизнес- практикой. Мы наблюдаем аналогичную картину при попытках реформирования различных отраслей государственной власти в Украине - вроде бы движение происходит, а прогресса (читай результата) почти не видно. Другая крайность - попытка внедрения СУИБ без понимания области ее действия или целей внедрения. Каждое действие (тем более в успешной компании) должно иметь определенную цель и цель эта должна быть измерима и достижима, т.е нужно стремиться к минимуму абстракции. К сожалению в некоторых случаях самоцелью информационной безопасности ставят именно внедрение ISO 27001:2013. Но стандарт сам по себе не цель, а средство достижения определенного уровня безопасности. Можно рассматривать как некую цель сертификацию на соответствие международному стандарту, но само внедрение вряд ли.
По поводу мифа о громоздкости. Сам стандарт (и не только ISO 27001, но и другие международные стандарты систем управления) говорит о применимости к одному бизнес-процессу, подразделению или их совокупности, также возможно сертифицировать как всю компанию, так и компанию со ВСЕМИ ее аутсорсинговыми подразделениями! Именно такая идея гибкости стандарта от ларька с шаурмой до крупной транснациональной корпорации и заложена в стандарт! Более того, если процессы в Вашей организации, согласно требованиям стандарта обеспечивать не нужно (например, не используются рисковые операции), то скорость внедрения возрастает в разы!.
На сегодняшний день согласно исследованию Международной Организации по Стандартизации количество выданных сертификатов соответствия стандарту ISO 27001 в Украине стало увеличиваться.
Источник http://www.iso.org/iso/iso-survey
Коментарі
Невірно заповнені поля відзначені червоним.
Будь ласка, перевірте форму ще раз.
Ваш коментар відправлений і буде доступний на сайті після перевірки адміністратором.
Інші статті в категорії IT, програмування, розробка Охорона праці, санітарні норми Фінанси, кредит, банківська справа