В рамках международных инструментов, на основе которых производится сертификация, можно найти различные решения, которые удовлетворяют потребности в оптимизации как внутренних, так и внешних процессов управления предприятием.
К примеру, сертификат ISO 9001 – это общепринятый международный минимум, по которому оценивают уровень усилий компании относительно собственных возможностей в плане менеджмента качества. В свою очередь, стандарт ISO 14001 – показатель экологического соответствия производственных процессов предприятия.
В целом внедрение правил и норм, которые содержит сертификат ISO, носит скорее рекомендательный характер. Не существует строгих требований к наличию в активах компаний документов этого типа.
С другой стороны, это показатель надежности и готовности к взаимодействию с клиентами, рынком и отраслевой инфраструктурой, в рамках которой происходит деятельность компании.
Управление информационной безопасностью
С увеличением степени проникновения цифровых технологий в основополагающие процессы управления, производства и бизнеса, встает вопрос о необходимости их систематизации.
Информационные активы современных компаний являются крайне уязвимыми, с точки зрения безопасности и, вместе с тем, именно цифровые структуры наиболее открыты к внедрению систем менеджмента качества.
Определение ISO 27001
Определяющим стандарты методов управления и контроля над защитой IT-систем предприятия является сертификат ISO 27001. Данный пакет документов собран и оптимизирован, с целью предоставить заинтересованным организациям возможность выбора наилучших, из существующих сегодня, практик информационного менеджмента.
Стандарт 27001 основан на принципах ISO 9001 и отчасти ISO 14001 и может быть реализован независимо от профиля деятельности предприятия и занимаемой им отраслевой ниши.
Сертификация компании на уровне ISO 27001 означает высокую степень ответственности перед клиентами и поставщиками, а также соответствие международным нормам качества менеджмента безопасности цифровых сетей.
Определение ISO 20000
Стандарт ISO 20000 – это международный свод параметров управления процессами информационных сервисов. Документ ISO 20000 содержит перечень практических рекомендаций компаниям, чья деятельность так или иначе, связана с использованием и предоставлением информационных услуг.
Существует российский аналог ISO 20000, разработанный с учетом отечественных реалий – ГОСТ ИСО/МЭК 20000. Несмотря на практически полную идентичность документов, в их механизмах реализации присутствует различие.
Сертификат отечественного происхождения выдается органами, не имеющими прямого отношения к оригинальной системе ISO. Таким образом, его ценность за пределами российского рынка может быть оспорена.
Практика объединения ISO 27001 и ISO 20000
Некоторое сходство в целях и методах реализации обоих протоколов создает качественно благоприятные условия для их объединения и последующей интеграции в систему менеджмента предприятий и организаций.
Обычная практика, при которой внедрение стандартов происходит последовательно, может быть с успехом заменена процессом параллельной или совместной интеграции.
Выгоды такого союза очевидны:
- реализация возможностей, которые дает одновременное внедрение стандарта ISO 27001 и ISO 20000 в качестве элементов единой стратегии менеджмента услуг, дает реальную экономию расходов на организацию информационной безопасности;
- исключение, при совместном применении, взаимозаменяемых правил и норм, которые содержит каждый внедряемый стандарт, позволяет значительно сократить сроки интеграции протоколов в цифровую архитектуру компании;
- администрирующий услуги и безопасность организации персонал, получает больше возможностей для качественной адаптации собственных участков ответственности;
- модернизация информационной структуры предприятия в целом происходит более качественно и с меньшими потерями, когда вместо двух частично дублирующих друг друга документов используется единый стандарт.
В настоящее время, в России, одновременная реализация стратегии менеджмента информационных услуг и безопасности возможна на основе документа ИСО/МЭК 27013. Данный сертификат является симбиозом ISO 27001 и ISO 20000.
Внедрение ИСО 27013 в качестве единого решения актуально для компаний, которые:
- используют в работе стандарты ISO 27001, ISO 20000 отдельно;
- применяют один из указанных протоколов, но планируют внедрение второго;
- разрабатывают стратегию развития, в которой прямо или косвенно будут задействованы принципы и механизмы ISO 9001, ISO 27001, ISO 20000.
В любом случае сертификация и последующее практическое использование объединенного стандарта ИСО 27013 требует документирования. Такой подход позволит своевременно обнаруживать негативные явления в процессах компании и своевременно реагировать на них.
Важно. Явно положительным моментом в результате совместного внедрения стандартов 27001 и 20000 станет оптимизация и сокращение объемов документооборота, сопутствующего администрированию.
Заключение
Сертификация предприятия в области безопасности и менеджмента информационных услуг – важный шаг, гарантирующий положительную динамику процессов развития и коммуникации с клиентами и поставщиками. Внедрение стандартов ISO 27001 и ISO 20000, с учетом активного проникновения IT-технологий во все рыночные и производственные сектора экономики, не дань моде, но естественный и необратимый механизм.
Объединение документов 27001 и 20000 в единый сертификат ИСО/МЭК 27013 разумное, с точки зрения оптимизации управления информационными процессами, решение. Главное – это взвешенный подход и контроль, которые должны сопровождать внедрение новых для компании инструментов.
