ISO, менеджмент, консалтингпользователи сайтаRSSФОРУМСТАНДАРТЫГОСТ РСЛОВАРЬНАВИГАТОРКОНСУЛЬТАНТЫ 
Логин : Пароль:   
       [регистрация] [напомнить пароль]
 

ФОРУМ
• Re: методики описания БП 
 23. Окт 08:43 от PrilipkoAI
• ISO 22000:2018 
 10. Сент 23:29 от GurbanovR
• HACCP vs FSMS 
 23. Авг 10:52 от PrilipkoAI
• Re: план контроля качества 
 13. Авг 12:07 от Facebook

Является ли ISO 27001 "техническим" стандартом?

Автор SlavP
см. тематический раздел: обзоры и интервью / Управление качеством



Я встречаю в своей практике, что подавляющее большинство моих клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены, что он является чисто техническим ИТ-проектом.

Многие люди, которые не участвовали в подобных реализациях, но слышали о стандартe ISO 27001, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты из области ИТ и коммуникаций, которые слышали о стандарте, но никогда его не читали. А, между прочим, данный стандарт, классифицируется в группе стандартов ISO -Информационные технологии. Кроме того большая часть средств информационной безопасности являются техническими: программное и аппаратное обеспечение под управлением хорошо обученных ИТ специалистов.

Означает ли это, что стандарт технический?

ISO 27001 – не технический, а прежде всего организационный стандарт, также как и стандарты: ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не должны вводить нас в заблуждение. Информация может существовать в различных формах: бумажной, электронной, микрофильмов, разговорной и т.п. И в каждой из этих форм ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасность (конфиденциальность, целостность и в тоже время доступность). Как ни странно это звучит, СУИБ вполне возможно строить, сертифицировать и эксплуатировать организации без наличия компьютеров.

Основные задачи в строительстве СУИБ являются в определение: области применения системы, политики информационной безопасности, оценки рисков. Это, прежде всего стратегические и организационные задачи.

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренних аудитов, корректирующих и предупреждающих действий практически идентичны тем, что в ISO 9001, с небольшими дополнениями.

А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.

Знаете ли вы, откуда берутся крупнейшие потенциальные угрозы для системы?

Хакеры не являются самыми опасными для вашей системы, ваш персонал, вот кто самая крупная потенциальная угроза, из-за  некомпетентных или злонамеренных действий или бездействие сотрудников. И основные средства управления в этом - правовые и организационные действия.

А как же обстоит дело с такими важными вопросами как: предоставление ресурсов для системы со стороны руководства или анализ системы? Являются ли они техническими, а не организационными?

Да, конечно, для обеспечения информационной безопасности системы, в области управления которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует, прежде всего, усилия в разработке и реализации организационных мер, даже если они из области ИТ.

В поддержку своих слов я расскажу вам о случае неудачной реализации СУИБ.

Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущего ITIL специалиста. Проект длился около 8 месяцев, и компания инвестировала более € 80 000 в передовые ИТ-технологии, а также потратила немало денег для оплаты работ консультанта. Во время сертификационного аудита были выявлены 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И знаете, какие корректирующие действия были предприняты после 4 месяцев работы – организационные!

Надеюсь, что поднятые в статье вопросы вызовут различные комментарии и мнения на эту тему.

ps: Прошу прощения у читателей за любые орфографические и стилистические ошибки, так как русский язык не является моим родным языком, но я надеюсь, что тема обзора для вас была интересной.

Слав Петров, MSCServices
iSMS консультант, ITSMS консультант, iSMS аудитор

Дополнительно:

менеджмент качества ( процессы | школа качества | нормирование | управление качеством | хассп)
книги: стандарты | качество | ХАССП | маркетинг | торговля
управленческий консалтинг ( планирование и контроль | конфликтменеджмент)
новости и события: пресс-релизы | новые стандарты | новости партнеров | новости | архив новостей, статей
новая торговля (автоматизация | магазиностроение | маркетинг и экономика)
интернет-маркетинг (создание сайта | интернет - бизнес)
финансы & страхование (страхование | бизнес-школа)
обзоры и интервью: маркетинг | консалтинг | торговля | управление качеством )
энциклопедия: это интересно | глоссарий | о семье | менеджмент семьи | каталог ресурсов