Тренинговым компаниям: Добавить тренингВойти
TRN.ua

ISO 27001 сложно ли внедрять?

Вопросы внедрения СУИБ представляет наш партнер директор ООО "Агентство активного аудита" Владимир Ткаченко.

Часто под внедрением Системы Управления Информационной Безопасностью (СУИБ) согласно требований стандарта ISO 27001:2013 ошибочно подразумевают две крайности (часто в том или другом варианте мы слышим от потенциальных закачиков):

  • Какое ПО для СУИБ вы предлагаете ? - часто подразумевается, что какой-то программный продукт может поддерживать ВСЕ процессы СУИБ;
  • Внедрение СУИБ слишком сложно (нереально, громоздко) для нашей компании.


Оба мнения ошибочны, так как СУИБ это совокупность процессов, которые конечно могут поддерживаться, в том числе с помощью программного обеспечения, но специализированного на узкую задачу, хотя на сегодняшний день происходит конвергенция этих задач, но об этом чуть позже.

Касательно сложности внедрения отметим лишь ,что это вопрос "политической" воли руководства. Если менеджмент самоустраняется от внедрения процессов по стандарту "отдавая" задачу подчиненным подразделениям, то как правило, действительно внедрение СУИБ превращается в мучение, но не в силу сложности стандарта, а из-за недостаточных полномочий у рабочей группы или вступления ее в противоречие со сложившейся в компании бизнес- практикой. Мы наблюдаем аналогичную картину при попытках реформирования различных отраслей государственной власти в Украине - вроде бы движение происходит, а прогресса (читай результата) почти не видно. Другая крайность - попытка внедрения СУИБ без понимания области ее действия или целей внедрения. Каждое действие (тем более в успешной компании) должно иметь определенную цель и цель эта должна быть измерима и достижима, т.е нужно стремиться к минимуму абстракции. К сожалению в некоторых случаях самоцелью информационной безопасности ставят именно внедрение ISO 27001:2013. Но стандарт сам по себе не цель, а средство достижения определенного уровня безопасности. Можно рассматривать как некую цель сертификацию на соответствие международному стандарту, но само внедрение вряд ли.  

По поводу мифа о громоздкости. Сам стандарт (и не только ISO 27001, но и другие международные стандарты систем управления) говорит о применимости к одному бизнес-процессу, подразделению или их совокупности, также возможно сертифицировать как всю компанию, так и компанию со ВСЕМИ ее аутсорсинговыми подразделениями! Именно такая идея гибкости стандарта от ларька с шаурмой до крупной транснациональной корпорации и заложена в стандарт! Более того, если процессы в Вашей организации, согласно требованиям стандарта обеспечивать не нужно (например, не используются рисковые операции), то скорость внедрения возрастает в разы!.

На сегодняшний день согласно исследованию Международной Организации по Стандартизации количество выданных сертификатов соответствия стандарту ISO 27001 в Украине стало увеличиваться.

Источник http://www.iso.org/iso/iso-survey

Автор: Ткаченко Владимир
Компания: PECB Ukraine (все статьи компании)
Добавить комментарий
Ваше имя, компания:
Комментарий:
не более 1000 символов (введено: 0)
Эл. почта:
Проверочный код:
5 английских букв:
 или Отменить
См. также
Конкурент - друг или враг?, Группа финансовых решений
Названы самые инновационные компании мира, IT Education Center
12 причин никогда не сдаваться, Школа лидерства, образовательный проект
Эффективное управление отделом продаж. Отдел продаж своими руками, Национальный, бизнес-центр
Управление продажами, основные тенденции, Национальный, бизнес-центр
Перейти к списку всех статей
TRN.ua
Главная страница
Обратная связь
Помощь
Отправить страницу другу
Тренинговым компаниям
Тренинги и семинары
Тренинговые компании
Тренеры
Новости
Статьи
Услуги сайта
Статистика сайта
О проекте
Контакты
Условия использования
© TRN.ua — тренинги в Украине.
Сделано в компании «Реактор».