Сертификация в сфере информационной безопасности – мероприятие дорогое и сложное. Поэтому компании с осторожностью относятся к подобной сертификации. Попробую дать ответ на вопрос, когда такая сертификация необходима, и какие преимущества она может дать организации. Как всегда, буду рад адекватным и грамотным комментариям по теме поста.
Что такое ISO 27001 и кому он нужен?
Дальнейший разговор нет смысла вести, если не обсудить сначала, что именно скрывается за этими цифрами и буквами.
Этот стандарт описывает требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). Эта достаточно новая для бизнеса на постсоветском пространстве аббревиатура означатает ту часть общей ситемы менеджмента, которая отвечает за обеспечение информационной безопасности и оценку рисков.
Стандарт этот, как можно самому, кстати говоря, узнать из его текста, подходит для всех организаций – и государственных, и коммерческих. То есть, пройти сертификацию на соответствие ему сможет любая организация. Но в силу естественных причин, в первую очередь в этом заинтересованы экспортеры, работающие на западных рынках, где подобные стандарты стали нормой уже много лет назад. Интересен будет этот стандарт и финансовым организациям (банкам, лизинговым и страховым компаниям), для которых информационная безопасность – всегда «больная» тема.
За счет того, что этот стандарт относится к категории межданародных, он хорошо совместим с другими стандартами в области менеджмента, например, с гораздо более широко применяемым ISO 9001. Поэтому те организации, где уже работает стандарт ISO 9001, смогут и ISO 27001 внедрить с гораздо меньшим количеством проблем и нестыковок. Поэтому если у вас уже пройдена сертификация по ISO 9001, то и родственного ему стандарта в области информационной безопасности бояться нечего.
Преимущества и плюсы
Трудоёмкая и дорогостоящая процедуре перетряски корпоративных устоев в угоду принесенным извне стандартам должна в итоге обернуться чем-то очень полезным для компании, потому что в противном случае и затевать её нет совершенно никакого смысла. На сайтах и в рекламных брошюрах тех консалтеров, которые оказывают услуги по сертификации, можно найти красочное перечисление всего того, что должна дать сертификация отважившейся на неё компании. Конечно, все эти обещания нужно пропускать через фильтр здравого смысла и опыта других компаний. Но даже с учетом этих ограничителей получается вовсе не так уж и мало.
Во-первых, как бы то ни было, сертификация позволяет улучшить имидж компании в глазах партнеров и клиентов – как потенциальных, так и уже существующих. Если компания стремиться к имиджу инноватора и эксперта в работе с информацией, то подобная сертификация для неё просто жизненно необходима.
Во-вторых, стандарты всё-таки разработаны на основе многолетней практики ведущих специалистов, и их внедрение обычно существенно оптимизирует бизнес-процессы внутри компании. То есть, в случае с ISO 27001, в первую очередь улучшается защищенность информации как принадлежащей самой компании, так и её клиентам. В отдаленном будущем это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности.
В-третьих, повышается прозрачность работы отдельных подразделений, да и всей компании, в целом. Особенно это полезно в свете того, что в России и соседних странах до сих пор с осторожностью относятся к обеспечению информационной безопасности в организациях. Благодаря тому, что работа отдела информационной безопасности станет более прозрачной, повысится и доверие руководства организации к этому подразделению, а как следствие, и эффективность деятельности последнего.
А что думаете вы по этому поводу?
Плюсы сертификации вашей компании по ISO 27001
