Продолжим поднятую мною в прошлом посте тему сертификации компании по стандарту ISO 27001. На сей раз поговорим о том, для чего вообще компании начинают всю возню с этим стандартом.
Принципиальным является для оранизации вопрос о целях прохождения сертификации. Прежде чем решиться на неё, необходимо понять, чего требуется достигнуть – соответствия формальным признакам, записанным в стандарте, или же реальное улучшение ситуации с обеспечением информационной безопасности.
Понятно, что при прохождении сертификации соответствие формальным требованиям будет необходимым в любом случае, однако если требуется не просто добиться формального соответствия, а повысить защищенность корпоративных данных от различных угроз, то придется приложить несколько больше усилий. Связано это, во многом, с тем, что реалии бизнес-среды изменяются достатоно быстро, и стандарты за ними банально не успевают.
Нужно сказать, что если единственной целью сертификации является приведение в порядок работы с данными в компании и повышение их защищенности, то вполне можно обойтись и без внедрения стандарта ISO 27001, что особенно актуально для сравнительно небольших организаций. Наняв грамотного и опытного руководителя отдела информационной безопасности (или, в случае небольшой компании, просто специалиста в этой области), можно добиться улучшения обстановки и без долгого и дорогостоящего процесса «перекраивания» устоявшихся бизнес-процессов в угоду стандарту. Но для крупных компаний, как отмечают эксперты, гораздо лучше будет работать формализованный подход.
В случае, если организация интересуется не столько «украшением» своих стен различными сертификатами, сколько реальным улучшением положения дел в ИБ, можно пойти на частичное внедрение положений стандарта. Это будет значительно дешевле и быстрее, чем внедрять весь стандарт целиком, и позволит избежать лишних преобразований, необходимых исключительно для «подгонки» организации под формальные требования стандарта. Пройти сертификация при таком подходе, конечно, не получится, однако оптимизация обеспечения информационной безопасности в компании, как показывает практика, позволит организации вывести защищенность своих данных на новый уровень.
Для себя или для галочки?
