Для себя или для галочки?

Для себя или для галочки?
Продолжим поднятую мною в прошлом посте тему сертификации  компании по стандарту ISO 27001. На сей раз поговорим о том, для чего вообще компании начинают всю возню с этим стандартом.
Принципиальным является для оранизации вопрос о целях прохождения сертификации. Прежде чем решиться на неё, необходимо понять, чего требуется достигнуть – соответствия формальным признакам, записанным в стандарте, или же реальное улучшение ситуации с обеспечением информационной безопасности.
Понятно, что при прохождении сертификации соответствие формальным требованиям будет необходимым в любом случае, однако если требуется не просто добиться формального соответствия, а повысить защищенность корпоративных данных от различных угроз, то придется приложить несколько больше усилий. Связано это, во многом, с тем, что реалии бизнес-среды изменяются достатоно быстро, и стандарты за ними банально не успевают.
Нужно сказать, что если единственной целью сертификации является приведение в порядок работы с данными в компании и повышение их защищенности, то вполне можно обойтись и без внедрения стандарта ISO 27001, что особенно актуально для сравнительно небольших организаций. Наняв грамотного и опытного руководителя отдела информационной безопасности (или, в случае небольшой компании, просто специалиста в этой области), можно добиться улучшения обстановки и без долгого и дорогостоящего процесса «перекраивания» устоявшихся бизнес-процессов в угоду стандарту. Но для крупных компаний, как отмечают эксперты, гораздо лучше будет работать формализованный подход.
В случае, если организация интересуется не столько «украшением» своих стен различными сертификатами, сколько реальным улучшением положения дел в ИБ, можно пойти на частичное внедрение положений стандарта. Это будет значительно дешевле и быстрее, чем внедрять весь стандарт целиком, и позволит избежать лишних преобразований, необходимых исключительно для «подгонки» организации под формальные требования стандарта. Пройти сертификация при таком подходе, конечно, не получится, однако оптимизация обеспечения информационной безопасности в компании, как показывает практика, позволит организации вывести защищенность своих данных на новый уровень.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.