22 Августа, 2011

Статистика по ISO 27001

Andrey Prozorov
Сегодня прочитал интересный документ-статистику по внедрению СУИБ в соответствии с ISO 27001 (ISO 27001 Global Survey. The facts and figures underlying the grown of ISO 27001 world-wide) от компании Certification Europe.
Документ от 2008 года, но статистика, как мне кажется, соответствуют текущей действительности.

Из интересного:
1. Лидерами по внедрению являются ИТ-компании (23%) и Телеком (14%).

Это вполне ожидаемо, т.к. не смотря на то, что стандарт и является комплексным и системным, очень много внимания уделяет ИТ-процессами и требованиям, соответствовать которым проще "ИТ-шникам".

2. Размер Компаний:
- >500 человек - 38%
- 200-500 - 12%
- 50-200 - 23%
- <50 - 27%

В крупных компаниях проще найти свободные ресурсы (людей), которые будут внедрять и поддерживать требования и процессы СУИБ. Однако в небольших компаниях дешевле и проще внедрять, поддерживать, контролировать и сертифицировать СУИБ.

3. Только в 12% компаний есть специальный ISMS Manager, занимающиеся поддержкой и развитием СУИБ на 100% своего времени. Обычно менеджеры выполняют и другие задачи. В частности, менеджером СУИБ обычно бывают:
- IT Manager - 27%
- Quality Manager - 19%
- Project Manager - 12%
- BCM Manager - 8%

По моей практике, Менеджером СУИБ в российских компаниях обычно бывает руководитель отдела ИБ...

4. Стандарт внедряют для:
- соответствия "лучшим практикам" - 88%
- для конкурентного преимущества - 80%
- для соответствия требованиям (Compliance) - 42% (видимо имеются ввиду внешние требования вышестоящих организаций и других регулирующих органов)
- для преимущества при участии в тендерах - 28%

Полагаю, что для российских компаний основными будут мотивы "лучших практик", маркетинговые преимущества и еще 1 плюс при участии в конкурсах/торгах.

5. Среднее время внедрения
- до года - 60% компаний
- до 2х лет - 93% компаний

Менее 6 месяцев внедряют те компании, где уже построена система менеджмента, например, по IS0 9001 или 14001.

По моему опыту, обычно процесс внедрения занимает порядка 1,5-2 лет. О факторах влияющих на длительность проекта, я думаю, что расскажу в своих последующих записях.

6. 54% привлекают внешних консультантов

Для России, я полагаю, что процент будет выше. Чаще всего внешних консультантов используют для:
- построения СУИБ практически с "0" (основных процессов СУИБ нет, требования документированы слабо, собственные сотрудники заняты на операционных/текущих задачах) и до сертификации.
- поведения предварительного аудита при построенной СУИБ и помощи при подготовке к сертификации.

7. 88% компаний имеют или собираются получать другие сертификаты систем менеджмента. В частности:
- 80% имеют сертификат по ISO 9001, 4% собираются его получать
- 12% имеют по ISO 14001, 20% собираются
- 4% имеют по ISO 20000-1, 20% собираются

Данные интересны, как уже было сказано, имея сертификат другой системы менеджмента, внедрять СУИБ по ISO 27001 становится легче. Из российских компаний, например, Крок имеет сертификат по 9001, 27001, 14001; ЗАО ЛЕТА по 9001 и 27001.


P.S. За документ спасибо Чапоргиной Алене ;)