+38 (044) 334-68-26 | +38 (067) 181-85-46 info@pecb.com.ua

ISO 27001 чи складно впроваджувати?

Питання впровадження СУІБ представляє наш партнер директор ТОВ “Агентство активного аудиту” Володимир Ткаченко.

Часто під впровадженням Системи Управління Інформаційною Безпекою (СУІБ) відповідно до вимог стандарту ISO 27001: 2013 помилково мають на увазі дві крайності (часто в тому чи іншому варіанті ми чуємо від потенційних Закачика):

  • Яке ПО для СУІБ ви пропонуєте? – Часто мається на увазі, що якийсь програмний продукт може підтримувати ВСІ процеси СУІБ;
  • Впровадження СУІБ занадто складно (неможливо, громіздко) для нашої компанії.

Обидві думки помилкові, так як СУІБ це сукупність процесів, які зазвичай можуть підтримуватися, в тому числі за допомогою програмного забезпечення, але спеціалізується на вузьке завдання, хоча на сьогоднішній день відбувається конвергенція цих завдань, але про це трохи пізніше.

Щодо складності впровадження відзначимо лише, що це питання “політичної” волі керівництва. Якщо менеджмент самоусувається від впровадження процесів за стандартом “віддаючи” завдання підлеглим підрозділам, то як правило, дійсно впровадження СУІБ перетворюється на муку, але не в силу складності стандарту, а через недостатні повноважень в робочій групі або набрання ним протиріччя зі сформованою в компанії бізнес – практикою. Ми спостерігаємо аналогічну картину при спробах реформування різних гілок державної влади в Україні – на зразок рух відбувається, а прогресу (читай результату) майже не видно. Інша крайність – спроба впровадження СУІБ без розуміння області її дії або цілей впровадження. Кожна дія (тим більше в успішній компанії) повинно мати певну мету і ціль ця повинна бути мірна і досяжна, тобто потрібно прагнути до мінімуму абстракції. На жаль в деяких випадках самоціллю інформаційної безпеки ставлять саме впровадження ISO 27001: 2013. Але стандарт сам по собі не мета, а засіб досягнення певного рівня безпеки. Можна розглядати як якусь мету сертифікацію на відповідність міжнародному стандарту, але саме впровадження навряд чи.

З приводу міфу про громіздкість. Сам стандарт (і не тільки ISO 27001, а й інші міжнародні стандарти систем управління) говорить про можливість застосування до одного бізнес-процесу, підрозділи або їх сукупності, також можливо сертифікувати як всю компанію, так і компанії з УСІМА її аутсорсинговими підрозділами! Саме така ідея гнучкості стандарту від ларька з шаурмою у великій транснаціональній корпорації і закладена в стандарт! Більш того, якщо процеси у Вашій організації, відповідно до вимог стандарту забезпечувати не потрібно (наприклад, не використовуються ризикові операції), то швидкість впровадження зростає в рази!

На сьогоднішній день згідно з дослідженням Міжнародної Організації по Стандартизації кількість виданих сертифікатів відповідності стандарту ISO 27001 в Україні почала зростати.

джерело ISO

Search

Powered by themekiller.com anime4online.com animextoon.com apk4phone.com tengag.com moviekillers.com