Второй год подряд ISO Survey, издание Международной организации по стандартизации (ISO), собирает в своем издании 2007 года статистические данные о количестве сертификатов ISO / IEC 27001: 2005 во всем мире.
Примечательно, что Обзор ISO публикуется с 1993 года, но, как мы говорим, только за два года включает данные о сертификации в ISO 27001: 2005 Информационные технологии - Методы безопасности - Системы управления информационной безопасностью - Требования.
Это включение является не чем иным, как отражением заметного прогресса в степени внедрения во всем мире стандарта, устанавливающего требования к системе управления информационной безопасностью (СМИБ). Значение, которое сертификация ISO 27001 имеет для организаций, когда дело доходит до улучшения их процессов и результатов, и конкурентное преимущество, которое она дает перед компаниями, которые еще не сделали этого, теперь бесценны.
Такой прогресс несравним с двумя «классическими» стандартами исследования ISO: ISO 9001 и ISO 14001, известными стандартами качества и экологического менеджмента, соответственно. Хотя системы менеджмента качества и охраны окружающей среды обычно сосуществуют в единой интегрированной системе менеджмента (SGI), не так уж много (хотя и все чаще) видеть систему менеджмента качества, интегрированную со СМИБ.
И даже дальше, уже есть компании, которые, имея Интегрированную систему управления качеством и окружающей средой, рассматривают то, что мы можем назвать «полной интеграцией»: Интегрированная система управления качеством, окружающей средой и информационной безопасностью., Сегодня мы не собираемся обсуждать интегрированное внедрение трех стандартов в единую систему, а скорее будем обсуждать расширение существующей системы менеджмента качества в соответствии с ISO 27001, или, другими словами, создание интегрированной системы менеджмента Качество и информационная безопасность (далее SGI).
Мы начнем с того, что, хотя это хорошо известно, интеграции обеих систем способствует тот факт, что и 9001, и 27001 основаны на цикле Деминга или модели PDCA (Plan, Do, Check, Act), применяемой к процессам. самой Системы. Аналогичным образом, оба стандарта регулируют требования к системе, ориентированной на бизнес-процессы каждой организации.
Сам ISO / IEC 27001 поясняет, что если организация внедрила стандарты 9001 или 14001, «предпочтительно выполнить требования этого международного стандарта в рамках существующей системы менеджмента».
Посмотрим, насколько верна рекомендация Стандарта или нет. Хотя могут быть определенные организации, в которых по определенным причинам предпочтительнее осуществлять управление качеством отдельно от управления информационной безопасностью, нет сомнений в том, что следование вышеупомянутой рекомендации может предоставить нам бесчисленные преимущества (и сэкономьте нам немного работы). Среди этих преимуществ, несомненно, наиболее ценными для компаний являются предотвращение ненужного дублирования и повышение эффективности всей Организации, что приводит к экономии затрат.
Практическое занятие: краткий подход
Первое, что мы осознаем, приступив к интеграции обеих систем, - это огромные совпадения во всем, что связано с самой Системой управления: общие требования, требования к документации, ответственность Дирекции, руководство ресурсы, внутренний аудит, анализ со стороны руководства и улучшение системы.
- Первым шагом, конечно же, будет изменение документа о масштабах нашей Системы качества, который теперь также будет включать те бизнес-процессы, которые мы хотим сертифицировать по ISO 27001, поскольку информационная безопасность имеет в них особое значение. Новый объем не обязательно должен совпадать с уже установленным для качества, и обычно они не совпадают, хотя это зависит от каждой организации и, в основном, от широты ее корпоративной цели. Затем мы должны изменить наше Заявление о политике качества, расширяя его до информационной безопасности и конкретных целей безопасности, которые мы ставим перед собой как организация.Следующим шагом будет использование преимуществ организационной структуры, которая у нас есть в нашей системе качества, чтобы она также управляла информационной безопасностью.Организации уже становятся обычным делом оснащать себя менеджерами по качеству и безопасности и / или комитетами.
Наконец, мы сосредоточимся на тех процедурах качества, цель и объем которых мы собираемся расширить, чтобы единым образом соответствовать требованиям, разделяемым 9001 и 27001:
- Контроль записей и документации. Ответственность и обзор системы со стороны руководства. Управление несоответствиями, предупреждающие действия и корректирующие действия. Внутренний аудит и постоянное улучшение системы.
Другие преимущества интеграции: единое управление соблюдением правовых и нормативных требований.
Мы не хотим отказываться от этого подхода к интегрированным системам качества и безопасности, не упомянув еще одно неоспоримое преимущество, которое нам предоставит наша SGI. Это не что иное, как возможность централизованно управлять многочисленными законодательными и нормативными требованиями, которые организации должны соблюдать сегодня.
В частности, в Испании наиболее ярким примером является Органический закон о защите данных и его «новые» Положения о развитии, не забывая при этом Закон об услугах информационного общества и электронной коммерции. Соблюдение требований этих трех регулирующих органов требует предоставления ресурсов и внедрения определенной организационной структуры для постоянного и постоянного соблюдения требований. Только так мы будем защищены от неприятных сюрпризов, обычно в виде высоких финансовых штрафов. Помимо вышеупомянутых стандартов, SGI позволит нам соблюдать такие правила, как Sarbanes Oxley, Basel II и т. Д.
И все это из единой системы управления. Интересно, правда ?.
Предоставил: Елена Ортега де Николас
