» Использование ISO 9001 для внедрения ISO 27001

Использование ISO 9001 для внедрения ISO 27001
публикация: Деян Кошутич

Вы уже внедрили ISO 9001? Вы слышали, что ISO 27001 может быть хорошей идеей? Но как возможно то, что имеет отношение к качеству, помочь Вам внедрить информационную безопасность?

Может, больше, чем вы думаете. SO 9001 указывает как системы менеджмента качества (СМК) должна выглядеть, в то время как ISO / IEC 27001 определяет систему управленияинформационной безопасности (СУИБ). Таким образом часть "системы управления" одна и та же - так что же это такое на самом деле?

Философия систем управления возникнула с теорией У. Эдвардса Деминга во второй половине 20 века и основан на Plan-Do-Check-Act (Планировать-Делать-Проверять-Действовать) цикла.

В основном, это цикл состоит из следующих действий: в фазе "Планировать" вы должны планировать что вы хотите достичь с помощью системы управления, в фазе "Делать" вы внедряете ее, в фазе "Проверять" вы постоянно наблюдаюте добились ли того, что вы планировали, и в фазе "Действовать" вы делаете улучшение, то есть заполняете разрыв между тем, что вы запланировали, и что вы достигли.

Хотя этот цикл был изобретен имея ввиду управление качеством, он был утвержден как основа для всех других систем управления - информационной безопасностью (ISO / IEC 27001), охраной окружающей среды (ISO 14001), непрерывностью бизнеса (BS 25999-2) и др.

Это означает, что некоторые элементы, которые вы реализовали для системы менеджмента качества в соответствии с ISO 9001 можно использовать также для управления системой информационной безопасности - вот список:

* Управление документооборотом - процедура, используемая для управления документами в СМК могежт быть использована для этих же целей в СУИБ, лишь с незначительными изменениями

* Внутренний аудит - одна и та же процедура может быть использована как для СМК, так и для СУИБ, хотя внутренний аудит, как правило, делается разными людьми, так как не очень вероятно, что один человек будет иметь достаточно глубокие знания как в информационной безопасности, так и в качестве

* Корректирующие и предупреждающие действия - процедура, используемая для СМК может быть использованы для этих же целей в СУИБ, хотя вполне вероятно, что разные люди будут решать вопросы, связанные с СМК или СУИБ

* Управление кадровыми ресурсами - тот же цикл планирования HR, обучения и оценки используется как для обеих систем управления, естественно, разница в профиле необходимых навыков и знаний

* Анализ со стороны руководства - принципы анализа со стороны руководства такие же, как для обеих систем управления, хотя не рекомендуется выполнять оба обзора параллельно, руководство будет уже привыкнуто к принятию решений в СМК, так что оно будут иметь лучшее понимание того, как принимать решения в рамках СУИБ

* Установка бизнес-целей и слежения были ли они достигнуты - один и тот же механизм изложенн в обоих стандартов, поэтому руководство будет использовать его для идентичного систематического планирования

Поэтому, если вы уже внедрили ISO 9001, вы будете иметь более легкую работу для внедрения ISO 27001 (и наоборот) - вы можете сэкономить до 30% времени. Кроме того у вас будут дешевле сертификационные аудиты поскольку органы по сертификации предлагают так называемые "интегрированные аудиты», которое означает, что они будут делать как ISO 9001, так и ISO 27001 в одном и том же аудите, требуя от вас меньше платы по сравнению с разделенными проверками.
Если ваша СМК функционирует хорошо, вы увидите что ваш проект СУИБ развивается достаточно плавно - руководство будет иметь лучшее понимание потенциальных преимуществ бизнеса, а все организационные подразделения будут привыклыми к необходимости определения четких процедур, обязанностей и документации.

Наличие СМК действительно обеспечивает очень хорошую основу для информационной безопасности - если у вас уже есть ISO 9001, подумайте серьезно для ISO 27001.

Связаться с нами

  • 1111 София ул. Гео Милев 47, бл.2
  • office@mscservices.eu
  • +359 2 4422 637
  • +359 889 622 637