От ISO 27001 2005 к большему совершенству

iso-27001-2005

Обновление ISO 27001 2005 было так же необходимо, как замена старой операционки на хорошей технике.

Осенью 2013 года один из основных международных разработчиков стандартов организация ИСО обновила стандарты ISO 27001 2005 и ISO 27002. British Standards Institution — Британский Институт Стандартов (BSI) практически сразу выпустил брошюру, посвящённую переходу от старого стандарту к новому. Её важность просматривается в форме издания – она бесплатна. Для английских документов по стандартизации это достаточно необычно.

Чем не угодил ISO 27001 2005

На 2013 год в мире было получено 22 293 сертификата ISO 27001, что свидетельствует о востребованности. В России сертификаты по ISO 27001 довольно редки (менее ста), в то время как по ISO 9001 – несколько десятков тысяч. Появление новой редакции стандарта подразумевает обновление сертификатов. Соответственно потребители понесут дополнительные финансовые издержки, тем не менее авторы стандарта на это пошли. Почему? Попытаемся разобраться.

К настоящему времени международная организация ИСО с момента возникновения в 1947 году выпустила 19 500 международных стандартов. Тысячи из них актуальны для современной жизни. Опыт работы позволил прийти ИСО к выводу, что для гармонизации знаний, заложенных в стандарты, снятия дублирования, необходимо пересекающиеся стандарты привести к единой форме и терминологической ясности.

Не будем скидывать финансовую составляющую. По подсчетам бывшего Министерства торговли и промышленности Великобритании (ныне Министерство предпринимательства, инноваций и ремесел), количественные стандарты ежегодно приносят экономике Великобритании 2,5 млрд. фунтов стерлингов.

Если посмотреть на показатели прибыли и движения наличности, сразу становится ясно, почему все зависят друг от друга. Это заставляет людей взглянуть на бизнес глазами другого человека и даёт им возможность увидеть более широкую перспективу.
Джек Стэк, Большая игра в бизнес

Введение новых стандартов прибыльное дело, однако, появление ISO IEC 27001 2013 в первую очередь связано со стремлением соответствовать вызовам времени. К таковым можно отнести: появление новых угроз информационной безопасности, не охватываемых ISO IEC 27001 2005; широкое использование потребителями интегрированных систем менеджмента, что требует единого формата стандартов; развитие теоретической базы стандартизации.

Исправленные недочеты старого стандарта

Несмотря на то, что ISO 27001 2005 был достаточно качественно проработан, в нём существовало несколько недоработок. Самая простая из них — это избыточность текста. Например, указывалась недопустимость проверки аудиторами собственной работы. В новом варианте стандарта просто отмечается, что аудит должен быть объективным и беспристрастным. Другой недостаток более серьёзный. Он заключался в возможности сертификации СМИБ с заявлением узких рамок, куда заявлялись 2-3 критичных процесса. Их защищали минимальными усилиями. Таким образом, формально требования ISO IEC 27001 2005 соблюдались, однако основные цели внедрения СМИБ не достигались.

Другой недостаток прятался в отсутствии чёткого управления задачами в рамках СМИБ. В результате выделенные сотрудники издавали груду бумаг о всевозможных процедурах, отчётах. На их основе аудиторы выписывали красочные сертификаты. Формальность соблюдалась, а угрозы информационной безопасности полностью не перекрывались.

Особые нарекания вызывала «холодность» руководства компаний к проблемам ИБ, поэтому в новой редакции ISO 27001 появилось подробное описание того, что должно делать руководство, чтобы СМИБ действовало результативно.

Хотите узнать больше подробностей?

Оцените статью ПлохоБесполезноНеплохоПолезноОчень интересно (голосов: 1, оценка: 5,00)
Похожие записи

СВЕЖИЕ ПУБЛИКАЦИИ

  • 6
    03.2017

    Выход ISO 45001 перенесен из-за противостояния могущественных международных организаций

    Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]

  • 19
    12.2016

    Почему нельзя использовать маркировку ISO на продукции — и как все-таки делать это?

    Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]

  • 6
    12.2016

    Принципы менеджмента качества ИСО. Коротко о главном. Часть последняя

    Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]

  • 18
    11.2016

    ISO 9001 — восемь принципов менеджмента качества. Суть вкратце. Часть первая

    Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]

  • 3
    11.2016

    Бесплатно скачать стандарт ГОСТ Р ИСО 21500:2014 на русском языке

    Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]

  • 24
    10.2016

    ISO 16949:2009 — стандарт менеджмента качества автопрома

    Сколько уже сказано и спето о третьей российской беде, тесно связанной с двумя классическими — дорогами и дураками. По дорогам эта третья беда ездит, а дураки… слишком много дураков приложило к ней руку в процессе создания. Однако сейчас в этой сфере появляется все больше трезвомыслящих людей, готовых использовать ISO 16949 и менять ситуацию к лучшему. […]