Подводные камни ISO 27001 2013 на русском языке поймёт не каждый

iso-27001-2013-na-russkom-yazyke

Официальный вариант ISO 27001 2013 на русском языке так и не издан.

На 2015 год во многих странах система менеджмента информационной безопасности, как правило, организуется по стандарту ISO 27001 2013. В Российской Федерации насчитывается в области защиты информации более 30 национальных стандартов. В их число входит стандарт ИСО/МЭК 27001 – 2006, который является переводом ISO/IEC 27001:2005.

Учитывая то, что замена стандарта от 2005 года произошла в рамках общей политики ISO приведения различных стандартов на системы менеджмента к единому формату, то в ближайшее время следует ожидать официального российского варианта ISO 27001 2013 на русском языке.

Либеральность ISO 27001 2013, которую нужно правильно воспринять

В новой редакции ISO 27001 произошли серьёзные изменения, которые коснулись структуры, обобщённых положений, терминологии, описания роли руководителей; приложений. Она построена согласно требованиям Указания ISO  (приложение SL (Annex SL)), в которой отмечается, что для гарантии сочетаемости с иными системами менеджмента необходимо в новых стандартах применять общую конфигурацию, текст и терминологию. В Приложении SL (Annex SL) зафиксирована так.

А) Структура стандарта из 10 разделов:

область применения; нормативные ссылки; термины и определения; контекст организации; лидерство; планирование; поддержка; эксплуатация (операционные процессы); оценка эффективности; улучшение

Б) Общая терминология из 22 понятий:

организация; заинтересованная сторона; требование; система менеджмента; высшее руководство; результативность; политика; цель; риск; компетентность; документированная информация; процесс; продуктивность (эффективность) (performance); передавать на аутсорсинг; мониторинг; измерение; аудит; соответствие; несоответствие; коррекция; корректирующее действие; улучшение.

Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время.
Элберт Хаббард

В ISO 27001 2013 предусмотрено планирование (Planning), функционирование (Operation ), оценка результативности (Performance evaluation), улучшение (Improvement). По сути, данный процесс построен на основе ранее использованной модели Деминга (план — действие – контроль (сопоставление ожидаемого результата с полученным) – коррекция действий (улучшение).

На английском языке модель описывается как PDCA или Plan-Do-Check-Act. Отсюда делаем вывод, что в новой редакции стандарта не отказываются от использования модели Деминга, а переодели её в «новые одежды». Имеет ли это какой-то глубинный смысл, мы увидим в будущем, а пока будем считать терминологические изыски «подводным камнем». Тот, кто поспешит отказаться от имеющегося опыта работы с моделью Деминга на этом «камешке» может простор зря потратить время.

Вторым «подводным камнем» стандарта можно считать видимую либеральность. Она просматривается в отказе подробно описывать процесс оценки рисков информационной безопасности.

Отсутствие в новом тексте термина «актив» (asset) и соответственно «идентификации активов» позволяет предположить возможность оценивать риски без изучения активов.

Тем не менее, терминология, установленная для стандартов серии 27000 и закреплённая в ISO 27000: 2014, показывает, что формой актива для ISO 27001 2013 выступает информация. Таким образом, как и раньше оценку рисков необходимо проводить через идентификацию информации, то есть через asset («актив»). Дополнительно уточним, что понимание «информации» в английском варианте и русском несколько различаются. Английский термин включает как сами данные, так и технологии передачи этих данных.

Хотите узнать больше подробностей?

Оцените статью ПлохоБесполезноНеплохоПолезноОчень интересно (голосов: 3, оценка: 5,00)
Похожие записи

СВЕЖИЕ ПУБЛИКАЦИИ

  • 6
    03.2017

    Выход ISO 45001 перенесен из-за противостояния могущественных международных организаций

    Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]

  • 19
    12.2016

    Почему нельзя использовать маркировку ISO на продукции — и как все-таки делать это?

    Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]

  • 6
    12.2016

    Принципы менеджмента качества ИСО. Коротко о главном. Часть последняя

    Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]

  • 18
    11.2016

    ISO 9001 — восемь принципов менеджмента качества. Суть вкратце. Часть первая

    Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]

  • 3
    11.2016

    Бесплатно скачать стандарт ГОСТ Р ИСО 21500:2014 на русском языке

    Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]

  • 24
    10.2016

    ISO 16949:2009 — стандарт менеджмента качества автопрома

    Сколько уже сказано и спето о третьей российской беде, тесно связанной с двумя классическими — дорогами и дураками. По дорогам эта третья беда ездит, а дураки… слишком много дураков приложило к ней руку в процессе создания. Однако сейчас в этой сфере появляется все больше трезвомыслящих людей, готовых использовать ISO 16949 и менять ситуацию к лучшему. […]