Как же интегрировать ISO 9001 и ISO 27001?

Источник: настоящая статья принадлежит перу Страхини Стояновича, сертифицированного в RABQSA главного аудитора по следующим стандартам: ISO 9001, ISO 14001, OHSAS 18001. С. Стоянович принимал участие во внедрении данных нормативов более, чем в 100 малых организациях, сталкиваясь со всеми аспектами: от создания документации и организации тренингов без отрыва от производства и заканчивая поддержанием систем менеджмента в рабочем состоянии.

ISO 27001 – один из стандартов, количество сертификаций по которым в мире растет семимильными шагами. Лично я наблюдаю много компаний, испытывающих потребность в информационной безопасности, там обескуражены возрастающей зависимостью от информационных технологий, облачных сервисов и прочего. Может быть, в вашей организации сначала внедрили ISO 9001, а теперь собираются добавить к нему ISO 27001, а может быть, вы планируете совместить внедрение двух стандартов сразу – так или иначе, адекватным для вас решением будет интегрированная система менеджмента, в которой вы учтете требования обоих нормативных документов. Это сократит время, которое будет вами затрачено на внедрение и сильно сократит трудозатраты на поддержку двух систем, а также на поддержку и обеспечение соответствия.

Начинать нужно с общего у двух стандартов

Ключом к экономии времени и усилий является хорошее планирование. Нецелесообразно основывать свой проект внедрения системы менеджмента на текущем состоянии компании, замыкаясь на соответствии требованиям двух стандартов. Вы занимаетесь не формалистикой, а ищете способы рационализации процессов и получения преимуществ в долгосрочной перспективе. Именно эти плоды стоят всех тех усилий, которые приходится затрачивать на системы менеджмента. Общие точки соприкосновения ISO 9001 и ISO 27001, в которых между ними максимум общего (за счет чего вы могли бы максимально ускорить внедрение, – ред.) – следующие:

Среда организации. Оба стандарта требуют идентифицировать внутренние и внешние вопросы, имеющие отношение к компании, но с разных позиций. ISO 9001 призывает к этому с точки зрения качества, тогда как ISO 27001 во главу угла ставит информационную безопасность. Чтобы получить больше информации по проблемам, о которых мы тут говорим, читайте статью «Как идентифицировать среду организации в ISO 9001:2015».

Заинтересованные стороны и их требования. В соответствии со стандартами ISO (Международная организация по стандартизации – International Organization for Standardization, – ред.) на системы менеджмента организация должна определить заинтересованные стороны и их требования. Эту работу можно выполнить одним процессом на два стандарта. Результатом станет общий для ISO 9001 и ISO 27001 перечень заинтересованных сторон. Узнать больше вы можете в следующих наших статьях: «Как определить заинтересованные стороны и их требования в соответствии с ISO 9001:2015» и «Как идентифицировать заинтересованные стороны по стандартам ISO 27001 и ISO 22301».

Определение ответственности и полномочий. Распределение ролей и ответственности в системе качества и системе менеджмента информационной безопасности разное, но требования обоих стандартов в этом аспекте сходны тем, что роли и ответственность вообще нужно определить. И для этого может быть использован единый метод. Ознакомьтесь с нашими статьями «Как достичь соответствия обновленным требованиям к лидерству в стандарте ISO 9001:2015» и «Как документировать роли и ответственность в соответствии с ISO 27001».

Компетентность, осведомленность, распространение информации и управление документацией и записями. Все эти многочисленные требования являются общими не только для ISO 9001 и ISO 27001, но и для любого другого стандарта ISO по системам менеджмента. Разумеется, это означает, что они могут выполняться одним унифицированным процессом и одновременно.

Внутренний аудит и анализ со стороны руководства. В этом вопросе не все так просто, в случае с разными стандартами, мы имеем дело с разными требованиями о том, когда нужен аудит, разными будут входы и выходы в процедуре внутренней проверки, но, опять, метод реализации процесса почти одинаков. В зависимости от размера организации и сложности ее процессов внутренний аудит и анализ со стороны руководства могут выполняться в одно и то же время или по отдельности.

И ISO 9001, и ISO 27001 требуют управлять несоответствиями и корректирующими действиями. В действительности нет никаких причин разделять эти процессы между отдельными системами управления, требования обоих стандартов могут удовлетворяться общими процессами.

Теперь, когда вы познакомились с длинным списком того, что объединяет ISO 9001 и ISO 27001, кажется доказанным, что нужна одна интегрированная система. С другой стороны и тут нельзя перегнуть палку, если требования двух нормативов кажутся одинаковыми и пригодным для обслуживания одним общим процессом – это вовсе не означает, что результат общего процесса будет одинаковым для двух тематик – качества и информационной безопасности. Фокус ISO 9001 – качественная продукция и услуги, а также удовлетворенность потребителей, а ISO 27001 концентрируется на информационной безопасности. По логике понятно, что результаты анализа со стороны руководства, так же, как и входные данные процессов – будут различными. То же можно сказать и обо всех перечисленных выше общих процессах для двух нормативов.

Дополнительные требования ISO 27001

Разница между стандартами ISO на системы менеджмента вовсе не мешает – они дополняют друг друга. Синергетический эффект от этого играет немалую роль в успехе компании. Система по информационной безопасности защищает потенциал компании, а система качества создает его. Я клоню к тому, что после того, как вы поработаете с общим в двух стандартах, нужно не меньшее внимание уделить их различиям. Сразу скажем, что в ISO 9001 и ISO 27001 различия в основном сконцентрированы в Параграфах №6 и №8. Что касается ISO 27001, то он добавляет к интегрированной системе следующие специфические требования по своей теме:

Оценка риска информационной безопасности. Организация должна выработать методологию оценки и обработки риска для информационной безопасности. К сожалению, нельзя смешивать эти риски, с рисками, оцениваемыми и обрабатываемыми в соответствии со стандартом качества ISO 9001. Для ISO 9001 тематика риска не имеет такого большого значения, как для ISO 27001, из-за чего приложение методик из информационной безопасности к системе качества может быть контрпродуктивно и ошеломительно для организации. За деталями по этому вопросу обращайтесь к нашей статье «Как прописать методологию оценки риска в ISO 27001».

Обработка и компенсация риска в информационной безопасности. У этого процесса нет аналога в ISO 9001, поэтому он может выполняться отдельно от интегрированной системы. Если коротко, то ISO 27001 требует внедрить один или более – до четырех контрольных механизмов, перечисленных в Приложении A к нормативу. Узнайте об этом больше в статье «Четыре способа компенсации и обработки риска в соответствии с ISO 27001».

Пожинайте плоды усилий

Сумма больше формирующих ее частей, и вы получите утроенный эффект от объединения ресурсов и процессов двух стандартов. Сэкономите деньги и время, улучшите систему менеджмента. С интегрированной системой менеджмента вам превосходно удастся продемонстрировать клиентам, органам по сертификации и регуляторам соответствие ISO 9001 и ISO 27001 – чего там, это признанные «лучшие практики» на сегодняшний день. Вдобавок, объединив системы менеджмента безопасности информации и качества вы добьетесь конкурентного преимущества, так как сможете не только добиться качества, но защитить его. Вы улучшите работу организации, уменьшите риски, добьтесь заветной удовлетворенности потребителей. Наградой будет репутация и конкурентоспособность.

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи мгновенно на электронную почту


Лицензия Creative Commons

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: