Как же интегрировать ISO 9001 и ISO 27001?

Источник: настоящая статья принадлежит перу Страхини Стояновича, сертифицированного в RABQSA главного аудитора по следующим стандартам: ISO 9001, ISO 14001, OHSAS 18001. С. Стоянович принимал участие во внедрении данных нормативов более, чем в 100 малых организациях, сталкиваясь со всеми аспектами: от создания документации и организации тренингов без отрыва от производства и заканчивая поддержанием систем менеджмента в рабочем состоянии.

ISO 27001 – один из стандартов, количество сертификаций по которым в мире растет семимильными шагами. Лично я наблюдаю много компаний, испытывающих потребность в информационной безопасности, там обескуражены возрастающей зависимостью от информационных технологий, облачных сервисов и прочего. Может быть, в вашей организации сначала внедрили ISO 9001, а теперь собираются добавить к нему ISO 27001, а может быть, вы планируете совместить внедрение двух стандартов сразу – так или иначе, адекватным для вас решением будет интегрированная система менеджмента, в которой вы учтете требования обоих нормативных документов. Это сократит время, которое будет вами затрачено на внедрение и сильно сократит трудозатраты на поддержку двух систем, а также на поддержку и обеспечение соответствия.

Начинать нужно с общего у двух стандартов

Ключом к экономии времени и усилий является хорошее планирование. Нецелесообразно основывать свой проект внедрения системы менеджмента на текущем состоянии компании, замыкаясь на соответствии требованиям двух стандартов. Вы занимаетесь не формалистикой, а ищете способы рационализации процессов и получения преимуществ в долгосрочной перспективе. Именно эти плоды стоят всех тех усилий, которые приходится затрачивать на системы менеджмента. Общие точки соприкосновения ISO 9001 и ISO 27001, в которых между ними максимум общего (за счет чего вы могли бы максимально ускорить внедрение, – ред.) – следующие:

Среда организации. Оба стандарта требуют идентифицировать внутренние и внешние вопросы, имеющие отношение к компании, но с разных позиций. ISO 9001 призывает к этому с точки зрения качества, тогда как ISO 27001 во главу угла ставит информационную безопасность. Чтобы получить больше информации по проблемам, о которых мы тут говорим, читайте статью «Как идентифицировать среду организации в ISO 9001:2015».

Заинтересованные стороны и их требования. В соответствии со стандартами ISO (Международная организация по стандартизации – International Organization for Standardization, – ред.) на системы менеджмента организация должна определить заинтересованные стороны и их требования. Эту работу можно выполнить одним процессом на два стандарта. Результатом станет общий для ISO 9001 и ISO 27001 перечень заинтересованных сторон. Узнать больше вы можете в следующих наших статьях: «Как определить заинтересованные стороны и их требования в соответствии с ISO 9001:2015» и «Как идентифицировать заинтересованные стороны по стандартам ISO 27001 и ISO 22301».

Определение ответственности и полномочий. Распределение ролей и ответственности в системе качества и системе менеджмента информационной безопасности разное, но требования обоих стандартов в этом аспекте сходны тем, что роли и ответственность вообще нужно определить. И для этого может быть использован единый метод. Ознакомьтесь с нашими статьями «Как достичь соответствия обновленным требованиям к лидерству в стандарте ISO 9001:2015» и «Как документировать роли и ответственность в соответствии с ISO 27001».

Компетентность, осведомленность, распространение информации и управление документацией и записями. Все эти многочисленные требования являются общими не только для ISO 9001 и ISO 27001, но и для любого другого стандарта ISO по системам менеджмента. Разумеется, это означает, что они могут выполняться одним унифицированным процессом и одновременно.

Внутренний аудит и анализ со стороны руководства. В этом вопросе не все так просто, в случае с разными стандартами, мы имеем дело с разными требованиями о том, когда нужен аудит, разными будут входы и выходы в процедуре внутренней проверки, но, опять, метод реализации процесса почти одинаков. В зависимости от размера организации и сложности ее процессов внутренний аудит и анализ со стороны руководства могут выполняться в одно и то же время или по отдельности.

И ISO 9001, и ISO 27001 требуют управлять несоответствиями и корректирующими действиями. В действительности нет никаких причин разделять эти процессы между отдельными системами управления, требования обоих стандартов могут удовлетворяться общими процессами.

Теперь, когда вы познакомились с длинным списком того, что объединяет ISO 9001 и ISO 27001, кажется доказанным, что нужна одна интегрированная система. С другой стороны и тут нельзя перегнуть палку, если требования двух нормативов кажутся одинаковыми и пригодным для обслуживания одним общим процессом – это вовсе не означает, что результат общего процесса будет одинаковым для двух тематик – качества и информационной безопасности. Фокус ISO 9001 – качественная продукция и услуги, а также удовлетворенность потребителей, а ISO 27001 концентрируется на информационной безопасности. По логике понятно, что результаты анализа со стороны руководства, так же, как и входные данные процессов – будут различными. То же можно сказать и обо всех перечисленных выше общих процессах для двух нормативов.

Дополнительные требования ISO 27001

Разница между стандартами ISO на системы менеджмента вовсе не мешает – они дополняют друг друга. Синергетический эффект от этого играет немалую роль в успехе компании. Система по информационной безопасности защищает потенциал компании, а система качества создает его. Я клоню к тому, что после того, как вы поработаете с общим в двух стандартах, нужно не меньшее внимание уделить их различиям. Сразу скажем, что в ISO 9001 и ISO 27001 различия в основном сконцентрированы в Параграфах №6 и №8. Что касается ISO 27001, то он добавляет к интегрированной системе следующие специфические требования по своей теме:

Оценка риска информационной безопасности. Организация должна выработать методологию оценки и обработки риска для информационной безопасности. К сожалению, нельзя смешивать эти риски, с рисками, оцениваемыми и обрабатываемыми в соответствии со стандартом качества ISO 9001. Для ISO 9001 тематика риска не имеет такого большого значения, как для ISO 27001, из-за чего приложение методик из информационной безопасности к системе качества может быть контрпродуктивно и ошеломительно для организации. За деталями по этому вопросу обращайтесь к нашей статье «Как прописать методологию оценки риска в ISO 27001».

Обработка и компенсация риска в информационной безопасности. У этого процесса нет аналога в ISO 9001, поэтому он может выполняться отдельно от интегрированной системы. Если коротко, то ISO 27001 требует внедрить один или более – до четырех контрольных механизмов, перечисленных в Приложении A к нормативу. Узнайте об этом больше в статье «Четыре способа компенсации и обработки риска в соответствии с ISO 27001».

Пожинайте плоды усилий

Сумма больше формирующих ее частей, и вы получите утроенный эффект от объединения ресурсов и процессов двух стандартов. Сэкономите деньги и время, улучшите систему менеджмента. С интегрированной системой менеджмента вам превосходно удастся продемонстрировать клиентам, органам по сертификации и регуляторам соответствие ISO 9001 и ISO 27001 – чего там, это признанные «лучшие практики» на сегодняшний день. Вдобавок, объединив системы менеджмента безопасности информации и качества вы добьетесь конкурентного преимущества, так как сможете не только добиться качества, но защитить его. Вы улучшите работу организации, уменьшите риски, добьтесь заветной удовлетворенности потребителей. Наградой будет репутация и конкурентоспособность.

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.