Uluslararası Standardizasyon Örgütü'nün (ISO) yayını olan ISO Anketi, arka arkaya ikinci yıl, dünya çapındaki ISO / IEC 27001: 2005 sertifikalarının sayısı hakkında 2007 sürüm istatistiklerini toplar.
ISO Anketi'nin 1993'ten beri yayınlanmış olması dikkat çekicidir, ancak söylediğimiz gibi, sadece iki yıl boyunca ISO 27001: 2005 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler sertifikasyonuna ilişkin verileri içermektedir.
Bu dahil etme, bir Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereksinimleri belirleyen standardın dünya çapında uygulama derecesindeki kayda değer ilerlemenin bir yansımasından başka bir şey değildir. Süreçlerini ve sonuçlarını iyileştirme söz konusu olduğunda ISO 27001 sertifikasının Kuruluşlar için taşıdığı önem ve henüz adımı atmamış şirketlere karşı temsil ettiği rekabet avantajı artık paha biçilemez.
Bu tür bir ilerleme, ISO Anketinin iki "klasiği" ile karşılaştırılamaz: sırasıyla ISO 9001 ve ISO 14001, iyi bilinen Kalite ve Çevre yönetimi standartları. Tek bir Entegre Yönetim Sisteminde (SGI) bir arada bulunan Kalite ve Çevre yönetim sistemlerini bulmak yaygın olmakla birlikte, bir BGYS ile entegre bir Kalite Yönetim Sistemini görmek (gittikçe artıyor olsa da) çok fazla değildir.
Daha da ileri giderek, Entegre Kalite ve Çevre Yönetim Sistemine sahip olan şirketler, "toplam entegrasyon" diyebileceğimiz şeyi düşünüyorlar: Kalite, Çevre ve Bilgi Güvenliği için Entegre Yönetim Sistemi.
Bugün, üç standardın entegre uygulamasını tek bir sistemde tartışmayacağız, bunun yerine mevcut bir Kalite Yönetim sisteminin ISO 27001'e uyacak şekilde genişletilmesini veya başka bir deyişle, bir Entegre Yönetim Sisteminin oluşturulmasını tartışacağız. Bilgi Kalitesi ve Güvenliği (bundan sonra SGI olarak anılacaktır).
İyi bilinmesine rağmen, her iki sistemin entegrasyonunun, hem 9001 hem de 27001'in süreçlere uygulanan Deming döngüsü veya PDCA modeline (Planla, Yap, Kontrol Et, Önlem Al) dayalı olması gerçeğiyle kolaylaştırıldığını söyleyerek başlayacağız. Sistemin kendisi. Aynı şekilde, her iki standart da her bir Organizasyonun iş süreçlerine yönelik bir sistemin gereksinimlerini düzenler.
ISO / IEC 27001'in kendisi, bir kuruluşun 9001 veya 14001 uygulamasına sahip olması durumunda, "bu uluslararası standardın gerekliliklerinin mevcut yönetim sistemi içinde karşılanmasının tercih edileceğini" açıklar.
Standardın tavsiyesinin ne ölçüde doğru olup olmadığını görelim. Kalite yönetiminin belirli nedenlerle Bilgi Güvenliği yönetiminden ayrı olarak taşınmasının tercih edildiği belirli Organizasyonlar olabilirse de, yukarıda belirtilen tavsiyenin bize sayısız avantaj sağlayacağına şüphe yoktur (ve bize biraz işten de tasarruf edin). Bu avantajlar arasında şüphesiz şirketler tarafından en çok değer verilenler, gereksiz tekrarlardan kaçınmak ve organizasyon genelinde verimliliği artırmak ve bunun sonucunda ortaya çıkan maliyet tasarruflarıdır.
Uygulamalı: kısa bir yaklaşım
Her iki sistemi entegre etmeye başlarken fark edeceğimiz ilk şey, Yönetim Sisteminin kendisiyle ilgili her şeydeki muazzam tesadüflerdir: genel gereksinimler, dokümantasyon gereksinimleri, Müdürlüğün sorumluluğu, yönetim Kaynaklar, iç denetimler, Yönetim tarafından gözden geçirme ve Sistemin iyileştirilmesi.
- Elbette ilk adım, Kalite Sistemimizin kapsam belgesini değiştirmek olacak, bu belge artık ISO 27001 kapsamında belgelendirmek istediğimiz iş süreçlerini de içerecek çünkü Bilgi Güvenliği bunlarda özel bir öneme sahip. Yeni kapsam, Kalite için önceden oluşturulmuş olanla örtüşmek zorunda değildir ve normal olan şey, her bir Organizasyona ve temelde kurumsal amacının genişliğine bağlı olmasına rağmen bunların çakışmamasıdır. Ardından, Kalite Politikası Beyanımızı değiştirmeliyiz. Bilgi Güvenliği ve bir Organizasyon olarak kendimize belirlediğimiz özel güvenlik hedeflerini kapsayacak şekilde genişletiyoruz.Bir sonraki adım, Kalite Sistemimizde bulunan organizasyon yapımızdan yararlanmak ve böylece Bilgi Güvenliği'ni de yönetmektir.Kuruluşların Kalite ve Güvenlik Yöneticilerine ve / veya Komitelerine sahip olması şimdiden yaygınlaşmaktadır.
Son olarak, 9001 ve 27001 tarafından paylaşılan gereksinimleri birleşik bir şekilde karşılamak için amacını ve kapsamını genişleteceğimiz Kalite prosedürlerine odaklanacağız:
- Kayıtların ve Dokümantasyonun Kontrolü, Sistemin Yönetimin Sorumluluğu ve Gözden Geçirilmesi, Uygunsuzlukların, Önleyici Faaliyetlerin ve Düzeltici Faaliyetlerin Yönetimi, İç Denetim ve Sistemin Sürekli İyileştirilmesi.
Entegrasyonun diğer avantajları: yasal ve yasal uyumluluğun birleşik yönetimi
Entegre Kalite ve Güvenlik Sistemlerine yönelik bu yaklaşımı, SGI'mızın bize sağlayacağı tartışılmaz bir avantajdan daha bahsetmeden bitirmek istemiyoruz. Kuruluşların bugün uyması gereken çok sayıda yasal ve düzenleyici gereksinimi merkezi olarak yönetebilmekten başka bir şey değildir.
Spesifik olarak İspanya'da, en açık durum, Bilgi Toplumu Hizmetleri ve Elektronik Ticaret Yasasını unutmadan, Organik Veri Koruma Yasası ve "yeni" Kalkınma Yönetmeliğidir. Bu üç düzenleyici kuruma uymak, uyumu sürekli ve kalıcı olarak gerçekleştirebilmek için kaynakların sağlanmasını ve belirli bir organizasyon yapısının uygulanmasını gerektirir. Ancak bu şekilde, genellikle yüksek mali cezalar şeklinde, hoş olmayan sürprizlerden korunabiliriz. Yukarıda belirtilen standartların ötesinde, SGI, Sarbanes Oxley, Basel II, vb. Gibi düzenlemelere uymamıza izin verecektir.
Ve tüm bunlar tek bir Yönetim Sisteminden. İlginç, değil mi?
Katkıda bulunan: Elena Ortega de Nicolás
