10 czerwca 2016

Kiedy warto certyfikować SZBI?

Kiedy warto certyfikować SZBI?

Skoro ostatnio napisałem o tym kto powinien wdrażać System Zarządzania Bezpieczeństwem Informacji, pora na zastanowienie się kiedy warto certyfikować SZBI na zgodność z ISO 27001.

Przede wszystkim należy jednak zastanowić się co tak naprawdę oznacza certyfikowany SZBI.
Otóż, moim zdaniem, powinien on dowodzić, że:

  • w określonym zakresie organizacja spełnia wymagania danego znormalizowanego systemu zarządzania (w naszym przypadku ISO 27001);
  • ryzyka z obszaru bezpieczeństwa informacji są właściwie zarządzane;
  • organizacja jest w stanie zademonstrować dojrzałe zarządzanie danym obszarem i swoim działaniem promuje ideę stałego doskonalenia.
To co należy zauważyć, to fakt, że certyfikowany SZBI nie zapewnia, że organizacja jest bezpieczna. Zapewnia, że organizacja weszła na ścieżkę, która kiedyś powinna doprowadzić organizację do stanu względnego bezpieczeństwa. Pojawia się tu spory problem gdy organizacja to zlepek fragmentów procesów "powiązanych sznurkiem do snopowiązarki", a zarządzanie bezpieczeństwem IT ogranicza się do akceptowania faktu posiadania kolejnych luk (co jest i tak o niebo lepsze od ignorowania faktu ich istnienia). Na szczęście dobry audytor wie jak sobie z tym poradzić, zresztą wnikliwa lektura normy daje kilka wskazówek w tym zakresie, o czym pewnie kiedyś napiszę. 


Wracając do głównego tematu - wdrożenie, moim zdaniem, powinno mieć miejsce wtedy, gdy sam ten fakt wniesie wartość w funkcjonowanie organizacji: 
  • uporządkuje procesy zarządzania (o czym pisałem poprzednim razem);
  • zapewni, że czynności w tym zakresie będą naprawdę realizowane (prosty harmonogram istotnych czynności, jeżeli jest przestrzegany, naprawdę potrafi drastycznie zwiększyć stan bezpieczeństwa).
Certyfikować SZBI należy natomiast gdy widać szansę, że certyfikat zarobi dla organizacji pieniądze:

  • pozwoli uzyskać przewagę konkurencyjną (dodatkowe punkty w procesie przetargowym);
  • pozwala udowodnić spełnienia wymagań (wymóg formalny zamawiających usługę, klientów lub wewnętrzny grupy kapitałowej);
  • pozwoli zmniejszyć ilość audytów "drugiej strony" przeprowadzanych w organizacji przez jej klientów - pozwoli udowodnić klientom, że jest dobrze (choć bardziej poprawnie mówiąc - udowodnić, że nie jest źle). 



A z własnego doświadczenia dodam, że jak organizacja naprawdę musi mieć certyfikat, no potrafi zdziałać niesamowite rzeczy by go otrzymać. Spraw niemożliwe stają się banalne i po kilku miesiącach pracy dojrzałość zarządzania zwiększa się w niesamowity sposób.

Brak komentarzy:

Prześlij komentarz

Dzień dobry. Komentarze na tym forum są moderowane