Що генеральний директор повинен знати про ISO 27001
Якщо ви генеральний директор або представник вищої ланки, який бажає пройти процедуру ISO 27001, то це все, що вам потрібно знати. Це факти, які вам ніхто інший не розповість, і замість звичайних переваг та додаткових пропозицій ми одразу перейдемо до суті та реальності стандарту ISO 27001. Готові?
ISO 27001 не є стандартом інформаційної безпеки
Перший шокуючий факт полягає в тому, що ISO 27001 не є стандартом інформаційної безпеки.
Що це насправді: ISO 27001 – це стандарт управління інформаційною безпекою
І більше того: ISO 27001 – це стандарт управління ризиками інформаційної безпеки .
Це один із тих фактів, які можуть вразити вас.
Якщо ви очікуєте, що цей стандарт підкаже вам, які засоби безпеки потрібно запровадити, встановить певні правила щодо того, що вам потрібно робити, і зробить вас більш захищеними, то ви дуже помиляєтеся.
Що таке ISO 27001?
ISO 27001 — це дуже проста та легка у впровадженні система управління. Вона визначає, як ви керуєте інформаційною безпекою у вашій організації. В її основі лежить управління ризиками, і саме тут все стає цікавим.
Якщо ви керуєте інформаційною безпекою та керуєте ризиками, ви отримаєте сертифікат ISO 27001.
Зверніть увагу, що я жодного разу не посилався на жодні технічні вимоги чи не згадував про те, як ви працюєте.
Щоб було зрозуміло, йдеться про управління інформаційною безпекою та управління ризиками.
Якщо хтось скаже вам – нам потрібно зробити X зараз через ISO 27001, то він, ймовірно, помиляється.
Цілком можливо мати неймовірно слабку інформаційну безпеку з мінімальними або відсутніми засобами контролю інформаційної безпеки та все одно пройти аудит та отримати сертифікат.
Я б цього не радив, звісно. Але це можливо.
Що мінімально потрібно зробити?
Найменше, що вам потрібно зробити, це впровадити основні положення стандарту ISO 27001. Я навіть покажу вам, як це зробити, і надам покрокові інструкції з відео безкоштовно в довідковому посібнику ISO27001:2022.
Узагальнено ви збираєтеся:
  • Визначте деякі ролі
  • Розподілити людей
  • Напишіть деякі правила
  • Здійснюйте управління ризиками
  • Аудит та аналіз себе
  • Постійно вдосконалюватися.
Мушу ще раз наголосити, що це не так вже й складно.
ЗРОБИ САМ ISO 27001
Нарешті! Впровадьте ISO 27001 самостійно, не витрачаючи ні копійки на консультантів чи програмне забезпечення.
Найповніший інструментарій ISO 27001. Спитайте в мене як його можливо купити
Я не розумію – як я можу бути невпевненим і все одно сертифікуватися?
Відповідь проста: це стосується управління ризиками. Єдина вимога до вашої фактичної безпеки — це управління ризиками. Управління ризиками — це чудова річ, тому що вона дозволяє вам, заохочує вас і хоче, щоб ви впроваджували безпеку на рівні, який вам підходить і пропорційний.
Ви визначаєте свої ризики та впроваджуєте необхідний рівень безпеки.
І знаєте що?
Якщо виявиться, що вам не потрібно або ви не хочете впроваджувати певні засоби безпеки, вам не потрібно цього робити. Ви можете просто прийняти ризик.
Тут, безумовно, є золота середина, але щоб відповісти на питання, який той абсолютний мінімум, який можна прийняти і все одно «здати», відповідь напрочуд проста.
Тоді стандарт безглуздий?
Я розумію вашу точку зору, і вона не позбавлена ​​труднощів. Наскільки це безглуздо для вас, насправді залежить від вашого контексту. Давайте розглянемо.
Потреби клієнтів
Головним пріоритетом генерального директора у дотриманні цього стандарту буде задоволення потреб клієнта та комерційна вигода. Якщо хтось не хоче мати з вами справу, якщо у вас цього немає, то у вас є вибір. Отримайте це та ведіть бізнес. Або не отримайте цього та переходьте до наступної клієнтської можливості.
Що насправді говорить моїм клієнтам його наявність?
Коли ви отримуєте сертифікацію ISO 27001, це говорить вашим клієнтам лише про те, що ви керуєте інформаційною безпекою та керуєте своїми ризиками, і це було незалежно оцінено як правда.
Ось і все.
Насправді це означає, що будь-хто, хто займається тим, чим я заробляю на життя, звертатиметься до вас з подальшими питаннями, запитуватиме документи та проводитиме аудити, щоб оцінити фактичний рівень безпеки, який ви впровадили.
Ці анкети клієнтів ніколи не припиняться.
Чому це так дорого коштує?
Хочете правди? Люди візьмуть з вас скільки завгодно. Існує ціла індустрія, яка об'єднується, щоб зробити це настільки складним, що ваш єдиний варіант — звернутися за зовнішньою допомогою, скористатися послугами «срібної кулі», які вони пропонують, та запропонувати їм преміальну ціну.
У них є своє місце.
Йдеться про ринкові сили, попит і пропозицію, і ніхто в галузі не хоче порушувати свої позиції, щоб ви отримували стільки, скільки, на їхню думку, можна з вас взяти. Все просто.
Чи варто це робити?
Це варто робити. Коли ви розумієте, що це таке, це варто робити. Ефективне управління інформаційною безпекою та ризиками інформаційної безпеки є цінним, і саме ці переваги є тим, чим керуватиме більшість людей.
Коли ви розумієте це про управління, тоді цінність походить від цього управління.
Звісно, ​​ви також отримаєте сертифікат, який можна повісити на стіну та показати людям.
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков, Мій номер телефону: +380 50 384-21-76, stas@abcgroup.com.ua