Левін Михайло Григорович,
доктор технічних наук, професор,
професор кафедри управління проектами
ОРІДУ НАДУ при Президентові України,
У сучасних умовах жорсткої конкурентної боротьби за ринки збуту якість продукції та послуг є одним з найважливіших чинників успішної діяльності будь-якого підприємства. Згідно з міжнародним стандартом ІSО 9001 підприємство має розробити, задокументувати, впровадити та підтримувати в робочому стані систему менеджменту якості (СМЯ), постійно поліпшувати її результативність відповідно до вимог. СМЯ покликана забезпечити необхідну якість продукції (послуг) і «настроювати» її на очікування зовнішніх і внутрішніх споживачів.
Для досить великих підприємств найбільш перспективним підходом до реалізації зазначених положень є створення інтегрованої системи менеджменту якості (ІСМЯ). ІСМЯ – це частина системи загального менеджменту підприємства, що відповідає вимогам двох або більше міжнародних стандартів і функціонує як єдине ціле. ІСМЯ представляє собою сукупність взаємопов’язаних і взаємодоповнюючих стандартизованих компонентів, взаємодія яких забезпечує синергетичний ефект під час реалізації політики і цілей підприємства в сфері якості. ІСМЯ дозволяє створити на підприємстві єдиний інформаційний простір, у межах якого реалізуються бізнес-процеси і процедури управління якістю продукції (послуг).
Як правило, більшість ІСМЯ включають три компоненти: систему менеджменту якості (СМЯ); систему екологічного менеджменту (СЕМ); систему менеджменту професійної безпеки і охорони праці (СМПБ). У доповіді обґрунтовується необхідність і доцільність включення до складу ІСМЯ четвертого обов’язкового компоненту – системи менеджменту інформаційної безпеки (СІБ).
СІБ базується на серії міжнародних стандартів з менеджменту інформаційної безпеки ISO 27000 [1; 2; 3], які містять кращі практики та рекомендації в сфері інформаційної безпеки.
За стандартом ISO 27001 інформаційна безпека – це: «забезпечення конфіденційності, цілісності та доступності інформації; також можливе забезпечення та інших властивостей, таких як ідентифікованість, відмовостійкість і надійність».
Особливу увагу стандарти серії ISO 27000 приділяють вимогам до реалізації та вдосконалення систем управління захистом інформації за моделлю PDCA (Plan – Do – Check – Act). У зв’язку з цим крім розробки відповідної політики, регламентів, інструкцій і правил необхідно забезпечити циклічність бізнес-процесів з управління інформаційною безпекою підприємства: всі процедури повинні послідовно проходити етапи моделі PDCA.
Задоволення цієї вимоги свідчить про відповідність СІБ стандарту ISO 27001 та про її готовність до сертифікації. Сертифікована СІБ – це ефективне управління бізнес-процесами, інформаційними ризиками, свідчення, що підприємство надійне і стійко розвивається, що дає позитивне ставлення бізнес-партнерів.
Таким чином, інформаційна безпека відноситься не тільки до дотримання відповідності, демонстрації кращої практики або впровадження новітніх технологічних рішень. В основному, інформаційна безпека пов’язана з управлінням ризиками для найціннішого активу, який має будь-яка організація – інформації.
Впровадження СІБ до складу ІСМЯ дозволить:
- максимально чітко розподілити повноваження та відповідальність у сфері інформаційної безпеки між менеджерами, структурними підрозділами та окремими працівниками;
- забезпечити ефективний захист комерційної інформації підприємства і персональних даних працівників;
- підвищити якість вхідних, внутрішніх і вихідних інформаційних потоків підприємства шляхом їх постійного моніторингу, оперативного виявлення і усунення проблем;
- мінімізувати ризики втрат інформаційних активів підприємства і, в результаті, скоротити фінансові втрати.
Список використаних джерел:
- Міжнародні стандарти ISO 27000:2012 [Електронний ресурс]. – режим доступу: http://www.pgm-online.com/iso-mek-27000.pdf.
- Серия стандартов ISO 27000 [Електронний ресурс]. – режим доступу: http://www.intercert.com.ua/articles/regulatory/iso-27000.pdf.
- Cімейство стандартів ISO 27000 [Електронний ресурс]. – режим доступу: http://www.niss.gov.ua/public/files/2014_table/0311_prez2.pdf.