Система інформаційної безпеки як компонент інтегрованої системи менеджменту якості підприємства

Левін Михайло Григорович,

доктор технічних  наук, професор,

професор кафедри управління проектами

ОРІДУ НАДУ при Президентові України,

 

У сучасних умовах жорсткої конкурентної боротьби за ринки збуту якість продукції та послуг є одним з найважливіших чинників успішної діяльності будь-якого підприємства. Згідно з міжнародним стандартом ІSО 9001 підприємство має розробити, задокументувати, впровадити та підтримувати в робочому стані систему менеджменту якості (СМЯ), постійно поліпшувати її результативність відповідно до вимог. СМЯ покликана забезпечити необхідну якість продукції (послуг) і «настроювати» її на очікування зовнішніх і внутрішніх споживачів.

Для досить великих підприємств найбільш перспективним підходом до реалізації зазначених положень є створення інтегрованої системи менеджменту якості (ІСМЯ). ІСМЯ – це частина системи загального менеджменту підприємства, що відповідає вимогам двох або більше міжнародних стандартів і функціонує як єдине ціле. ІСМЯ представляє собою сукупність взаємопов’язаних і взаємодоповнюючих стандартизованих компонентів, взаємодія яких забезпечує синергетичний ефект під час реалізації політики і цілей підприємства в сфері якості.  ІСМЯ  дозволяє створити на підприємстві єдиний інформаційний простір,  у межах якого реалізуються бізнес-процеси і процедури управління якістю продукції (послуг).

Як правило, більшість ІСМЯ включають три компоненти: систему менеджменту якості (СМЯ); систему екологічного менеджменту (СЕМ); систему менеджменту професійної безпеки і охорони праці (СМПБ). У доповіді обґрунтовується необхідність і доцільність включення до складу ІСМЯ четвертого обов’язкового компоненту – системи  менеджменту інформаційної безпеки (СІБ).

СІБ базується на серії міжнародних стандартів з менеджменту інформаційної безпеки ISO 27000 [1; 2; 3], які містять кращі практики та рекомендації в сфері інформаційної безпеки.

За стандартом ISO 27001 інформаційна безпека – це: «забезпечення конфіденційності, цілісності та доступності інформації; також можливе забезпечення та інших властивостей, таких як ідентифікованість, відмовостійкість і надійність».

Особливу увагу стандарти серії ISO 27000 приділяють вимогам до реалізації та вдосконалення систем управління захистом інформації за моделлю PDCA (Plan – Do – Check – Act). У зв’язку з цим крім розробки відповідної політики, регламентів, інструкцій і правил необхідно забезпечити циклічність бізнес-процесів з управління інформаційною безпекою підприємства: всі процедури повинні послідовно проходити етапи моделі PDCA.

Задоволення цієї вимоги свідчить про відповідність СІБ стандарту ISO 27001 та про її готовність до сертифікації. Сертифікована СІБ – це ефективне управління бізнес-процесами, інформаційними ризиками, свідчення, що підприємство надійне і стійко розвивається, що дає позитивне ставлення бізнес-партнерів.

Таким чином, інформаційна безпека відноситься не тільки до дотримання відповідності, демонстрації кращої практики або впровадження новітніх технологічних рішень. В основному, інформаційна безпека пов’язана з управлінням ризиками для найціннішого активу, який має будь-яка організація – інформації.

Впровадження СІБ до складу ІСМЯ дозволить:

-     максимально чітко розподілити повноваження та відповідальність у сфері інформаційної безпеки між менеджерами, структурними підрозділами та окремими працівниками;

-     забезпечити ефективний захист комерційної інформації підприємства і персональних даних працівників;

-     підвищити якість вхідних, внутрішніх і вихідних інформаційних потоків підприємства шляхом їх постійного моніторингу, оперативного виявлення і усунення проблем;

-     мінімізувати ризики втрат інформаційних активів підприємства і, в результаті, скоротити фінансові втрати.

 

Список використаних джерел:

  1. Міжнародні стандарти ISO 27000:2012 [Електронний ресурс]. – режим доступу: http://www.pgm-online.com/iso-mek-27000.pdf.
  2. Серия стандартов ISO 27000 [Електронний ресурс]. – режим доступу: http://www.intercert.com.ua/articles/regulatory/iso-27000.pdf.
  3. Cімейство стандартів ISO 27000 [Електронний ресурс].  – режим доступу: http://www.niss.gov.ua/public/files/2014_table/0311_prez2.pdf.