Декабрь 03, 2019
Что общего? ISO 9001:2015 и ISO 27001:2013.
ISO 9001 определяет требования к системам менеджмента качества и является стандартом семейства ISO, как и ISO/IEC 27001. И хотя, на первый взгляд, менеджмент качества и менеджмент информационной безопасности различны, однако требования к этим системам одинаковы: контроль документов, внутренний аудит, анализ со стороны руководства, корректирующие действия, постановка целей и управление компетенциями. Иными словами, действующая СМК создает основу для внедрения (интеграции требований) СМИБ ISO/IEC 27001.
Подробнее о пересечениях в таблице:
| ISO 9001 | ISO/IEC 27001 | Разъяснение |
|---|---|---|
| 0 Введение | 0 Введение | |
| 0.1 Общие положения | 0.1 Общее | Эти пункты имеют одинаковые требования для обоих стандартов. |
| 0.2 Принципы менеджмента качества | ||
| 0.3 Процессный подход | ||
| 0.4 Взаимосвязь с другими стандартами системами менеджмента | 0.4 Совместимость с другими системами управления | |
| 1 Область применения | 1 Область применения | Раздел устанавливает требования к области применения системы, в СМК – это обеспечение качества услуг/продукции и удовлетворенности потребителей, в СМИБ – это обеспечение информационной безопасности, которая может также рассматриваться как один из аспектов качественных услуг или качественной продукции. При этом ISO 27001 не допускает исключения или неприменения требований (он допускает только исключения элементов управления из Приложения A), в отличие от ISO 9001, который допускает исключения из пункта 7 стандарта. |
| 2 Нормативные ссылки | 2 Нормативные ссылки | Это требование одинаково для обоих стандартов. |
| 3 Термины и определения | 3 Термины и определения | Оба стандарта ссылаются к своим собственным стандартам «Основы и словарь» (ISO 9000 и ISO/IEC 27000). |
| 4 Контекст организации | 4 Контекст организации | |
| 4.1 Понимание организации и ее контекста | 4.1 Понимание организации и ее контекста | Хотя каждый из стандартов устанавливает необходимость описания контекста, все же Контекст – это стратегический анализ текущего состояния организации и перспектив ее развития. Поэтому он может (и должен) включать все аспекты деятельности – качество, безопасность, экологию и т.д. При корректном описании контекста он четко отражает требования двух стандартов. По отдельности – контекст является неполным. |
| 4.2 Понимание потребностей и ожиданий заинтересованных сторон | 4.2 Понимание потребностей и ожиданий заинтересованных сторон | Измерение удовлетворенности потребителя должно включать уровень выполнения договорных и других требований, что является общим требованием для обоих стандартов. |
| 4.3 Определение области применения системы менеджмента качества | 4.3 Определение области действия системы менеджмента информационной безопасности | Для СМК в настоящее время существуют определенные области применения системы, которые увязаны с основной деятельностью организации (бизнес-процессы). СМИБ в большей степени добавляет к деятельности организации (в том числе ее бизнес-процессам) требования к обеспечению информационной безопасности, при этом не сильно «привязываясь» к конкретной деятельности организации. Другими словами, определив область СМК, при внедрении СМИБ она добавляется требованиями к ИБ. |
| 4.4 Система менеджмента качества и ее процессы | 4.4 Система управления информационной безопасностью | Требования одинаковы: каждая система должна быть установлена, внедрена, задокументирована и постоянно совершенствоваться. Стоит заметить, что в настоящее время как СМК и СМИБ могут иметь ограничения по применению требований ISO 9001 и ISO/IEC 27001 соответственно. |
| 5 Лидерство | 5 Лидерство | |
| 5.1 Обязательства руководства | 5.1 Лидерство и приверженность | Требования одинаковы, и руководство должно равнозначно относиться к обоим стандартам в отношении реализации политик, предоставления ресурсов, постоянного улучшения, распределения ролей, обязанностей и др. |
| 5.2 Политика | 5.2 Политика | Требования почти одинаковы, только ориентированы на конкретную суть СМК или СМИБ. Политики могут быть как отдельными для каждой системы, так и сведёнными в общую Политику. |
| 5.3 Роли, обязанности и полномочия в организации | 5.3 Организационные роли, обязанности и полномочия | Требования одинаковы, поэтому роли, обязанности и полномочия для обоих стандартов могут быть одинаковы. Например, один и тот же человек может быть представителем по управлению качеством и менеджером по информационной безопасности; один и тот же аудитор может проводить проверки СМК и СМИБ. |
| 6 Планирование | 6 Планирование | |
| 6.1 Действия по рассмотрению рисков и возможностей | 6.1.1 Действия по обработке рисков и реализации возможностей | Планирование обеих систем менеджмента может проводиться в рамках одного и того же процесса с целью выполнения требований обоих стандартов и обеспечения их эффективности. Стоит отметить, что риски в ИБ определяют базис для внедрения СМИБ, поэтому к их оценке определяются конкретные требования (раздел 8 ISO/IEC 27001). |
| 6.2 Цели в области качества и планирование их достижения | 6.2 Цели информационной безопасности и планирование их достижения | Требования одинаковы, только ориентированы на конкретную систему. Цели и мероприятия по их достижению могут быть как отдельными для каждой системы, так и сведёнными в общую систему целеполагания. |
| 7 Поддержка | 7 Поддержка | |
| 7.1 Ресурсы 7.1.3 Инфраструктура 7.1.4 Среда для функционирования процессов |
7.1 Ресурсы | Организация должна определить и предоставить необходимые ресурсы для выполнения процессов, чтобы соответствовать требованиям обоих стандартов. См. пункт 6.1. |
| 7.1.5 Ресурсы для мониторинга и измерений | - | В ISO/IEC 27001 нет аналогичных пунктов. |
| 7.1.2 Персонал 7.2 Компетентность 7.3 Осведомленность |
7.2 Компетентность 7.3 Осведомленность |
ISO/IEC 27001 разделяет компетентность и осведомленность и подчеркивает осведомленность больше, чем ISO 9001. Тем не менее, может быть формализован общий подход к процедуре управления компетентностью и осведомленностью персонала в рамках двух систем. |
| 7.4 Коммуникации | 7.4 Коммуникация | Требование такое же и может быть выполнено с помощью тех же процессов. Например, написание объявлений на доске объявлений, отправка электронных писем, регулярные встречи сотрудников. |
| 7.5 Документированная информация | 7.5 Документированная информация | Вы можете применить одну и ту же процедуру, чтобы соответствовать требованиям обоих стандартов и создать систему документации. |
| 8 Операционная деятельность | 8 Функционирование | |
| 8.1 Операционное планирование и управление | - | В ISO/IEC 27001 не определяет конкретных требований к описанию деятельности (бизнес-процессов), однако устанавливает требования к обеспечению информационной безопасности при реализации деятельности. В разделе 8 ISO/IEC 27001 определены требования к управлению рисками ИБ, которое при функционирующей СМК осуществляется проще. |
| 8.2 Требования к продукции и услугам | ||
| 8.2.1 Коммуникация с потребителем | 7.4 Общение | Организация должна установить процесс внешних коммуникаций, например, обратную связь с клиентами, изменения в контрактах, анкеты, жалобы и т. д. |
| 8.3 Проектирование и разработка | А.6.1.5 Информационная безопасность в управлении проектами | Этот контроль может быть частью процедуры проектирования и разработки. |
| 8.4 Управление предоставляемыми извне процессами, продукцией и услугами | A.15 Отношения с поставщиками | Контракты, заключенные с поставщиками, должны включать положения об информационной безопасности, и ИБ может быть одним из критериев оценки поставщиков. |
| 8.5 Предоставление продукции и услуг | A.12 Безопасность операций | Информационная безопасность должна быть включена в IТ- процессы, которые поддерживают производство и предоставление услуг. План качества может ссылаться на политики информационной безопасности. |
| 8.5.2 Корректирующее действие | 10.1 Несоответствие и корректирующие действия | Два пункта из ISO 9001 объединены в ISO 27001, но требования одинаковы и могут быть выполнены с помощью одной и той же процедуры. |
| 8.5.3 Профилактические действия | 8.3 Обработка риска информационной безопасности | Профилактические действия как термин не упомянуты в ISO 27001, но план обработки риска можно рассматривать как профилактическое действие. Результатом процесса обработки риска может быть вклад в профилактические действия. |
| 9 Оценивание пригодности | 9 Оценка эффективности | |
| 9.1 Мониторинг, измерение, анализ и оценка 9.1.1 Общие положения |
9.1 Мониторинг, измерение, анализ и оценка | Организация должна продемонстрировать эффективность системы посредством мониторинга параметров, которые организация определила как важные для реализации процесса. Эти требования могут быть выполнены через один документ. |
| 9.1.2 Удовлетворенность клиентов | 4.2 Понимание потребностей и ожиданий заинтересованных сторон | Измерение удовлетворенности потребителя должно включать уровень выполнения договорных и других требований, что является общим требованием для обоих стандартов. |
| 9.1.3 Анализ и оценивание | 9.1 Мониторинг, измерение, анализ и оценка | Результаты мониторинга и измерений должны быть проанализированы, чтобы внести вклад для анализа со стороны руководства и постоянного улучшения. Оба стандарта имеют одинаковые требования, которые могут быть выполнены с помощью одного и того же документа. |
| 9.2 Внутренний аудит | 9.2 Внутренний аудит | Для обоих стандартов может применяться одна и та же процедура внутреннего аудита. |
| 9.3 Анализ со стороны руководства | 9.3 Анализ менеджмента | Хотя требования одинаковы, входные элементы анализа со стороны руководства различны. Один и тот же документ может использоваться для обоих стандартов, но он должен содержать отдельные элементы входных данных для обоих стандартов. |
| 10 Улучшение | 10 Улучшение | |
| 10.1 Общие положения | 10.2 Постоянное улучшение | Как и в любой системе управления, упор делается на постоянное совершенствование, которое осуществляется посредством совместной процедуры корректирующих действий. |
| 10.3 Постоянное улучшение | ||
| 10.2 Несоответствия и корректирующие действия | 10.1 Несоответствия и корректирующие действия | Процедура для несоответствующей продукции относится ко всем несоответствиям, включая несоответствия, возникающие в СМИБ. |
Мы готовы разработать для Вас:
- интегрированную систему ISO с нуля или на базе уже существующей;
- внедрить единственную, необходимую Вам.
Позвоните нам и узнайте цену и сроки в зависимости от Ваших потребностей и имеющейся в наличии документации.
