Консультант по ISO 27001 - роскошь или необходимость?

Если Вы впервые внедряете ISO 27001, то, вероятно, задумываетесь о найме консультанта, который бы Вам помог. Но какого консультанта необходимо нанять, каковы потенциальные проблемы и сколько Вы должны заплатить?

Консультант должен сократить время Вашего внедрения - он должен предоставить Вам все вспомогательные инструменты для реализации и помочь избежать многочисленных ловушек в процессе внедрения. Его задачей является шаг за шагом вести Вас по всему проекту внедрения и дать Вам точное представление о том, завершен ли процесс внедрения и можно ли приступать к стадии сертификации, как будет проходить сертификационный аудит, содержание программы аудита, какие типовые несоответствия могут быть выявлены, на какие элементы управления СМИБ будут обращать внимание внешние эксперты-аудиторы, как избежать критических и существенных несоответствий и т.д.

Если Ваш договор включает в себя физическое нахождение в компании (on site), консультант может провести весь необходимый анализ, порекомендовать лучшие решения, разработать проекты документации, обучить Ваших сотрудников и др. Другими словами, он может взять на себя часть Вашей рабочей нагрузки.

Однако найм консультанта также сопряжен с некоторыми рисками:

  • Эксперт сможет увидеть всю Вашу конфиденциальную информацию, включая области, где Вы наиболее уязвимы. Однако данный вопрос решим подписанием договора о неразглашении NDA.

  • Если консультант сам выполняет весь анализ и написание документации (без вмешательства Ваших сотрудников), вероятно, произойдут две вещи:
    • документация не будет отражать реальные потребности Вашей компании;
    • после того, как эксперт уйдет, Ваши сотрудники не будут знать, как вести документацию и поддерживать СМИБ в актуальном и рабочем состоянии. Ведь система требует постоянной поддержки - регулярных внутренних аудитов, анализа менеджмента, управление инцидентами и др.

    Оба варианта имеют одинаковый результат: документация на самом деле не будет полезна в повседневной работе, и сотрудники, вероятно, откажутся от нее.

  • Есть много людей, претендующих на звание консультантов, но на самом деле мало знающих об этой работе. В большинстве стран нет лицензии на выполнение работ по внедрению ISO, поэтому практически каждый может заявить, что он является специалистом по внедрению СМИБ. (Мы же предоставим Вам подтверждения квалификации наших кадров от признанных во всем мире органов по сертификации).

Поэтому, при найме консультанта, убедитесь, что Вы решаете все вышеупомянутые проблемы и решаете их конкретно (в письменной форме) в Договоре внедрения СУИБ.

Критерии выбора консультанта:

  • Опыт и навыки. Необходимо узнать все не только о консалтинговой компании, но и о человеке, который будет выполнять внедрение ISMS: есть ли у него сертификаты, подтверждающие прохождение курсов по требованиям стандарта ISO/IEC 27001 и курсов аудитора ISO/IEC 27001; сколько работ он выполнил; как долго он в этом бизнесе; в каких компаниях он работал. Ведь, если он внедрял ранее ISO 27001 только в банковской сфере, то это не всегда лучший выбор для IT-компании.
  • Репутация. Безусловно, лучше всего пообщаться с клиентами, у которых данный консультант уже работал. Ведь может оказаться, что работа, которую он проделал, была намного меньше по объему, чем Вам было преподнесено, а иногда клиенты вообще могли остаться недовольными качеством выполненной работы или консультантом в целом. Но это затруднительно в случае отсутствия личного контакта с представителем компании. Более простым вариантом подтверждения квалификации является наличие нескольких опубликованных книг, статей по ISO/IEC 27001 или частые выступления на конференциях.
  • Индивидуальный подход. Избегайте шаблонных консультантов - они принесут Вам готовые решения, которые ничего не дадут Вам, кроме наличия. На самом деле Вы многое узнаете о готовности эксперта адаптировать проект для Ваших конкретных потребностей в течение периода переговоров. Если Вы чувствуете, что консультант недостаточно мобилен, или Вам не нравится его стиль общения, откажитесь от него.
  • Язык. Выбор эксперта, который не говорит на Вашем языке (или говорит на нем плохо), может привести к катастрофе. Не ожидайте, что переводчик поможет Вам с этой проблемой - работа консультанта заключается в том, чтобы понять все нюансы Вашей работы, а это невозможно сделать с помощью третьего лица. Наша компания, в свою очередь, может разрабатывать системы как на русском, так и на английском языках.

Есть веская причина, по которой цена не была включена в список: часто компании выбирают самого дешевого эксперта, но по итогу оказывается, что это был самый дорогой вариант. Самым дешевым консультантам обычно не хватает работы, поэтому они предлагают самые низкие цены - они хотят выжить на рынке. Но важный вопрос здесь - почему им не хватает работы? Потому что они новички на этом рынке и им не хватает опыта? Или потому, что у них не очень хорошая репутация и многие клиенты избегают их? Подумайте об этом, когда принимаете решение. Конечно, цена важна, но Вы должны рассчитать общую стоимость проекта - и обычно надбавка к цене хорошего консультанта будет намного меньше, чем экономия, которую принесет Вам этот эксперт. При этом, хотя цена за консультацию обычно исчисляется в человеко-днях, гораздо лучше договориться об общей цене за весь проект - таким образом, риск ляжет на консультанта, а не на Вас. Если эксперт утверждает, что не может предвидеть объем необходимой работы, закажите предварительный аудит, чтобы понимать объем дополнительных вложений в инфраструктуру, продолжительность процесса и точную цену внедрения системы в Вашей компании.

И помните - конечная цель консультанта и консалтинговой компании - сэкономить Ваше время и деньги!

Кроме этого мы гарантируем Вам полное сопровождение сертификации и помощь вплоть до получения свидетельства при любых сложившихся обстоятельствах.