国际标准化组织(ISO)出版的《 ISO Survey》连续第二年在其2007年版中收集全球ISO / IEC 27001:2005证书数量的统计数据。
值得注意的是,ISO调查自1993年以来就已发布,但正如我们所说,只有两年时间包含有关ISO 27001:2005认证的数据。信息技术-安全技术-信息安全管理系统-要求。
这种包含仅反映了为信息安全管理系统(ISMS)设置要求的标准在全球范围内实现程度的显着进步。现在,ISO 27001认证对组织改进流程和结果的重要性以及与尚未采取措施的公司相比所具有的竞争优势非常重要。
这样的进展无法与ISO调查的两个“经典”(ISO 9001和ISO 14001),已知的质量和环境管理标准相媲美。尽管在单个集成管理系统(SGI)中同时存在质量和环境管理系统是很常见的,但是看到一个集成有ISMS的质量管理系统并不是很多(尽管越来越多)。
甚至更进一步,已经有拥有集成质量和环境管理系统的公司正在考虑我们所谓的“全面集成”:质量,环境和信息安全的集成管理系统。
今天,我们将不再在一个系统中处理这三个标准的集成实施,而是要扩展现有的质量管理体系以符合ISO 27001,或者换句话说,是创建一个集成管理体系。质量和信息安全(以下称为SGI)。
首先,虽然众所周知,但由于9001和27001都基于应用于流程的戴明循环或PDCA模型(计划,执行,检查,执行),因此促进了两个系统的集成。系统本身。同样,两个标准都规范了针对每个组织的业务流程的系统的要求。
ISO / IEC 27001本身阐明,如果组织已实施9001或14001,“最好在现有管理系统中满足此国际标准的要求。”
让我们看看该标准的建议在多大程度上是正确的。尽管可能存在某些组织,出于特定原因,最好将质量管理与信息安全管理分开进行,但是毫无疑问,遵循上述建议可以为我们带来无数的优势(并为我们节省一些工作)。在这些优势中,毫无疑问,公司最看重的是避免整个组织不必要的重复并提高效率,从而节省了成本。
动手:简单方法
当开始集成两个系统时,我们首先要意识到的是与管理系统本身相关的所有方面的巨大巧合:一般要求,文档要求,首长级职责,管理资源,内部审核,管理层的审查和系统的改进。
- 当然,第一步将是修改我们的质量体系的范围文档,该文档现在还将包括我们要根据ISO 27001进行认证的那些业务流程,因为信息安全在其中尤为重要。新的范围不必与已经为质量确定的范围相吻合,通常情况是它们并不相符,尽管这取决于每个组织,并且从根本上取决于其组织宗旨的范围。接下来,我们必须修改质量政策声明并将其扩展到信息安全和我们设定为组织的特定安全目标,接下来的事情将是利用我们在质量体系中拥有的组织结构,从而对信息安全进行管理。组织具有质量和安全经理和/或委员会已经很普遍。
最后,我们将重点关注那些质量程序,其目标和范围将扩展到统一满足9001和27001共享的要求:
- 记录和文件控制;管理人员对系统的责任和审查;不合格,预防措施和纠正措施的管理;内部审核和系统的持续改进。
集成的其他优势:统一管理法律法规合规性
我们不想在没有提及SGI将为我们提供的另一个无可争辩的优势的情况下,将这种方法用于集成质量和安全系统。无非就是能够集中管理组织今天必须遵守的众多法律和法规要求。
特别是在西班牙,最明显的案例是《数据保护组织法》及其“新”发展法规,同时又不忘了《信息社会服务和电子商务法》。遵守这三个监管机构要求提供资源和实施一定的组织结构,以便持续不断地进行合规。只有这样,我们才能避免发生令人不快的意外,通常采取高额罚款的形式。除了上述标准之外,SGI还使我们能够遵守Sarbanes Oxley,Basel II等法规。
而所有这些,都来自一个单一的管理系统。有趣吧?
贡献者:Elena Ortega deNicolás
