BzBook.ru

Обеспечение информационной безопасности бизнеса

2.2.2. Универсальные требования к стандартам на системы менеджмента

Все опубликованные стандарты на системы менеджмента отвечают единым принципам их назначения, структуры требований и содержания. Это обеспечивается едиными правилами и нормами, действующими в рамках международной организации по стандартизации (ИСО).

Технический административный совет ИСО, осознав потребность в обеспечении совместимости стандартов систем менеджмента и признав, что этому может способствовать единая методология принятия решений и разработки таких стандартов, подготовил ряд модельных типовых решений. В результате в качестве дополнительных требований к действующим административным директивам ИСО/МЭК было разработано руководство по обоснованию и разработке стандартов систем менеджмента, изданное в 2001 г. как Руководство ISO 72 [13].

Основным назначением подготовленных рекомендаций являлось создание условий для обеспечения сопоставимости и совместимости, упрощения совместного использования стандартов систем менеджмента организациями, желающими одновременно следовать положениями более чем одного стандарта на системы менеджмента.

По назначению Руководство ISO 72 является дополнением к процедурам для технической работы и методологии разработки международных стандартов, устанавливаемым директивами ISO/IEC, определяющим ряд общих требований к работе технических комитетов ISO, планирующих разработку или разрабатывающих стандарты менеджмента. Эти общие нормы и формируют совместимость стандартов менеджмента по ключевым сущностям, стратегиям внедрения и развития. Все присутствующие на рынке услуг предложения по внедрению в организациях так называемых «интегрированных систем менеджмента» в своей основе опираются на Руководство ISO 72, дополняя его специфичной семантикой, отражающей, сколько систем менеджмента планируется одновременно «загрузить» в систему корпоративного управления организации.

В целом Руководство ISO 72 рекомендует выделять три следующих вида стандартов систем менеджмента.

— А — стандарты требований системы менеджмента как общие, так и характерные для сектора;

— Б — стандарты рекомендаций для системы менеджмента как общие, так и характерные для сектора;

— В — стандарты, связанные с системой менеджмента.


Стандарты вида А (стандарты требований системы менеджмента) предназначены для формирования соответствующих спецификаций менеджмента, позволяющих осуществлять оценку для демонстрации соответствия внутренним и внешним требованиям (например, путем независимой оценки первой, второй или третьей стороной). Примерами таких стандартов являются:

— стандарты требований системы менеджмента (спецификации), например ISO/IEC 27001, ИСО 9001 и т. п.;

— характерные для сектора стандарты требований системы менеджмента;

— стандарты по аккредитации органов оценки и сертификации систем менеджмента.


Стандарты вида Б (стандарт рекомендаций для системы менеджмента) предназначены для оказания содействия организации в реализации и /или улучшении системы менеджмента путем предоставления дополнительного руководства по элементам стандарта требований системы менеджмента. Примеры таких стандартов:

— руководство по использованию стандартов требований системы менеджмента;

— руководство по установлению системы менеджмента;

— руководство по совершенствованию/улучшению системы менеджмента;

— характерные для сектора стандарты рекомендаций для системы менеджмента.


Стандарты вида В (стандарт, связанный с системой менеджмента) предназначены для обеспечения дополнительной информации по определенным компонентам системы менеджмента или руководствам по взаимосвязанным поддерживающим методам и средствам, являющимся полезным и востребованным дополнением к положениям стандартов на системы менеджмента. Примеры таких стандартов:

— документы по терминологии системы менеджмента;

— стандарты руководств по аудиту, документированию, обучению, мониторингу, измерениям и оцениванию функционирования;

— стандарты по маркировке и оценке жизненного цикла.


Комплекс стандартов, имеющих с своем составе стандарты систем менеджмента типов А, Б и В, рекомендуется рассматривать как семейство стандартов менеджмента. Например, для систем менеджмента информационной безопасности к 2010 г. уже фактически сформировалось семейство стандартов СМИБ, отвечающее требованиям Руководства ISO 72 (см. рис. 30).

Обеспечение информационной безопасности бизнеса 2.2.2. Универсальные требования к стандартам на системы менеджмента.

Совместимость стандартов требований системы менеджмента или стандартов рекомендаций для системы менеджмента и простоту использования их предполагается улучшить посредством увеличения общности между стандартами, разрабатываемыми в соответствии с положениями Руководства ISO 72. Общность стандартов основывается на следующих общих составляющих стандартов:

— модель системы менеджмента;

— структура стандарта;

— система общих элементов вместе с их формулировкой;

— используемая терминологии.


Модель и структура. Общая структура стандарта требований системы менеджмента или рекомендаций для системы менеджмента основывается на признанной модели (модели Деминга) и логике системы требований (спецификации) к системе менеджмента в соответствии с данной моделью. В Руководстве ISO 72 отмечается, что в настоящее время в международных стандартах менеджмента используются две признанные модели: модель Деминга (PDCA) и процессная модель. Однако это не означает, что существующие модели для стандартов систем менеджмента будут с течением времени развиваться, и могут появиться новые модели.

Общие элементы. В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:

— политику системы менеджмента;

— планирование;

— реализацию и введение в действие;

— оценку функционирования;

— совершенствование;

— проверки, проводимые руководством.

Боле подробно данные общие элементы представлены в таблице 1.

Общие элементы стандартов систем менеджмента ИСО.

Таблица 1

Обеспечение информационной безопасности бизнеса 2.2.2. Универсальные требования к стандартам на системы менеджмента.

Продолжение табл. 1

Обеспечение информационной безопасности бизнеса 2.2.2. Универсальные требования к стандартам на системы менеджмента.

Окончание табл. 1

Обеспечение информационной безопасности бизнеса 2.2.2. Универсальные требования к стандартам на системы менеджмента.

Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.