Блог

Внедрение стандартов ИТ и ИБ как средство поддержания тонуса

Автор: Евгений Безгодов

В мире существует множество международных, национальных и отраслевых стандартов, описывающих, как следует выполнять те или иные процессы в компании, для того, чтобы добиться максимальной эффективности. Наиболее широко известными примерами таких стандартов в области управления информационными технологиями являются стандарты CobiT и ITIL, а в области информационной безопасности — ISO 27001, PCI DSS и стандарт Банка России СТО БР ИББС-1.0.

Преимущества и недостатки внедрения стандартов

Внедрение таких стандартов в компании обычно дает такие преимущества, как приобщение к лучшим мировым и отечественным практикам, упорядочение бизнес-процессов и более строгое их исполнение сотрудниками. Разумеется, важную роль играет и сам факт соответствия стандарту, снижающий риски попадания компании под штрафные санкции, улучшающий её репутацию, и нередко открывающий выходы на новые рынки.

Созвучны с этими преимуществами и мнимые или реальные недостатки стандартизации, среди которых излишняя формализация деятельности, бюрократизация, возрастающая нагрузка на исполнителей и аудиторов и несовершенство самих стандартов.

Обернется ли то или иное свойство стандартизации плюсом или минусом для компании — во многих случаях зависит от качества внедрения. Кто-то внедряет «попроще и подешевле», для «галочки», и получает хоть и сведенную к минимуму, но абсолютно бессмысленную нагрузку, необходимую для поддержания соответствия. Сильные компании подходят к внедрению стандарта взвешенно, прорабатывают каждую деталь, вкладывают необходимые ресурсы в эффективное применение описанных в стандарте практик. При таком подходе становится возможным даже компенсировать недостатки не самого идеального стандарта, усиливая тем самым компанию изнутри, а не только делая более привлекательным ее внешний имидж.

Но неужели только эти преимущества заставляют организации по всему миру разрабатывать и внедрять стандарты практически во всех отраслях человеческой деятельности?

На состоявшейся осенью прошлого года в России 3-й Международной конференции по безопасности информации и сетей — Security of Information and Networks (SIN 2010) — был поднят вопрос о пользе стандартов в области информационной безопасности, таких как ISO 27001. Было высказано предположение о том, что количество создаваемых в компании документов и записей, предусмотренных данным стандартом, неоправданно велико и накладывает на сотрудников излишнюю работу по их оформлению. Ответ, прозвучавший в ходе обсуждения, и отражающий мнение многих западных экспертов, является, пожалуй, и ответом на поставленный нами выше вопрос.

«Основная польза от внедрения любого стандарта состоит не в тех процессах, документах и записях, которые рождаются в его результате, а в том, что сотрудники, будучи вовлеченными в процесс внедрения, задумываются о своей компании, предметной области внедрения и смежных областях». Таким образом, сотрудники получают новые знания и систематизируют уже имеющиеся. Разрабатывая и описывая бизнес-процессы, составляя классификаторы, справочники и другие материалы, требуемые стандартом, они часто впервые обращают внимание на факты и явления, которых не замечали ранее, решая повседневные задачи. Часто польза от таких «тренировок» бывает не меньше, чем от самого внедрения стандарта.

Вот первый пример. В начале 2000-ных годов одна петербургская организация решила провести сертификацию своего центрального отделения по требованиям стандарта менеджмента качества ISO 9001. Руководство молодой и быстро развивающейся компании рассудило просто — ответственной за внедрение стандарта и сертификацию назначили сотрудницу, совмещавшую должности помощника директора и офис-менеджера. Ей на помощь в роли консультанта была призвана сторонняя организация. Девушка вместе с консультантами приступила к изучению и упорядочиванию бизнес-процессов, разработке регламентов, инструкций, журналов. Поочередно проводя интервью с руководителями и исполнителями всех служб, она хорошо изучила их работу. В результате, помимо внедренных процессов менеджмента качества и соответствующего сертификата, компания получила сотрудника, который на протяжении следующих восьми лет являлся наиболее полным носителем знаний о компании и помогал ей развиваться, являясь руководителем службы качества.

Несколько лет назад эта компания повторила историю своего успеха. На этот раз ее героем стал руководитель проекта по внедрению ERP-системы. Как и положено для систем этого класса, в ней должны были быть автоматизированы все основные бизнес-процессы организации. Задача была успешно выполнена, а молодой человек за три года прошел путь от аналитика бизнес-процессов до операционного директора. За это время он успел изучить работу лучших представителей бизнес-процессов компании, и теперь занимается распространением их опыта на все региональные подразделения.

Ярким примером дополнительного преимущества от внедрения стандартов в области информационной безопасности является информация о собственной инфраструктуре, получаемая компаниями в ходе аудита при внедрении стандартов PCI DSS и СТО БР ИББС-1.0. В начале работы сотрудники часто скептически относятся к проводимым аудитором интервью, воспринимая их как формальные мероприятия. Однако в ходе общения, отвечая на вопросы въедливого аудитора, они нередко открывают для себя что-то новое о своих же системах.

Как поддерживать компанию в тонусе и делать новые шаги в развитии?

Можно отметить, что повышение эффективности сотрудников компании происходит в период внедрения стандарта и действует некоторое время после его завершения, пока сохраняется натренированность участников проекта. Именно поэтому следует придерживаться принципа непрерывного обновления, заложенного во многие современные стандарты, такие как ISO 9001, ISO 27001 и СТО БР ИББС-1.0. Циклическое повторение этапов планирования, внедрения, мониторинга и совершенствования различных аспектов деятельности компании будет поддерживать сотрудников в тонусе и позволит им по-новому взглянуть на свою работу. Для совершения же более значимых прорывов, следует инициировать новые внедрения, открывающие сотрудникам мир с новой стороны.

0

Добавить комментарий