Зачем нужен сертификат менеджмента качества?

Сертификатом менеджмента качества называют официальный документ оценки соответствия требованиям стандартов серии ИСО 9001 созданной на предприятии Системы Менеджмента Качества (СМК). Иначе такой сертификат имеет название сертификат ИСО 9001 или сертификат ISO 9001. Чаще всего при написании «сертификат ИСО 9001» имеется в виду документ подтверждения исполнения российских стандартов данной серии. В то время как «сертификат ISO 9001» часто обозначает, что СМК прошла сертификацию и подтвердила свое соответствие международным требованиям. Попробуем разобраться, зачем нужен тот или иной сертификат менеджмента качества. Т.к. ответить на вопрос зачем он нужен, можно следующим образом: у организации или предприятия возникла необходимость подтвердить, что функционирующая СМК отвечает критериям и требованиям межнациональных или адаптированных к международным российских стандартов указанной серии. Сертификат ISO 9001 требуется такому российскому предприятию, у которого проявилась та или иная ситуация из перечисленных ниже:
планируется выход продукции предприятия на мировой рынок или на его отдельные сегменты;
требуется повышение стоимости компании на мировом фондовом рынке;
возникла необходимость привлечения зарубежных инвестиций для дальнейшего развития предприятия;
планируется участие в тендере государственных, крупных муниципальных или оборонных закупок;
планируется участие в конкурсе и дальнейшем осуществлении поставок продукции для крупных корпораций, особенно тех, которые работают на международном рынке и в некоторых других условиях.
Дело в том, что в наши дни успешное функционирование предприятия в международной сфере предусматривает наличие сертификата, подтверждающего существование у него развитой и саморазвивающейся системы менеджмента качества. Данный факт рассматривается как подтверждение стабильности, надежности и долгосрочных намерений сотрудничества потенциального партнера. Без сертификата менеджмента качества не может быть работы с зарубежными покупателями и клиентами. Сертификат ISO 9001 можно оформить в органе сертификации, который имеет нотификацию в одном из авторитетных международных бюро, осуществляющих работы по подтверждению соответствия требованиям стандартов ISO 9001. В настоящее время и на территории РФ имеется достаточное количество таких представительств.

Сертификация ИСО 9001 стоимость в настоящее время оформляют не только крупные производители российской продукции, но также фирмы и организации, оказывающие услуги. На российском рынке также является наличие сертификата ИСО 9001 правилом хорошего тона в бизнес среде. В некоторых случаях сертификат ИСО 9001 становится обязательным и для российских предприятий, функционирующих на национальном рынке товаров или труда. Это могут быть такие ситуации:
предприятие намерено поставлять товар для крупных торговых сетей, где не представлена продукция, выпущенная на предприятиях при отсутствии сертификата менеджмента качества;
планируется участие в конкурсе и дальнейшем осуществлении поставок продукции для крупных корпораций;
продукция, выпускаемая на предприятии, является объектом подтверждения соответствия требованиям Технических регламентов (для того, чтобы серийный производитель мог оформить сертификат менеджмента качества на значительный срок его действия, необходимо наличие сертификата ИСО 9001, подтверждающего стабильность качества производимой продукции);
планируется участие в тендере государственных, крупных муниципальных или оборонных закупок;
существует у покупателя или партнера требование наличия сертификата ИСО 9001;
для оформления лицензии для ведения вида деятельности, где в качестве обязательного условия присутствует наличие сертификата менеджмента качества;
для вступления в саморегулирующие организации (например, строителей, аудиторов, проектировщиков и прочих направлений деятельности), где обязательным условием вступления является наличие сертификата ИСО 9001 или сертификата ISO 9001;
для привлечения инвесторов – российских фирм и корпораций для развития своего предприятия;
для проведения банковских операций, возможно, выдачи кредита или займа, банк требует наличие сертификата менеджмента качества и прочие ситуации.

Что такое ISO 27001?

ISO 27001 ― это международный стандарт, разработанный Международной организацией по стандартизации, который описывает, как управлять информационной безопасностью в компании. Последняя версия этого стандарта была опубликована в 2013 году, и его полное название на сегодня ― «ISO/IEC 27001:2013». Первая версия стандарта, опубликованная в 2005 году, базировалась на Британском стандарте BS 7799-2.

ISO 27001 стандарт может быть внедрён в любой организации: коммерческой или некоммерческой, частной или государственной, маленькой или большой. Он был написан ведущими мировыми экспертами в области информационной безопасности и предлагает методологию для внедрения управления информационной безопасностью на предприятии. Он также позволяет компаниям получить сертификацию, что означает, что независимый орган по сертификации подтвердит, что организация внедрила информационную безопасность в соответствии со стандартом ISO 27001.

Стандарт ISO 27001 сосредоточен на защите конфиденциальности, сохранности и доступности информации в компании. Это реализуется путём выяснения потенциальных проблем с информацией (т.е. оценки рисков), а затем определения необходимых шагов для предотвращения появления таких проблем (т.е. снижения или обработки рисков). Поэтому основная философия ISO 27001 базируется на управлении рисками: выяснить, где находятся риски, а затем систематически обрабатывать их.

Защитные меры (или контроли), которые должны внедряться, обычно выступают в форме политик, процедур и технического внедрения (например, программного обеспечения и оборудования). Однако, в большинстве случаев, компании уже располагают у себя всем оборудованием и программным обеспечением. Однако используют они их небезопасным способом, поэтому большая часть внедрений ISO 27001 будет связана с постановкой организационных правил (т.е. с написанием документов), которые необходимы для предотвращения нарушений в системе безопасности. Поскольку такое внедрение потребует управления множеством политик, процедур, людей, активов и т.д., в ISO 27001 описано, как состыковать вместе все эти элементы в системе менеджмента информационной безопасности.

Поэтому управление информационной безопасностью ― это не только ИТ-безопасность (т.е. фаерволы, антивирус и т.д.). Это также управление процессами, правовая защита, управление персоналом, физическая защита и т.д.

Куда вписать управление информационной безопасностью в рамках компании?

Куда вписать управление информационной безопасностью в рамках компании?
В принципе, информационная безопасность является частью управления общими рисками в компании с областями, которые пересекаются с кибербезопасностью, управлением непрерывностью бизнеса и ИТ-управлением:

Как, на самом деле, выглядит ISO 27001?

ISO/IEC 27001 разбит на 11 разделов плюс приложение А. Разделы с 0 по 3 являются вводными (и не обязательны для внедрения), а разделы с 4 по 10 являются обязательными, то есть все их требования должны быть внедрены в организации, если она хочет соответствовать стандарту. Контроли из приложения А должны быть внедрены, только если они заявлены как применимые в Заявлении о применимости.

Согласно приложению SL Директив ISO/IEC Международной организации по стандартизации, названия разделов в стандарте ISO 27001 аналогичны названиям разделов стандарта ISO 22301:2012, нового стандарта ISO 9001:2015 и других стандартов управления, что позволяет упростить интеграцию этих стандартов.

Раздел 0: Введение – объясняет цель стандарта ISO 27001 и его совместимость с другими стандартами управления.

Раздел 1: Область применения – объясняет, что этот стандарт применим в организации любого типа.

Раздел 2: Нормативные ссылки – относятся к ISO/IEC 27000, как к стандарту, в котором даны термины и определения.

Раздел 3: Термины и определения – опять же относятся к ISO/IEC 27000.

Раздел 4: Особенности организации – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования для понимания внешних и внутренних проблем, заинтересованных сторон и их требований, а также для определения области применения системы менеджмента информационной безопасности.

Раздел 5: Ответственность руководства – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет обязанности топ-менеджмента, определяет роли и обязанности, а также содержание политики информационной безопасности верхнего уровня.

Раздел 6: Планирование – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования для оценки рисков, обработки рисков, заявления о применимости, плана по обработке рисков и постановки задач для информационной безопасности.

Раздел 7: Поддержка – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к доступности ресурсов, компетенций, информированности, коммуникации и контролю документации и записей.

Раздел 8: Функционирование – Этот раздел является частью фазы реализации в цикле «Планирование, реализация, контроль, корректировка» и определяет внедрение оценки и обработки рисков, а также контролей и других процессов, необходимых для достижения целей информационной безопасности.

Раздел 9: Оценка эффективности – Этот раздел является частью фазы проверки в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к мониторингу, измерению, анализу, оценке, внутреннему аудиту и анализу управления.

Раздел 10: Усовершенствование – Этот раздел является частью фазы корректировки в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к несоответствиям, исправлениям, корректирующим действиям и непрерывному совершенствованию.

Приложение A – Это приложение содержит каталог из 114 контролей (защитных мер), размещённых в 14 разделах (разделы с A.5 по A.18).

Источник iso.biz.ua