სანამ კედელზე, ჩარჩოში ჩასმული სერთიფიკატით მოვიხიბლებით, გადავამოწმოთ ვინ გასცა სერთიფიკატი. ვინაიდან აკრედიტაცია სავალდებულო არ არის, დიდი მნიშვნელობა ენიჭება მასერთიფიცირებლის რეპუტაციას და გამოცდილებას. ISO27001 – ის სერთიფიცირება მიგვანიშნებს, რომ ორგანიზაციას შეუძლია ინფორმაციული უსაფრთხოების მართვა, რაც თავისმხრივ არ ნიშნავს, იმას რომ ორგანიზაციაში ინფორმაციული სისტემები მაღალ დონეზეა დაცული. უდაოა ის ფაქტი, რომ ISO 27001 სასარგებლოა ორგანიზაციისთვის, მაგრამ აუცილებელია სწორი მოლოდინების შექმნა და მასერთიფიცირებლის სწორად შერჩევა, წინააღმდეგ შემთხვევაში სერთიფიკატი უბრალოდ ქაღლდია და უსაფრთხოების ყალბი შეგრძნება
სერტიფიცირების ორგანოს შერჩევის კრიტიკული მომენტი მაშინ დგება, როდესაც კომპანია გადაწყვეტს ISO27001 (ან ნებისმიერ სხვა ISO) სტანდარტთან შესაბამისობის დამადასტურებელი სერთიფიკატი მიიღოს. სერტიფიცირების ორგანოს შერჩევა ერთ-ერთი მნიშვნელოვანი მომენტია. არსებობს მთელი რიგი ფაქტორები, რომლებიც სწორი გადაწყვეტილების მიღებაში გვეხმარება.
სერტიფიცირების და აკრედიტაციის ორგანოები
მარტივად რომ ვთქვათ, სერტიფიცირების ორგანო ესაა დამოუკიდებელი აუდიტორული კომპანია, რომელიც შესაბამისი დონის აუდიტის ჩატარების შემდეგ სერტიფიკატის გაცემით ადასტურებს, რომ თქვენი კომპანია ISO სტანდარტის მოთხოვნებს აკმაყოფილებს. დამოუკიდებელი ნიშნავს, რომ აუდიტორულ კომპანიას ინფორმაციული უსაფრთხოების მენეჯმენტის სისტემის იმპლემენტაციის არცერთ ეტაპზე მონაწილეობა არ მიუღია. მაგალითად, თუ თქვენ დაიქირავებთ „ა“ კომპანიას ISO27001 სტანდარტის იმპლემენტაციისთვის, თქვენ დაგჭირდებათ სრულიად სხვა „ბ“ კომპანია რომელიც ISO27001-ის მოთხოვნებთან შესაბამისობის დამადასტურებელ სერთიფიკატს მოგცემთ.
სერტიფიცირების ორგანოს არჩევა, უნივერსიტეტის შერჩევას ჰგავს, ამიტომ სიმარტივისთვის ჩვენ სწორედ უნივერსიტეტის მაგალითს გამოვიყენებთ.
ათასობით განსხვავებული პროფილის, რეპუტაციისა და მოთხოვნების უნივერსიტეტი არსებობს – ზოგი ძვირია, ზოგიც იაფი. თქვენ ყველა ვარიანტში იღებთ თქვენი ხარისხის დამადასტურებელ სერთიფიკატს, ამიტომ სწორი უნივერსიტეტის შერჩევა თქვენს მოთხოვნებზეა დამოკიდებული და არა „საუკეთესო უნივერსიტეტების სია“-ზე. თუმცა არც იმის დავიწყება შეიძლება, რომ უნივერსიტეტის რეპუტაციას გაცემულ სერტიფიკატზე გარკვეული გავლენა გააჩნია.
თეორიულად, ნებისმიერს შეუძლია შექმნას რაიმე ორგანიზაცია და მაგალითად, „კომპიუტერული უსაფრთხოების სწავლების საერთაშორისო ცენტრი“ დაარქვას, ან სულაც უნივერსიტეტი. ასეა სერტიფიცირების ორგანოს შემთხვევაშიც. თქვენ შეიძლება მიიღოთ სერთიფიკატი, რომელსაც არავითარი რეალური ღირებულება არ გააჩნია. მაშ როგორ შევარჩიოთ სერტიფიცირების ორგანო სწორად?
საერთაშორისო თუ ადგილობრივი საზოგადოების მიერ სერთიფიკატის ლეგიტიმურად ცნობისთვის საჭიროა, რომ უნივერსიტეტი სპეციალურად დადგენილ მოთხოვნებს აკმაყოფილებდეს, აკრედიტებული იყოს და რეგულარულად მოწმდებოდეს. აკრედიტაციას როგორც წესი, სახელმწიფო აკრედიტაციის ორგანოები ახორციელებენ. სწორედ აკრედიტაციის მეშვეობით დასტურდება, რომ უნივერსიტეტში სამართლიანი შეფასების კრიტერიუმები არსებობს და სტუდენტისთვის მიცემული ხარისხი მისი ცოდნის შესაბამისია.
უნივერსიტეტების მსგავსად, ISO27001-ის მასერთიფიცირებელი ორგანოებიც შეიძლება იყვნენ აკრედიტებულნი, ან არ იყვნენ. ამ შემთხვევაში, აკრედიტაცია ადასტურებს, რომ კონკრეტული კომპანია შესაბამისი დონისა და ხარისხის აუდიტის ჩატარების გარეშე არ გასცემს ISO27001-თან შესაბამისობის სერთიფიკატს, ჩატარებული აუდიტი სტანდარტის ყველა ნაწილს მოიცავს და აუდიტს კომპეტენტური პირები ატარებენ. როგორც წესი, ქვეყანაში ათეულობით ან სულაც ასეულობით სერტიფიცირების ორგანოა, მაგრამ მხოლოდ ერთი აკრედიტაციის ცენტრი.
აკრედიტაციის საერთაშორისო ფორუმი (IAF) აწარმოებს აკრედიტაციის ორგანოების აღრიცხვას მთელი მსოფლიოს მასშტაბით. კარგად ცნობილი აკრედიტაციის ორგანოებია:
- ANAB (ANSI-ASQ National Accreditation Board)
- UKAS: United Kingdom Accreditation Service
- JAB: Japan Accreditation Board
- DAkkS: German Accreditation
სამწუხაროდ, აკრედიტაცია სავალდებულო არ არის, ამიტომ არსებობენ არა აკრედიტებული სერტიფიცირების ორგანოები. ამის საპირისპიროდ, არსებობენ ორი ან მეტი აკრედიტაციის ორგანოს მიერ აკრედიტებული სერტიფიცირების ორგანოები. ეს როგორც წესი, ბაზარზე შესაბამისი რეპუტაციის მიღებას ემსახურება. მაგალითად, თუ სერტიფიცირების ორგანოს სურს დიდი ბრიტანეთის ბაზარზე დამკვიდრება, გაივლის UKAS-ის აკრედიტაციას და მოიპოვებს ნდობას დიდი ბრიტანეთის კომპანიებში.
ვინაიდან აკრედიტაცია სავალდებულო არ არის, აკრედიტებული სერტიფიცირების ორგანოს არჩევა ნიშნავს, რომ თქვენი ორგანიზაციის უსაფრთხოების დონის შესაფასებლად ირჩევთ იმ კომპანიას, რომელმაც გადაწყვიტა დაგიმტკიცოთ რომ ის ამ საქმეში გამოცდილი, კომპეტენტური და მიუკერძოებელია.
განსხვავება აკრედიტებულ და არააკრედიტებულ სერტიფიცირების ორგანოებს შორის
პირველი და ყველაზე მნიშვნელოვანი, აკრედიტაცია იცავს კომპანიებს ინტერესთა კონფლიქტისგან. აკრედიტებული სერტიფიცირების ორგანო არცერთ შემთხვევაში არ ჩაატარებს უსაფრთხოების აუდიტს, თუ ინფორმაციული უსაფრთხოების მენეჯმენტის სისტემის იმპლემენტაციაში რაიმე წვლილი მიუძღვის. თუ კომპანია გთავაზობთ, რომ ამ ორივე ფუნქციას შეითავსებს, დარწმუნებული იყავით რომ ის აკრედიტებული არ არის და დიდი ალბათობით, ვერც მიუკერძოებელი იქნება.
მეორე, აკრედიტაცია სერტიფიცირების ორგანოს უკრძალავს ანაზღაურება მისცეს კლიენტის კონსულტანტს, ე.ი. იმ კომპანიას, რომელიც ინფორმაციული უსაფრთხოების მართვის სისტემის იმპლემენტაციას ახდენს. ეს ვალდებულება კიდევ უფრო ამაღლებს მიუკერძოებლობის დონეს და მაქსიმალურ ობიექტურობას უზრუნველყოფს.
ბოლოს, კიდევ ერთი მნიშვნელოვანი განსხვავება ეს არის აუდიტის რეპორტის ხარისხი. აუდიტის მიზანი ხომ ისაა, რომ ინფორმაციული უსაფრთხოების მართვის სისტემაში გასაუმჯობესებელი სფეროები აღმოაჩინოს და შესაბამისი კომპეტენტური რეკომენდაციები გასცეს. კარგი აუდიტორული რეპორტი მხოლოდ სტანდარტთან შეუსაბამობებს კი არ გთავაზობთ, არამედ საშუალებას გაძლევთ მეტი გაიგოთ და ისწავლოთ თქვენი ინფორმაციული უსაფრთხოების მართვის სისტემების სუსტი მხარეებისა და შესაძლო გაუმჯობესებების შესახებ.
სერტიფიცირების ორგანოს შერჩევის კრიტერიუმები
სერტიფიცირების ორგანოს აკრედიტებულობა, რომელიც ხარისხს ადასტურებს შერჩევის მხოლოდ ერთი კრიტერიუმია. მეორეა, შესრულებული სამუშაოს ხარისხისა და ანაზღაურების თანაფარდობა. ასევე გასათვალისწინებელია შერჩვის შემდეგი კრიტერიუმები:
რეპუტაცია – უმჯობესია კომპანიამ შეარჩიოს საუკეთესო რეპუტაციის მქონე სერტიფიცირების ორგანო, რადგან ეს მის პრესტიჟსაც გაუსვამს ხაზს.
სპეციალიზაცია – შერჩევის დროს გაითვალისწინეთ სერტიფიცირების ორგანოს ძირითადი მიმართულებები. მაგალითად, თუ თქვენ ხართ ბანკი და შეარჩევთ იმ სერტიფიცირების ორგანოს სამრეწველო სფეროს სერტიფიცირებითაა განთქმული, დიდი დრო დაგეკარგებათ ბანკის სპეციფიკის ახსნაში.
გამოცდილება – აუდიტორის გამოცდილება არსებითი კომპონენტია. კარგი აუდიტორის გარეშე დიდი შანსია რაიმე მნიშვნელოვანი გამოგრჩეთ მხედველობიდან.
ერთიანი აუდიტი – თუ თქვენ ISO27001-ით იწყებთ, მაგრამ ასევე გეგმავთ სხვა სტანდარტების, მაგალითად – ISO 22301, ISO 9001-ის დანერგვას, უმჯობესი იქნება ჩაატაროთ ერთიანი აუდიტი. გარდა იმისა რომ ამით დროს დაზოგავთ, ფინანსებიც დაგეზოგებათ.
მოქნილობა – თუ სერტიფიცირების ორგანოს აუდიტორის ჩამოყვანა სხვა კონტინენტიდან უწევს და თქვენ თარიღის შეცვლის საჭიროების წინაშე დადექით, გარკვეული წინააღმდეგობები შეგექმნებათ.
ენა – მიუხედავად იმისა, რომ სერტიფიცირების ორგანომ ენის ბარიერის დასაძლევად შესაძლოა თარჯიმანიც გამოგზავნოს, ბევრად მარტივი იქნება თუ აუდიტორმა თქვენი ენა იცის. ეს მას თქვენი დოკუმენტების იოლად გაგებაშიც დაეხმარება და უკეთესი კავშირის დამყარებასაც შეუწყობს ხელს.
ბოლოს ისიც გვინდა შევნიშნოთ, რომ ბევრი კომპანია ახდენს ISO27001-ის მოთხოვნების შესაბამისი დოკუმენტაციის შექმნასა და ამ სტანდარტის რეალობაში დანერგვას, მაგრამ ბოლო მომენტში სერტიფიცირებაზე უარს ამბობს იმ მიზეზით, რომ ეს პროცესი გარკვეული თანხა ღირს. ამ გადაწყვეტილების რეალური მიზეზი კი ისაა, რომ კომპანიის ინფორმაციული უსაფრთხოების დონე სინამდვილეში არ შეესაბამება ISO27001-ის მოთხოვნებს. ასეთი კომპანია იმ სტუდენტს ჰგავს, რომელიც მთელი წელი ემზადებოდა საბოლოო გამოცდის ჩასაბარებლად, მაგრამ ბოლოს გადაწყვიტა, რომ მისი კომპეტენციის დადასტურებას 2 საათიანი გამოცდა სულაც არ სჭირდება.