Отказ от ISO-сертификации представляет серьезные риски для предприятий, которых лучше избегать. Из-за пандемии процедуру сертификации можно пройти удаленно, пишет на портале CopmputerWeekly директор технической службы консалтинговой компании в сфере ИБ Bridewell Consulting Скот Николсон.
Поскольку в настоящее время аудит ISO из-за пандемии Covid-19 приостановлен, возникли опасения по поводу дальнейшей работоспособности тысяч сертификатов, срок действия которых потенциально истекает. Некоторые компании, которых это касается, могут не обращать внимания на то, что сроки эксплуатации их сертификатов подходят к концу, считая, что они не окажут критически важного значения для их бизнеса. Однако реальность такова, что сертификаты ISO часто являются важнейшими элементами договорных обязательств. Во многих случаях они являются причиной, по которой многие клиенты или партнеры решили вести дела с конкретным предприятием.
Возьмем, например, ISO 27001. Сертификация по этому стандарту дает другой компании гарантию, что она взаимодействует с партнером, который располагает надежной системой управления безопасностью и прошел независимую оценку на соответствие международным стандартам. В случае отказа от продления сертификации контракты с клиентами и партнерами могут быть разорваны, что может поставить под удар репутацию и отношения с ними. Допуская истечение срока действия сертификации, предприятие рискует не только уже налаженными отношениями, но и может упустить новые возможности для бизнеса от привлечения потенциальных клиентов, которые хотят с ним работать при условии, что оно придерживается процедур сертификации.
Помимо привлечения новых и удержания старых клиентов, сертификация приносит и другие ощутимые преимущества. В случае ISO 27001 сертифицированные предприятия выигрывают от более строгих внутреннего управления и безопасности. Если срок действия этого сертификата истечет, уровень активности по управлению безопасностью может снизиться. Прекращение срока действия сертификатов сопряжено с множеством рисков, и в нынешних условиях предприятиям необходимо задаться вопросом, действительно ли стоит на них идти. Но, несмотря на опасения по поводу того, что приостановка аудита не позволит пройти сертификацию, существуют альтернативные варианты.
Во время пандемии многие компании были вынуждены перейти на удаленную работу, и органы по сертификации применяют к проведению аудита тот же подход, который осуществляется службой аккредитации Великобритании (UKAS). В течение последних нескольких месяцев клиенты успешно проходили сертификацию ISO 27001 с помощью дистанционного и надзорного аудитов, организованных органами по сертификации. В то же время другие аудиторские мероприятия, которые требуют личного взаимодействия, были перенесены, что позволяет компаниям не лишиться сертификации.
Если предприятие решит пойти по пути удаленного аудита, то чтобы добиться успеха ему необходимо тщательно обдумать свой подход. Обычно во время выездного аудита аудитор сам выбирает, с кем он хочет взаимодействовать и кто должен проводить аудит по линии бизнеса. Чтобы гарантировать, что контактным лицом аудитора во время удаленного аудита станут наиболее подходящие люди, предприятию нужно правильно выбрать оцениваемые области и круг лиц, ответственных за каждую из этих областей.
Контактные лица должны быть готовы к тому, что на протяжении всей оценки им придется поддерживать связь с аудитором, обеспечивая соответствующий доступ к материалами, которые требуются для ее успешного проведения. Также не забудьте как можно четче подчеркнуть политику, процессы, инициативы по повышению осведомленности и квалификации и то, что они собой представляют. Подготовка к аудиту по ISO-сертификации может отнять много времени и средств, что может расходиться с желанием бизнеса сократить расходы там, где это возможно с учетом бизнес-проблем, возникших в результате пандемии. Имейте в виду, что приостановка сертификации может показаться заманчивой идеей, однако обладание ею действительно перевешивает риск отказа от нее.
Пандемия ускорила цифровую трансформацию практически во всех отраслях, и предприятию стоит взвесить все риски, подумав о том, как отсутствие сертификации может отразиться на повышенном внимании к управлению системами, процессами и безопасностью. Теми же аргументами нужно руководствоваться, если оно еще не сертифицировано. Сертификация может иметь решающее значение для завоевания и удержания клиентов — сейчас это важнее, чем когда-либо прежде. Чтобы бизнес продолжал эффективно работать в новых условиях, компаниям необходимо вести прозрачный диалог с соответствующим органом по сертификации, что позволит справиться с проблемами сертификации и аудита, возникшими в результате Covid-19.
Чтобы пройти сертификацию, часто необходимо действовать быстро, но учитывая, что многие сотрудники в настоящее время работают удаленно, это может усложнить задачу. Взаимодействие с опытными консультантами, которые могут предоставить экспертную поддержку в получении соответствующей сертификации, повышает шансы предприятия на успех. Осознание того, что преимущества сертификации ISO перевешивают риск работы без нее, является необходимостью, поскольку компаниям приходится адаптироваться к условиям новой нормальности.