Обеспечение информационной безопасности бизнеса - [35]
Среди аргументов против применения стандартов ИСО серии 9000 Дж. Седдон приводит и абсолютно ожидаемый, касающийся требований документирования СМК. Он отмечает, что из-за обилия отчетных регистрационных форм персонал компаний неявно подменяет ими содержание своего труда, так как контроль идет по формализованным свидетельствам о выполненной деятельности на том или ином участке работ. Ту же ситуацию мы видим и в российских компаниях, внедряющих подобные стандарты, когда их применение не ориентировано на совершенствование продукта/результата деятельности, когда решения о применении стандартов менеджмента не сопровождаются обсуждением и закреплением о том, что и как планируется улучшить в деятельности организации, относительно имеющейся в настоящее время ситуации.
2.1.3. Модели непрерывного совершенствования и международные стандарты
Указанные особенности и условия внедрения и применения модели Деминга уместны для любого вида менеджмента в организации (управленческого, производственного, обслуживающего, ресурсного и т. п.). Модель определяет основные этапы, шаги, а их наполнение — ту задачу, которую планируется решить. Все большее число принимаемых международных стандартов менеджмента для различных сфер их применения преследуют фактически одну главную цель — дать базовый ориентир содержательного наполнения работ модели Деминга в терминах и содержании решаемой задачи.
На рис. 19 и 20 представлены примеры структуры эталонной модели менеджмента применительно к эталонной модели менеджмент риска организации [10] и системы менеджмента информационной безопасности [11], обеспечивающие «настройку» модели Деминга на соответствующие сферы применения.
Структура менеджмента риска, представленная на рис. 19, предназначена для содействия организации в эффективном осуществлении менеджмент риска через реализацию соответствующего процесса менеджмента риска на различных уровнях и в рамках определенного контекста организации. Данная структура должна обеспечивать условия того, что полученная в результате работы из этих процессов информация о риске будет адекватным образом доведена до сведения и использована в качестве основы для принятия необходимых решений и поддержке отчетности на соответствующих уровнях корпоративного управления и операционной деятельности в организации.
Структура менеджмента риска, представленная на рис. 20, предназначена для содействия организации в установлении и поддержке системы менеджмента информационной безопасности организации, отвечающей лучшим международным практикам. Далее будут достаточно подробно отражены шаги внедрения стандартизированных систем менеджмента информационной безопасности
Только приведенными примерами сфера применения моделей непрерывного совершенствования в структуре требований международных стандартов не ограничивается. К настоящему времени принято множество комплексов стандартов на системы менеджмента в различных сферах деятельности (от безопасности продуктов питания до управления цепочками поставок продукции), а также применительно к общим и отдельным задачам, реализуемым в рамках организаций.
Не вдаваясь в детали (с ними можно ознакомиться, взяв любой стандарт на ту или иную систему менеджмента), каждый из них (подобно приведенным на рис. 19 и 20) включает необходимые параметры настойки модели Деминга на соответствующие виды деятельности в терминах и семантике сферы применения. В целом же общий эталонный подход модели непрерывного совершенствования отражает рис. 21.
Каждый из стандартов на системы менеджмента включает положения, де-факто ориентирующие на реализацию модели непрерывного совершенствования. Далее рассмотрим, как это может работать в рамках организации.
2.2. Стандартизированные модели менеджмента. Аспекты контроля и совершенствования. Интеграция
2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления
На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:
— менеджмента информационной безопасности организаций (ISO / IEC 27001);
— менеджмента качества (ГОСТ Р ИСО 9000);
— менеджмента окружающей среды (ГОСТ Р ИСО 14000).
Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.
Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.
