В. Андрианов - Обеспечение информационной безопасности бизнеса
2.1.3. Модели непрерывного совершенствования и международные стандарты
Указанные особенности и условия внедрения и применения модели Деминга уместны для любого вида менеджмента в организации (управленческого, производственного, обслуживающего, ресурсного и т. п.). Модель определяет основные этапы, шаги, а их наполнение — ту задачу, которую планируется решить. Все большее число принимаемых международных стандартов менеджмента для различных сфер их применения преследуют фактически одну главную цель — дать базовый ориентир содержательного наполнения работ модели Деминга в терминах и содержании решаемой задачи.
На рис. 19 и 20 представлены примеры структуры эталонной модели менеджмента применительно к эталонной модели менеджмент риска организации [10] и системы менеджмента информационной безопасности [11], обеспечивающие «настройку» модели Деминга на соответствующие сферы применения.
Структура менеджмента риска, представленная на рис. 19, предназначена для содействия организации в эффективном осуществлении менеджмент риска через реализацию соответствующего процесса менеджмента риска на различных уровнях и в рамках определенного контекста организации. Данная структура должна обеспечивать условия того, что полученная в результате работы из этих процессов информация о риске будет адекватным образом доведена до сведения и использована в качестве основы для принятия необходимых решений и поддержке отчетности на соответствующих уровнях корпоративного управления и операционной деятельности в организации.
Структура менеджмента риска, представленная на рис. 20, предназначена для содействия организации в установлении и поддержке системы менеджмента информационной безопасности организации, отвечающей лучшим международным практикам. Далее будут достаточно подробно отражены шаги внедрения стандартизированных систем менеджмента информационной безопасности
Только приведенными примерами сфера применения моделей непрерывного совершенствования в структуре требований международных стандартов не ограничивается. К настоящему времени принято множество комплексов стандартов на системы менеджмента в различных сферах деятельности (от безопасности продуктов питания до управления цепочками поставок продукции), а также применительно к общим и отдельным задачам, реализуемым в рамках организаций.
Не вдаваясь в детали (с ними можно ознакомиться, взяв любой стандарт на ту или иную систему менеджмента), каждый из них (подобно приведенным на рис. 19 и 20) включает необходимые параметры настойки модели Деминга на соответствующие виды деятельности в терминах и семантике сферы применения. В целом же общий эталонный подход модели непрерывного совершенствования отражает рис. 21.
Каждый из стандартов на системы менеджмента включает положения, де-факто ориентирующие на реализацию модели непрерывного совершенствования. Далее рассмотрим, как это может работать в рамках организации.
2.2. Стандартизированные модели менеджмента. Аспекты контроля и совершенствования. Интеграция
2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления
На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:
— менеджмента информационной безопасности организаций (ISO / IEC 27001);
— менеджмента качества (ГОСТ Р ИСО 9000);
— менеджмента окружающей среды (ГОСТ Р ИСО 14000).
Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.
Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.
Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.
В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.
Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.
Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.
Например, в ISO/IEC 27001 [11]:
«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:
а) установления политики системы менеджмента информационной безопасности;
б) обеспечения установления целей системы менеджмента информационной безопасности и планов;
