Безопасность в использовании
Интервью с советником по вопросам ИТ-безопасности компании DACHSER Кристианом фон Рютценом (Christian von Rützen)
Зачем компания DACHSER сертифицировала свои центральные ИТ-службы в соответствии со стандартами ISO 27001?
Прежде всего, мы решили пройти сертификацию ради наших клиентов. Они ведь не только предоставляют нам свою информацию, но и доверяют нам, надеясь, что мы надлежащим образом обращаемся с конфиденциальными сведениями в отношении их бизнеса. Будучи международным поставщиком логистических услуг, мы должны соответствовать требованиям по обеспечению безопасности информации, а также должны уметь подтверждать свою квалификацию в этом вопросе. ISO 27001 является признанным международным стандартом информационной безопасности — здесь все говорят на одном языке. Наличие сертификатов ISO означает следующее. Данные находятся в надежных руках, если это — компания DACHSER.
Стремление к оптимизации и повышению эффективности стало дополнительной причиной для получения сертификата ISO. Несмотря на то, что с момента внедрения системы ИТ-безопасности прошло 10 лет, мы хотим и далее усовершенствовать свои технологии и процессы. Кроме того, наличие сертификата упрощает и нормализует процессы контроля для аудиторов, а также способствует получению таких сертификатов, как AEO, и многих других преимуществ.
Насколько важна информационная безопасность в сфере логистики?
Она важна настолько, что вопрос об обеспечении безопасности в мировых масштабах задается каждым новым клиентом, а существующие заказчики интересуются целым рядом вопросов в контексте аудита. Кроме того, очень важно знать, что большая часть данных о заказах в наше время передается с помощью электронных средств связи, и эта тенденция набирает обороты. Заказчики знают, что их собственные бизнес-процессы зависят от доступности систем компании DACHSER. Это, в частности, относится к компаниям пищевой отрасли, поскольку перевозка скоропортящихся продуктов зачастую требует своевременной отгрузки на регулярной основе. Если транспорт не прибыл, быстро накапливается запас товара, а это приводит к простою лент транспортеров. Или, к примеру, взять ситуацию, когда мы предоставляем склад для поставщика автомобильных комплектующих. Если комплектующие не будут доставлены точно в срок на станцию сборки, это приведет к простою производства.
Этот сертификат распространяется только на центр ИТ-услуг в Кемптене?
Мы обеспечили сертификацию центральных ИТ-служб, центров обработки данных, инфраструктур и областей специализации ИТ. Однако ИТ-направление компании DACHSER имеет высокоцентрализованный характер, что объясняет высокий уровень согласованности и глубину интеграции. ИТ-центр в г. Кемптен занимается разработкой и усовершенствованием систем транспортировки и складского хранения, а также внутренних интернет-приложений для контроля и отслеживания eLogistics, делая их доступными для использования в любой точке мира. В таком контексте сертификация является несомненным преимуществом на международном рынке. Мы не останавливаемся на достигнутом, как делает большинство наших конкурентов, получив сертификацию отдельных децентрализованных секций своих ИТ-отделов (или не получив даже и этого). Для нас централизованная сертификация имеет следующее значение. В виду того, что география деятельности и наших клиентов, и нашей компании охватывает весь мир, клиенты хотят, чтобы компания DACHSER обеспечивала неизменные стандарты безопасности в любой точке мира.
Такая всесторонняя сертификация должна быть комплексной.
Да, процесс аудита проходил в два этапа и занял около шести месяцев. В силу этого обстоятельства мы хотим сделать следующее заявление. Получение сертификата ISO 27001 — это, мягко говоря, не очень быстрая процедура, для которой на некоторое время придется привести себя в порядок. Ежегодную процедуру подтверждения сертификата можно пройти только при наличии последовательных усовершенствований в процессах обеспечения безопасности. Мы поставили перед собой задачу: улучшать работу компании после каждого этапа аттестации, а аудиторы из TÜV SÜD предоставили нам несколько конструктивных рекомендаций.
Сертификат ISO 27001
Сертификат ISO 27001 (текущая версия: ISO/IEC 27001:2005) является всемирно признанным стандартом оценки безопасности ИТ-инфраструктуры компании. Действие сертификата распространяется на все аспекты информационной безопасности: от технических дисциплин в области защиты от вирусов и нежелательных сообщений (спама) и обеспечения безопасности интернет-приложений до проблем обеспечения безопасности во время сбоев и моделирования критических ситуаций, а также до таких организационных аспектов, как регулирование вопросов конфиденциальности с внешними поставщиками ИТ-услуг и консультантами или разработка руководства пользователя в сфере ИТ.
Что касается глубины наполнения, обязательным требованием для получения сертификата является наличие системы предупреждения риска на всех уровнях, для того чтобы можно было в достаточной мере классифицировать все возможные риски и обеспечить контроль над ними. Более того, сертификация ISO 27001 предполагает непрерывный процесс совершенствования. Для того чтобы продлить сертификат, в рамках ежегодной процедуры его подтверждения необходимо привести аргументированные доказательства наличия прогресса в области информационной безопасности.
Сертификат в области ИТ — это всего лишь один компонент из множества сертификатов и оценок, получаемых в различных региональных подразделениях компании DACHSER.