Когда ИТ-компании нужен и не нужен сертификат ISO: примеры

В отличие от сферы производства ИТ-компании только в последние несколько лет стали проявлять повышенный интерес к получению международных и национальных сертификатов, которые оценивают уровень менеджмента, состояние информационной безопасности. Управляющий консалтинговой компанией «Изи Штандарт» Андрей Цыган отмечает, что это связано с развитием сферы в странах постсоветского пространства, тесными связями с международными заказчиками.

Эксперт рассказывает, на каких этапах работы айтишникам может понадобиться сертификат.

— Когда мы слышим слово «сертификат», то чаще всего мы представляем себе производство. Сертификацию должна проходить продукция, чтобы доказать свое качество и безопасность.

Сертификация является инструментом регулирования рынка. Традиционно есть высокорегулируемые отрасли — строительство, производство медицинских изделий, фармацевтика, пищевая промышленная, производство оборудования, а есть менее. Долгое время ИТ-отрасль оставалась вне регулирования — ни партнеры, ни госорганы на постсоветском пространстве явно не требовали специальных документов, регулирующих качество услуг.

Но за последний год ситуаций изменилась — появляется все больше интереса к сертификации со стороны компаний из сферы ИТ. Значит, отрасль сильно выросла — это уже не только аутсорс, когда важны цена и сроки, а уже долгосрочное партнерство с международными компаниями. И эти компании проверяют своего партнера, просят доказать качество его работы.

Когда сертификация может понадобиться

В основном, речь идет об ISO. Система этой сертификации добровольная. Но в современном мире зачастую такие сертификаты все равно должны быть у бизнесов, которые стремятся работать на международном рынке

Участие в тендерах. Если просмотреть условия участия ИT-компаний в аукционных закупках, можно найти такое требование, как внедрение сертифицированной системы менеджмента качества ISO 9001. Несколько особенностей:

• Вытекающая из этого пункта частая проблема — получение сертификата в короткие сроки. Например, компания проявила желание принять участие в тендере, но сертификата у нее нет, а срок подачи заявлений на тендер строго ограничен
• Иногда в тендерах прописано такое требование, как наличие кроме международного сертификата ISO 9001 еще и национального сертификата (например, в Беларуси — это СТБ 9001).

Требования международных партнеров к системе менеджмента информационной безопасности (СМИБ). Международные партнеры просят сертификат о соблюдении компанией требований по защите своей информации, данных партнера и конечного потребителя — например, ISO 27001.

Если у вашей компании большие цели по работе с международными партнерами, вам рано или поздно придется пройти сертификацию по стандарту ISO 27001. Для внедрения стандарта и получения сертификата зачастую нужно приобрести необходимое оборудование по защите данных.

Отмечу также, что с 25 мая этого года вступает в силу регламент Европейского Союза GDPR «Общие положения о защите данных» (действует в 28 странах ЕС). Требования регламента относятся к любой компании в мире, которая обрабатывает и хранит персональные данные пользователей, проживающих в ЕС. Требования к защите информации усилились. Например, за удавшуюся хакерскую атаку на компанию ей придется платить серьезный штраф. Будет считаться, что бизнес проявил несоответствующую заботу о конфиденциальности.

⇒ Читайте также: Штраф до € 20 млн. Как аукнется компаниям нарушение требований о защите персональных данных в ЕС

Требования крупных вендоров (Microsoft, Oracle, SAP). Мировые компании стали обращать все больше внимания на противодействие коррупции при работе с партнерами во всех глобальных цепочках. В 2016 был опубликован ISO 37001. Это первый международный стандарт, который борется с этой проблемой.

Например, Microsoft сегодня не требует, но рекомендует своим партнерам и крупным организациям принять этот стандарт. Есть вероятность, что рекомендации в скором времени перейдут в требования, которым необходимо будет соответствовать для работы с корпорацией.

Вступление в ПВТ. Сегодня все больше ИТ-компаний стремятся стать резидентами белорусского ПВТ, участниками ассоциаций в других странах.

Международный опыт показывает, что часто при приеме в различные ассоциации и Hi-Tech парки сертификат по стандарту ISO 9001 становится важным. Одним из условий для того, чтобы стать резидентом, является составление и защита бизнес-плана проекта. Стандарт как раз направлен на то, чтобы в управлении компанией применялся процессный подход.

Проведение IPO. Отмечу также, что если компания собирается выходить на биржу, то стоит заранее позаботиться о сертификации ISO 9001 и ISO 27001. К моменту выхода вы должны не только получить сертификат, но и показать, что система работает.

Когда сертификация может не понадобиться

1. Если вы не участвуете в тендерах, то чаще всего при прямом заказе от частной компании внутри страны или от партнеров на постсовестком пространстве можно обойтись без сертификата.

2. Если компания молодая и сейчас не хочет инвестировать в сертификацию. К фазе сертификации можно подойти, когда будет виден серьезный заказчик с требованиями.

3. Если проект достаточно длинный, то остается поле для переговоров. Можно договориться с заказчиком, который просит сертификат, что прямо сейчас вы начнете процесс (покажете в качестве доказательства договор с компанией, письмо-гарант) и обязуетесь к моменту сдачи проекта пройти сертификацию.

Сроки сертификации

Полный цикл сертификации по стандарту ISO 9001 будет занимать от 20 до 50 дней.

Сертификация по стандартам ISO 27001 (система СМИБ) и ISO 37001 (антикоррупционный менеджмент) требует подготовки компании, которая длится от 4 до 8 месяцев.