Informacijos saugos tikslas yra ne tik apsaugoti informaciją nuo nutekėjimo, bet ir užtikrinti, kad ji bus apsaugota nuo sugadinimo ar sunaikinimo. Pavyzdys – buhalterinės apskaitos duomenys. Jei šie duomenys būtų prarasti ar iškraipyti, įmonei gresia neigiamos pasekmės. Informacijos saugos valdymo tikslas – padėti įvardinti galimus neigiamus įvykius ir pasiruošti jiems iš anksto, o ne laukti, kol nutiks incidentai. Taip gerokai sumažinama nepataisomų nelaimių tikimybė ir išleidžiama mažiau pinigų.

Informacijos saugos srityje žodis „rizika“ – vienas dažniausių. Tačiau neretai rizika bei rizikos valdymas yra apibrėžiami neteisingai. Taigi kas slypi po žodžių junginiu „rizikos valdymas“?

Rizikos valdymo esmė tokia: įmonei paprastai gresia neribotas grėsmių skaičius, tačiau tuo pat metu ji turi ribotą kiekį resursų, kuriuos galima pasitelkti kovojant su grėsmėmis. Todėl pirmiausia reikia apsisaugoti nuo tų grėsmių, kurios sukeltų daugiausia problemų įmonei.

Rizikos valdymas – tai ir mokslas, ir menas, kuriuo siekiama užtikrinti, kad įmonė nesusidurtų su didesniu kiekiu grėsmių, nei kad ji gali suvaldyti. O šį balansą pasiekti yra žymiai sunkiau, nei atrodo žmonėms, nesusidūrusiems su rizikos valdymo sritimi.

Daugelis įmonių ir organizacijų vis dar neatlieka standartizuotų rizikos vertinimo procedūrų ir neturi efektyvios formalizuotos rizikos valdymo programos. Jei šių dalykų nėra, įmonė negali apsibrėžti savo saugos rizikos lygių, kaštų ir negali tobulinti savo veiklos procesų.

Šiandieną visos bendrovės, nepaisant jų dydžio, susiduria su vis didėjančiais pelningumo, kokybės ir technologijų, prisidedančių prie darnios plėtros, reikalavimais. Vadovui, siekiančiam paversti tokius sunkumus konkurenciniais pranašumais, reikalinga veiksminga vadybos sistema, pritaikyta organizacijos verslo procesams. Tokia sistema gali padėti palaikyti ir nuolat gerinti bendrovės darbo našumą.

Suinteresuotųjų šalių domėjimasis jūsų veikla dar niekada nebuvo toks paplitęs ir intensyvus. Nors verslo verslui rinkoje pripažįstama valdoma rizika, visuomenė ir vartotojai vis dažniau renkasi nulinės rizikos tolerancijos modelį.

Savo ruožtu kontroliuojančios institucijos reaguoja į šį reiškinį griežtesniais ir platesnės apimties reglamentais bei detalesniais atskaitomybės reikalavimais. Todėl bendrovės priverstos prisitaikyti prie naujos situacijos, kai atitiktis teisiniams reikalavimams tampa tik pradine pakopa.

Pažangios bendrovės reaguoja į naująsias sąlygas, išplėsdamos atitikties ribas konkurencinės strategijos kontekste. Tokiomis aplinkybėmis rizikos valdymas tampa kritiniu verslo ir vadybos procesų veiksniu, leidžiantis išlaikyti palankias pozicijas.

Kaip bendrovės valdo iššūkius, su kuriais jos susiduria? Jos kuria procesus ir veiklos standartus, kurie padeda išmatuoti ir įveikti šiuos iššūkius; jos integruoja verslo principus į vadybos sistemas.

Kai kurios bendrovės taiko holistinį (vientisos plėtros) požiūrį, integruodamos kokybės, aplinkos apsaugos, saugos ir sveikatos aspektus į vieną sistemą. Tačiau daugelis bendrovių nesugeba visapusiškai pasinaudoti savo vadybos sistemų privalumais, kadangi dauguma sistemų suvokiamos veikiau kaip faktinės padėties (status quo) palaikymo įrankis, o ne kaip priemonė pokyčiams ir gerinimui valdyti.

Vis dėlto veiksminga vadybos sistema privalo suteikti pridėtinę vertę verslui, užtikrinant kokybiškesnius, ekonomiškesnius ir spartesnius procesus sistemos tobulėjimo eigoje.
Pagrindiniuose vadybos sistemos standartuose pabrėžiamas nuolatinis gerinimas. Įdiegta vadybos sistema suteiks jums galimybę sutelkti dėmesį į jūsų organizacijai ir suinteresuotosioms šalims svarbių sričių tobulinimą.

Bendrovei verta inicijuoti vadybos sistemos sertifikavimą dėl daugelio priežasčių. „Bilietas į verslą” dažnai tampa stipriu pirminės motyvacijos veiksniu. Antra priežastis gali būti teisiniai reikalavimai, trečia – globalizacijos interesai, pabrėžiantys sudėtingesnių procesų ir tikslesnės verslo vadybos atskaitomybės klientų ir suinteresuotųjų šalių atžvilgiu poreikį. Tokiais atvejais bendrovės renkasi nepriklausomą įvertinimą bei vadybos sistemos sertifikavimą, siekiant dokumentuoto atitikties įrodymo.

Tačiau labai įtikinama priežastimi gali būti aukščiausios vadovybės įsitikinimas, kad pripažintos trečios šalies atliktas nepriklausomas vadybos sistemos auditas, pateikti radiniai bei dokumentuotas rezultatas – išduotas sertifikatas – suteikia bendrovei pridėtinę vertę. Vadovybė privalo išlaikyti palankias pozicijas ir negali leisti, kad dėl nevaldomos situacijos kilę incidentai paveiktų firmos ženklo vertę. Šiandieną visos bendrovės susiduria su išaugusiu klientų ir suinteresuotųjų šalių domėjimusi jų veikla.

Skaidrios atskaitomybės reikalavimai, susiję su poveikiu aplinkai, saugiu veiklos procesų valdymu bei nuolatiniu kokybės gerinimu – tai tik keli reikalavimai, kuriuos turi patenkinti verslo įmonės visame pasaulyje.

Taigi informacija apie rizikos valdymą jūsų organizacijoje yra pasitikėjimo jumis pagrindas. Įdiegta ir sertifikuota vadybos sistema parodo jūsų klientams ir suinteresuotosioms šalims, kad jūs ėmėtės nuolatinio veiklos gerinimo, atsižvelgdami į kokybę, aplinkos apsaugos ar saugos aspektus. Išorinis vertinimas padeda bendrovėms nuolat tobulinti jų strategiją, veiklos procesus ir kelti paslaugų lygį. Reikiamos sertifikavimo įstaigos pasirinkimas garantuoja objektyvų nepriklausomą vadybos sistemos patikrinimą bei įvertinimą.

Valdydami riziką, kuri sukelia didžiausius iššūkius, jūs galėsite pasinaudoti nuolatinio gerinimo proceso privalumais.

Integruotas sertifikavimas – tai vadybos sistemos sertifikavimas pagal kelių standartų reikalavimus vienu metu. Atskiri vadybos sistemos standartai neretai yra suderinami tarpusavyje, nors jie yra taikomi skirtingoms sritims.

Daugelis organizacijų pasirenka integruotos vadybos sistemos principą, apimantį kokybės, saugos ir sveikatos bei aplinkos apsaugos reikalavimus. Sujungdami keletą standartų į vieną vadybos sistemą, išvengiama dvigubo darbo. Integruota vadybos sistema leis palengvinti dokumentacijos tvarkymą, kadangi nereikės ruošti atskirų dokumentų rinkinių kiekvienam standartui. Nepriklausomai nuo to, ar nuspręsite sukurti integruotą sistemą ar įdiegti atskiras sistemas kiekvienai sričiai, visos jūsų bendrovei svarbios sritys gali būti įvertintos ir sertifikuotos vieno integruoto sertifikavimo audito metu.

ISO 20000 – tai pasaulinis informacinių technologijų paslaugų kokybės valdymo standartas. ISO 20000 sukurtas siekiant suteikti IT paslaugų vadybai ir infrastruktūrai, tiek vidinei, tiek užsakomajai, nuoseklumo, kuris būtų naudingas ir darbuotojams, ir klientams. Galutinis tikslas yra veiksmingas bendras IT paslaugų valdymas.

Standartas paremtas pagrindiniais procesais, pradedant aptarnaujančio personalo atsiskaitymu vadovybei, IT paslaugų biudžeto sudarymu ir apskaita, ir baigiant informacijos sauga, tiekėjų, incidentų, pokyčių ir informacijos atskleidimo valdymu.

ISO 20000 sertifikavimas padeda įmonėms tobulinti ir optimizuoti IT procesus, padidinti darbo našumą ir užtikrinti kontroliuojamą bei nuoseklų aukštos kokybės paslaugų teikimą įmonės viduje bei išoriniams išplėstiniams tinklams ir galutiniams vartotojams.

Sertifikavimas parodo įmonės novatoriškumą ir pasiryžimą diegti patikimas IT paslaugas bei infrastruktūrą, stiprinti darbuotojų pasitenkinimą ir darbo kokybę, tuo pat metu stiprinant teigiamą įmonės įvaizdį. Didėja įmonės produktyvumas ir mažėja sąnaudos, didėja IT sauga, gerėja vidinė komunikacija bei procesų valdymas. ISO 20000 standartas sukurtas pagal patikrintas geriausias pasaulines praktikas, juo vadovaujasi pasaulinis IT sektorius, todėl jis yra pripažįstamas ir suprantamas visur.

ISO 27001 – tai tarptautinis standartas, nustatantis reikalavimus informacijos saugos vadybos sistemoms. ISO 27001 sukurtas tam, kad įmonė ar organizacija galėtų įvertinti vidinę informacinę riziką ir įdiegti tinkamas kontrolės priemones informacijos konfidencialumui, vientisumui, prieinamumui ir nepaneigiamumui užtikrinti bei ją apsaugoti.

Pagrindinė šios sistemos funkcija – apsaugoti įmonės informaciją nuo išorinių veiksnių (konkurencinė aplinka) ir nuo negrįžtamos informacijos praradimo.

ISO 27001 standarto naudojimas padeda įmonėms teisingai identifikuoti ir klasifikuoti įmonės informacinius išteklius, paslaugas, sistemingai vertinti riziką, tinkamai parinkti priemones grėsmėms valdyti bei užtikrinti įmonės informacijos konfidencialumą, vientisumą, prieinamumą ir nepaneigiamumą.

Didėja įmonės produktyvumas bei mažėja sąnaudos. Laiku įvertinus riziką ir grėsmes informacijos saugai, įvertinami ir apskaičiuojami galimi nuostoliai. Tikslinės ir optimalios investicijos nukreipiamos būtent ten, kur jos yra reikalingos. Gerėja įmonės valdymas ir vidinė komunikacija, stiprėja vartotojų, klientų, tiekėjų ir akcininkų pasitikėjimas. Efektyviau valdomi incidentai. Didėja įmonės informacijos sauga, valdymas, konfidencialumas, vientisumas, prieinamumas, užtikrinantis įmonės konkurencinį pranašumą, pelningumą ir įmonės prestižą.

ISO 27001 standartas sukurtas pagal patikrintas geriausias pasaulines praktikas ir užtikrina, kad įmonės veikla atitiktų jai taikomus įstatymus, teisinius ir norminius bei sutartinius reikalavimus. Standartu vadovaujasi tarptautinės įmonės, todėl jis yra pripažįstamas ir suprantamas visur.