ЖИЗНЬ ПОСЛЕ ПРОХОЖДЕНИЯ АУДИТА БЕЗОПАСНОСТИ
Разобраться во множестве требований и стандартов безопасности, которым нужно соответствовать — задача непростая, но когда требования уже выполнены, аудит пройден и получен сертификат соответствия — это настоящий праздник, но еще не финал. За этим следует непрерывный цикл анализа, корректировок и улучшений.
Мы хотим рассказать о том, что стоит сделать после, чтобы результаты не растворились во времени и не были напрасны, а следующие аудиты и сертификации проходили проще.
1. Первым делом, конечно, нужно порадоваться и отпраздновать свое достижение. Как бы хорошо ни была построена у вас система и ее безопасность, любой аудит или сертификация — трудоемкое занятие. Прохождение аудита — это большая командная работа и успешное ее завершение с большой вероятностью сплотит и мотивирует вашу команду на дальнейшие достижения.
2. Расскажите о своем успехе. Соблюдение требований – это не только внутреннее дело. Это важно и для ваших заказчиков, и для партнеров по бизнесу, и для инвесторов.
Самый простой способ рассказать о том, чего вы достигли — разместить на сайте выданный вам сертификат соответствия или другой официальный документ.
3. Отслеживайте изменения в требованиях регуляторов. Поэтому после прохождения аудита нужно постоянно поддерживать соответствие требованиям. Это связано с тем, что системы и технологии непрерывно меняются и развиваются, а вместе с ними и требования безопасности.
Помимо изменений в требованиях безопасности, важны изменения конкретно в вашей системе. Изменения в среде могут влиять на достигнутый вами уровень соответствия.
Регулярный мониторинг изменений как требований, так и состояния системы, имеет решающее значение для обеспечения дальнейшего соответствия требованиям соответствия.
4. Планируйте следующий аудит. Радуясь своему достижению, помните, что следующая проверка не за горами. Лучшее решение — планировать его заранее, принимая во внимание любые изменения в вашей системе или нормативной среде, которые могут повлиять на ваш статус соответствия. Хорошим решением будет выявление и устранение потенциальных проблем до следующего аудита. Кроме того, обязательно просмотрите запросы на аудит и определите пробелы, которые в настоящее время не выявлены в вашем наборе средств контроля.
5. Определите, что можно улучшить до начала следующего аудита. Несмотря на то, что соответствие требованиям достигнуто, найдется то, что можно доработать, обновить. Первое, что нужно сделать — изучить и внедрить рекомендации из отчета, полученного от аудиторов. Они могут включать в себя рекомендации по исправлению обнаруженных недостатков, усилению контроля за безопасностью, улучшению действующих процессов.
6. Расширьте программу обеспечения соответствия. После того как вы добились соответствия одному стандарту или постановлению, подумайте, есть ли другие области, в которых вы тоже можете достичь соответствия. Расширение программы соответствия поможет лучше противостоять угрозам безопасности и эффективнее управлять рисками, а также предоставит дополнительные гарантии вашим заинтересованным сторонам.
7. Формируйте культуру соблюдения требований. В идеальном мире работы по соблюдению требований регуляторов должны быть частью бизнес-процессов, а не пугающей обязанностью, отнимающей много времени и ресурсов. Такое возможно когда работы по соблюдению требований ведутся непрерывно.
Следуя этим шагам, можно быть уверенным, что усилия на прохождение аудита не были потрачены напрасно и принесут пользу в дальнейшей жизни компании. А мы всегда поможем в прохождении аудитов безопасности любого масштаба и уровня сложности.