Автор: Михаил Ветров, региональный директор Linxdatacenter, Москва.
Сегодня множество участников рынка всерьез задумываются о том, целесообразно ли внедрять у себя систему менеджмента качества на основе международных стандартов и проходить сертификацию. Для современного глобального бизнеса этот вопрос действительно актуален, ведь при выходе на новый рынок компания должна обладать некими аргументами, подтверждающими ее опыт и качество менеджмента. Международный сертификат, простой код из нескольких цифр, может стать универсальным «индикатором», который понятен специалисту из любого сегмента бизнеса. Другим фактором, подталкивающим российские компании к внимательному изучению системы международных стандартов и принятию решения по прохождению аттестации и получению сертификата, является скорое вступление в силу (уже 1 сентября 2015 г.) изменений к Федеральному закону «О персональных данных». Международные игроки, начавшие активную миграцию данных в российские ЦОДы, присматриваются к потенциальным партнерам в России, и для них крайне важно, чтобы качество предоставляемых ЦОДом услуг соответствовало их принципам ведения бизнеса. Здесь и появляется потребность в универсальном «индикаторе».
Что такое международная сертификация?
Среди множества существующих систем сертификации одной из самых известных и привлекательных для бизнеса по праву считается ISO. Серия сертификатов ISO была разработана Международной организацией по стандартизации (International Organization for Standardization — ISO) — крупнейшим неправительственным объединением, созданным в 1946 году «для содействия международной координации и унификации промышленных стандартов». За прошедшие годы организация опубликовала свыше 19,5 тысяч стандартов, охватывающих почти все аспекты технологии и производства, кроме электротехники и электроники (данные области находятся в компетенции Международной электротехнической комиссии, что, впрочем, не исключает возможности проведения совместных работ).
Однако всеобщее внимание International Organization for Standardization привлекла к себе в 1987 году, когда разработала стандарты ISO серии 9000, описывающие требования к системе менеджмента качества компании. В отличие от предшественников, они применимы к любому предприятию вне зависимости от его размера, структуры, характера выпускаемой продукции или предоставляемых услуг. Более того, сертификацию по ним могут проходить даже органы государственной власти и общественные организации.
На сегодняшний день стандарты ISO серии 9000 (в частности, ISO 9001:2008) приняты в качестве национальных стандартов более чем в 190 странах мира и являются своеобразной базой современного подхода к определению качества ведения бизнеса и его услуг. Основная цель их внедрения — подтвердить, что в организации введена и успешно функционирует система менеджмента, которая гарантирует неизменно высокое качество товаров и услуг вне зависимости от внутренних факторов, рыночных или макроэкономических изменений. Сертификат ISO 9001:2008 позволяет привлечь кредитные ресурсы и крупные инвестиции, он оказывает положительное влияние на формирование мнения потребителей о состоятельности и надежности производителя. Наличие такого документа фактически говорит о конкурентоспособности компании на внутреннем и международном рынках и, кроме того, служит гарантом для ее инвесторов и бизнес-партнеров.
Кому необходима сертификация?
Получение сертификации — дело сугубо добровольное, и каждая компания вправе принять собственное решение на этот счет. Однако в некоторых случаях без сертификации по стандартам ISO 9001:2008 практически нельзя обойтись, например, когда организация планирует принять участие в государственном тендере, хочет выйти на международный рынок, нуждается в зарубежных инвестициях или намерена добиться четкого и оптимального построения всех своих внутренних процессов.
Кроме того, в ИТ-компаниях, работающих с большими объемами данных, распространена практика совмещения ISO 9001:2008 с другими стандартами в области менеджмента, в особенности с ISO 27001. Данный стандарт устанавливает правила построения защитных систем управления информационной безопасностью в компании, то есть призван обеспечить сохранность предоставляемых организацией сервисов, бизнес-процессов и любых других видов информации, в том числе принадлежащих клиентам и партнерам. Внедряя его, организация обязуется отслеживать и минимизировать все возможные риски в области информационной безопасности, а также профессионально разрешать возникшие проблемы. В первую очередь сертификацию по ISO 27001 стремятся пройти компании, для которых обеспечение сохранности данных клиентов является приоритетной задачей.
Как получить сертификат?
Сертификаты ISO не предоставляются одноименной организацией, а выдаются созданными и аккредитованными при ней компаниями-аудиторами (консультационно-методическими центрами). В большинстве своем такие компании аккредитуются на право проведения сертификации только по одному из множества стандартов ISO.
Стать обладателем документа ISO непросто — процесс сертификации достаточно долгий и обычно дорогой. В среднем он занимает около года, причем значительная часть этого времени уходит на реорганизацию бизнес-процессов предприятия в соответствии с действующими стандартами ISO. Фиксированной стоимости услуг не существует. Размер оплаты зависит от множества факторов, в том числе от уровня сертифицирующего органа, размера компании, которая намерена получить сертификат, ее типа управления, численности персонала, а также от сложности применяемых технологических процессов и выпускаемой продукции. Каждый случай индивидуален, однако, как показывает практика, стоимость сертификации может достигать 3-5% от годового оборота предприятия.
Почему же тогда любой поисковик по запросу «получить сертификат ISO 9001» выдает десятки ссылок на российские компании, обещающие провести сертификацию едва ли не в течение нескольких дней? Дело в том, что чаще всего под «сертификатом ISO 9001» понимается документ, подтверждающий исполнение национальных стандартов той же серии, а именно экспресс-сертификат ГОСТ Р ИСО 9001-2008 сроком на три года (или ИСО 9001-2008, как он обозначается на сайтах сертифицирующих органов). Оформить такой документ действительно проще, однако при работе на международном уровне он не котируется — в этом случае требуется именно ISO 9001:2008.
Если говорить о компаниях, оперирующих на рынке услуг в области защиты и хранения информации, то понятия «качество» и «репутация» для них фактически тождественны, и именно от качества услуг зависит развитие и процветание бизнеса в этой отрасли. Кроме того, в последнее время к услугам российских компаний все чаще прибегают и международные компании, приходящие на российский рынок и выбирающие местных операторов для хранения данных, а для них весомым аргументом являются международные стандарты ведения бизнеса. В частности, именно эти критерии стали определяющими в вопросе получения сертификатов ISO и для Linxdatacenter. Проанализировав преимущества ISO, мы отдали предпочтение именно этому варианту, и ЦОДы компании в Москве, Санкт-Петербурге, Варшаве и Таллине прошли внешний аудит на соответствие стандартам ISO 27001:2005 и ISO 9001:2008. Более того, в настоящее время мы переходим на новую версию стандарта ISO 27001:2013.
Учитывая высокую конкуренцию и непростую экономическую ситуацию, российский бизнес и международные компании, оперирующие данными на территории России, стремятся обращаться только к тем игрокам рынка, чьи услуги соответствуют как требованиям непосредственно заказчика, так и мировым стандартам. Наконец, вступающие с 1 сентября 2015 года поправки к Федеральному закону «О персональных данных» напрямую повлияют на развитие отечественного ИТ-рынка и потребуют от поставщиков услуг в области хранения и защиты данных максимальной мобилизации. Для бизнеса же в этой ситуации наличие у ЦОДа сертификатов на соответствие стандартам ISO в области информационной безопасности станет дополнительным, а может быть и решающим аргументом при выборе партнера.