Когда ИТ-компании нужен и не нужен сертификат ISO: примеры
В отличие от сферы производства ИТ-компании только в последние несколько лет стали проявлять повышенный интерес к получению международных и национальных сертификатов, которые оценивают уровень менеджмента, состояние информационной безопасности. Управляющий консалтинговой компанией «Изи Штандарт» Андрей Цыган отмечает, что это связано с развитием сферы в странах постсоветского пространства, тесными связями с международными заказчиками.
Эксперт рассказывает, на каких этапах работы айтишникам может понадобиться сертификат.
Когда мы слышим слово «сертификат», то чаще всего мы представляем себе производство. Сертификацию должна проходить продукция, чтобы доказать свое качество и безопасность.
Сертификация является инструментом регулирования рынка. Традиционно есть высокорегулируемые отрасли — строительство, производство медицинских изделий, фармацевтика, пищевая промышленная, производство оборудования, а есть менее. Долгое время ИТ-отрасль оставалась вне регулирования — ни партнеры, ни госорганы на постсоветском пространстве явно не требовали специальных документов, регулирующих качество услуг.
Но за последний год ситуаций изменилась — появляется все больше интереса к сертификации со стороны компаний из сферы ИТ. Значит, отрасль сильно выросла — это уже не только аутсорс, когда важны цена и сроки, а уже долгосрочное партнерство с международными компаниями. И эти компании проверяют своего партнера, просят доказать качество его работы.
Когда сертификация может понадобиться
В основном, речь идет об ISO. Система этой сертификации добровольная. Но в современном мире зачастую такие сертификаты все равно должны быть у бизнесов, которые стремятся работать на международном рынке
Участие в тендерах. Если просмотреть условия участия ИT-компаний в аукционных закупках, можно найти такое требование, как внедрение сертифицированной системы менеджмента качества ISO 9001. Несколько особенностей:
- Вытекающая из этого пункта частая проблема — получение сертификата в короткие сроки. Например, компания проявила желание принять участие в тендере, но сертификата у нее нет, а срок подачи заявлений на тендер строго ограничен
- Иногда в тендерах прописано такое требование, как наличие кроме международного сертификата ISO 9001 еще и национального сертификата (например, в Беларуси — это СТБ 9001).
В рамках Профессионального конкурса БРЭНД ГОДА 2017 в этом году награждались победители номинации «Лучший digital-бренд: видео». Номинация проводится совместно с Digital-агенством ARTOX media.
Требования международных партнеров к системе менеджмента информационной безопасности (СМИБ). Международные партнеры просят сертификат о соблюдении компанией требований по защите своей информации, данных партнера и конечного потребителя — например, ISO 27001.
Если у вашей компании большие цели по работе с международными партнерами, вам рано или поздно придется пройти сертификацию по стандарту ISO 27001. Для внедрения стандарта и получения сертификата зачастую нужно приобрести необходимое оборудование по защите данных.
Отмечу также, что с 25 мая этого года вступает в силу регламент Европейского Союза GDPR «Общие положения о защите данных» (действует в 28 странах ЕС). Требования регламента относятся к любой компании в мире, которая обрабатывает и хранит персональные данные пользователей, проживающих в ЕС. Требования к защите информации усилились. Например, за удавшуюся хакерскую атаку на компанию ей придется платить серьезный штраф. Будет считаться, что бизнес проявил несоответствующую заботу о конфиденциальности.
Требования крупных вендоров (Microsoft, Oracle, SAP). Мировые компании стали обращать все больше внимания на противодействие коррупции при работе с партнерами во всех глобальных цепочках. В 2016 был опубликован ISO 37001. Это первый международный стандарт, который борется с этой проблемой.
Например, Microsoft сегодня не требует, но рекомендует своим партнерам и крупным организациям принять этот стандарт. Есть вероятность, что рекомендации в скором времени перейдут в требования, которым необходимо будет соответствовать для работы с корпорацией.
Вступление в ПВТ. Сегодня все больше ИТ-компаний стремятся стать резидентами белорусского ПВТ, участниками ассоциаций в других странах.
Международный опыт показывает, что часто при приеме в различные ассоциации и Hi-Tech парки сертификат по стандарту ISO 9001 становится важным. Одним из условий для того, чтобы стать резидентом, является составление и защита бизнес-плана проекта. Стандарт как раз направлен на то, чтобы в управлении компанией применялся процессный подход.
Проведение IPO. Отмечу также, что если компания собирается выходить на биржу, то стоит заранее позаботиться о сертификации ISO 9001 и ISO 27001. К моменту выхода вы должны не только получить сертификат, но и показать, что система работает.
Когда сертификация может не понадобиться
1. Если вы не участвуете в тендерах, то чаще всего при прямом заказе от частной компании внутри страны или от партнеров на постсовестком пространстве можно обойтись без сертификата.
2. Если компания молодая и сейчас не хочет инвестировать в сертификацию. К фазе сертификации можно подойти, когда будет виден серьезный заказчик с требованиями.
3. Если проект достаточно длинный, то остается поле для переговоров. Можно договориться с заказчиком, который просит сертификат, что прямо сейчас вы начнете процесс (покажете в качестве доказательства договор с компанией, письмо-гарант) и обязуетесь к моменту сдачи проекта пройти сертификацию.
Сроки сертификации
Полный цикл сертификации по стандарту ISO 9001 будет занимать от 20 до 50 дней. Сертификация по стандартам ISO 27001 (система СМИБ) и ISO 37001 (антикоррупционный менеджмент) требует подготовки компании, которая длится от 4 до 8 месяцев.