Сертификаты широко используются компаниями в качестве рекламы, свидетельствующей о надежности компании. Чем больше сертификатов, тем лучше. Конечно, наличие большого количества сертификатов может показать надежность организации, однако по умолчанию это не так! Знание цели сертификации и понимание масштабов имеет решающее значение, когда вы действительно хотите завоевать доверие, оценивая сертификаты.
Сертификаты относительно внутренней организации вашей сервисной организации
Сертификаты могут быть использованы для обеспечения удобства работы организации. Например: ISO 9001 обеспечит комфорт в отношении управления качеством внутренних бизнес-процессов организации. Такая сертификация напрямую не обеспечивает комфорт окружающей среды, которая является частью ответственности клиента. Кроме того, для ISO 27001 область действия может включать в себя услугу, предоставляемую клиенту, однако она также может включать только процесс продаж внутренней организации. Просто получение сертификата и его размещение на вашем веб-сайте не означает, что используемые вами услуги включены в объем или влияют на используемые вами услуги. Следовательно; если ваша организация требует, чтобы поставщик был сертифицирован, проверьте услуги / объем, включенный в сертификацию.
Сертификаты об услугах, предлагаемых вам как клиенту
Помимо сертификатов, связанных с внутренней организацией, некоторые сертификаты предназначены для специальной сертификации услуг для клиента, таких как PCI-DSS и SOC-отчетность. Эти сертификаты конкретно касаются того, как сервисная организация управляет своими клиентскими услугами. Вместо того, чтобы показывать, что внутренняя организация имеет эффективный процесс управления информацией, эти сертификаты специально касаются требований в отношении услуг, которые вы используете. Кроме того, для сертификации в отношении клиентских услуг, опять же, важен объем. Например, в отчетности SOC определена конкретная область. Если ваша организация использует дополнительные услуги, предлагаемые обслуживающей организацией, или использует сложный физический сайт, и он не входит в объем, вы не можете полагаться на сертификацию для этих конкретных услуг.
Цели сертификации
Помимо рассмотрения области сертификации, необходимо определить, является ли цель сертификации релевантной для вашей сервисной организации. Например, центр обработки данных может быть сертифицирован на соответствие NEN 5710 (защита информации о медицинских данных), однако, если центр обработки данных не имеет доступа к информации, запрос на сертификацию бесполезен. Центр обработки данных может быть элементом управления, используемым держателем сертификата, но аудитор не может оценить, как центр обработки данных обрабатывает медицинские данные, если центр обработки данных не имеет доступа к этим данным.
Другим примером является сертификация GDPR, которую могут получить компании. Использование компании, сертифицированной GDPR, не означает, что ваша организация может положиться на эти сертификаты. Такая сертификация означает, что компания, имеющая сертификацию GDPR, соответствует GDPR для личных данных, которые они хранят и могут получить к ним доступ.
В заключение, организации широко используют сертификаты, чтобы показать, что процессы их компаний являются лучшими, а их клиенты могут им доверять. При выборе поставщиков важно не просто перечислять сертификаты и «проверять в коробке». Когда вы знаете, какие процессы и услуги важны для вас, вы можете оценить сертификацию, и сертификация приносит ценность, которую они должны принести.
datacenter.com