Die vierde stadium van emosionele reaksie op verandering is depressie. In hierdie artikel sal ons jou vertel van ons ervaring om deur die mees uitgerekte en onaangename stadium te gaan - oor veranderinge in die maatskappy se besigheidsprosesse om hul voldoening aan die ISO 27001-standaard te bereik.
verwagting
Die eerste vraag wat ons onsself gevra het nadat ons die sertifiseringsliggaam en konsultant gekies het, was hoeveel tyd sal ons regtig nodig hê om al die nodige veranderinge aan te bring?
Die aanvanklike werkplan was so geskeduleer dat ons dit binne 3 maande moes voltooi.
Alles het eenvoudig gelyk: dit was nodig om 'n paar dosyn polisse te skryf en ons interne prosesse effens te verander; lei dan kollegas op oor die veranderinge en wag nog 3 maande (sodat "rekords" verskyn, dit wil sê bewyse van die funksionering van die polisse). Dit het gelyk of dit al was – en die sertifikaat was in ons sak.
Boonop gaan ons nie polisse van nuuts af skryf nie - ons het immers 'n konsultant gehad wat, soos ons gedink het, veronderstel was om vir ons al die "korrekte" sjablone te gee.
As gevolg van hierdie gevolgtrekkings het ons 3 dae toegeken om elke polis voor te berei.
Die tegniese veranderinge het ook nie skrikwekkend gelyk nie: dit was nodig om die versameling en berging van gebeure op te stel, te kyk of die rugsteun voldoen aan die beleid wat ons geskryf het, die kantore met toegangsbeheerstelsels waar nodig aan te pas, en 'n paar ander klein dingetjies .
Die span wat alles voorberei het wat nodig was vir sertifisering, het uit twee mense bestaan. Ons het beplan dat hulle parallel met hul hoofverantwoordelikhede by implementering betrokke sou wees, en dit sal elkeen van hulle 'n maksimum van 1,5-2 uur per dag neem.
Om op te som, kan ons sê dat ons siening van die komende omvang van werk redelik optimisties was.
werklikheid
In werklikheid was alles natuurlik anders: die polissjablone wat die konsultant verskaf het, het geblyk meestal ontoepasbaar op ons maatskappy te wees; Daar was amper geen duidelike inligting op die internet oor wat en hoe om te doen nie. Soos jy jou kan voorstel, het die plan om “een polis in 3 dae te skryf” klaaglik misluk. Ons het dus amper van die begin van die projek af opgehou om spertye te haal, en ons bui het stadig begin val.
Die span se kundigheid was rampspoedig klein – soveel so dat dit nie eens genoeg was om die regte vrae aan die konsultant te vra nie (wat terloops nie veel inisiatief aan die dag gelê het nie). Dinge het selfs stadiger begin beweeg, aangesien 3 maande na die begin van implementering (dit wil sê op die oomblik toe alles gereed moes gewees het), een van die twee sleuteldeelnemers die span verlaat het. Hy is vervang deur 'n nuwe hoof van die IT-diens, wat die implementeringsproses vinnig moes voltooi en die inligtingsekuriteitbestuurstelsel van alles wat uit 'n tegniese oogpunt nodigste was, moes voorsien. Die taak het moeilik gelyk... Diegene in beheer het depressief begin raak.
Boonop het die tegniese kant van die kwessie ook "nuanses" geblyk te hê. Ons word gekonfronteer met die taak van globale sagteware-modernisering op beide werkstasies en op bedienertoerusting. Tydens die opstel van die stelsel om gebeurtenisse (logs) in te samel, het dit geblyk dat ons nie genoeg hardewarehulpbronne gehad het vir die normale funksionering van die stelsel nie. En die rugsteunsagteware het ook modernisering nodig gehad.
Bederf: As gevolg hiervan is die ISMS heldhaftig geïmplementeer in 6 maande. En niemand het eers gesterf nie!
Wat het die meeste verander?
Natuurlik, tydens die implementering van die standaard, het 'n groot aantal klein veranderinge in die maatskappy se prosesse plaasgevind. Ons het die belangrikste veranderinge vir jou uitgelig:
- Formalisering van die risikobepalingsproses
Voorheen het die maatskappy geen formele risikobepalingsproses gehad nie – dit is slegs terloops gedoen as deel van algehele strategiese beplanning. Een van die belangrikste take wat as deel van die sertifisering opgelos is, was die implementering van die maatskappy se Risiko-evalueringsbeleid, wat alle stadiums van hierdie proses en die persone wat vir elke stadium verantwoordelik is, beskryf.
- Beheer oor verwyderbare bergingsmedia
Een van die beduidende risiko's vir besigheid was die gebruik van ongeënkripteerde USB-flitsaandrywers: om die waarheid te sê, enige werknemer kan enige inligting wat aan hom beskikbaar is op 'n flitsskyf skryf en dit op sy beste verloor. As deel van die sertifisering is die vermoë om enige inligting op flitsskywe af te laai op alle werknemerswerkstasies gedeaktiveer - die opneem van inligting het slegs moontlik geword deur 'n aansoek by die IT-afdeling.
- Super gebruiker beheer
Een van die hoofprobleme was die feit dat alle werknemers van die IT-afdeling absolute regte in alle maatskappystelsels gehad het – hulle het toegang tot alle inligting gehad. Terselfdertyd het niemand hulle regtig beheer nie.
Ons het 'n Data Loss Prevention (DLP)-stelsel geïmplementeer - 'n program vir die monitering van werknemers se optrede wat ontleed, blokkeer en waarsku oor gevaarlike en onproduktiewe aktiwiteite. Nou word waarskuwings oor die optrede van werknemers van die IT-afdeling gestuur na die e-posadres van die maatskappy se bedryfsdirekteur.
- Benadering om inligtingsinfrastruktuur te organiseer
Sertifisering vereis globale veranderinge en benaderings. Ja, ons moes 'n aantal bedienertoerusting opgradeer weens die verhoogde las. In die besonder het ons 'n aparte bediener vir gebeurtenis-insamelingstelsels toegewy. Die bediener was toegerus met groot en vinnige SSD-aandrywers. Ons het rugsteunsagteware laat vaar en gekies vir bergingstelsels wat al die nodige funksionaliteit uit die boks het. Ons het verskeie groot stappe gemaak in die rigting van die "infrastruktuur as kode" konsep, wat ons toegelaat het om baie skyfspasie te bespaar deur die rugsteun van 'n aantal bedieners uit te skakel. In die kortste moontlike tyd (1 week) is alle sagteware op werkstasies opgegradeer na Win10. Een van die probleme wat die modernisering opgelos het, was die vermoë om enkripsie (in die Pro-weergawe) moontlik te maak.
- Beheer oor papierdokumente
Die maatskappy het aansienlike risiko's gehad wat verband hou met die gebruik van papierdokumente: dit kan verlore gaan, op die verkeerde plek gelaat word of onbehoorlik vernietig word. Om hierdie risiko te verminder, het ons alle papierdokumente volgens die vlak van vertroulikheid gemerk en 'n prosedure ontwikkel om verskillende tipes dokumente te vernietig. Nou, wanneer 'n werknemer 'n gids oopmaak of 'n dokument neem, weet hy presies in watter kategorie hierdie inligting val en hoe om dit te hanteer.
- Huur 'n rugsteundatasentrum
Voorheen is alle maatskappyinligting gestoor op bedieners wat in 'n derdeparty-veilige datasentrum geleë is. Daar was egter geen noodprosedures by hierdie datasentrum in plek nie. Die oplossing was om 'n rugsteunwolkdatasentrum te huur en die belangrikste inligting daar te rugsteun. Tans word die maatskappy se inligting in twee geografies afgeleë datasentrums gestoor, wat die risiko van sy verlies tot die minimum beperk.
- Besigheidskontinuïteitstoetsing
Ons maatskappy het vir etlike jare 'n Besigheidskontinuïteitsbeleid (BCP) in plek, wat beskryf wat werknemers in verskeie negatiewe scenario's moet doen (verlies aan toegang tot die kantoor, epidemie, kragonderbreking, ens.). Ons het egter nog nooit kontinuïteitstoetse uitgevoer nie - dit wil sê, ons het nog nooit gemeet hoe lank dit sal neem om die besigheid in elk van hierdie situasies te herstel nie. Ter voorbereiding vir die sertifiseringsoudit het ons dit nie net gedoen nie, maar ook 'n besigheidskontinuïteitstoetsplan vir die komende jaar ontwikkel. Dit is opmerklik dat ons 'n jaar later, toe ons gekonfronteer was met die behoefte om heeltemal oor te skakel na afgeleë werk, ons hierdie taak in drie dae voltooi het.
Dit is belangrik om daarop te let, dat alle maatskappye wat vir sertifisering voorberei, verskillende beginvoorwaardes het - daarom kan in jou geval heeltemal verskillende veranderinge vereis word.
Werknemers se reaksies op veranderinge
Vreemd genoeg - hier het ons die ergste verwag - dit het nie so erg uitgekom nie. Daar kan nie gesê word dat kollegas die nuus van sertifisering met groot entoesiasme ontvang het nie, maar die volgende was duidelik:
- Alle sleutelwerknemers het die belangrikheid en onvermydelikheid van hierdie gebeurtenis verstaan;
- Alle ander werknemers het opgekyk na sleutelwerknemers.
Natuurlik het die besonderhede van ons bedryf ons baie gehelp – uitkontraktering van rekeningkundige funksies. Die oorgrote meerderheid van ons werknemers hanteer konstante veranderinge in Russiese wetgewing goed. Gevolglik was die instelling van 'n paar dosyn nuwe reëls wat nou nagekom moet word nie iets buitengewoons vir hulle nie.
Ons het nuwe verpligte ISO 27001-opleiding en -toetsing vir al ons werknemers voorberei. Almal het gehoorsaam die plaknotas met wagwoorde van hul monitors verwyder en die lessenaars wat met dokumente besaai was, weggevee. Geen luide ontevredenheid is opgemerk nie – oor die algemeen was ons baie gelukkig met ons werknemers.
Ons het dus die pynlikste stadium geslaag - "depressie" - wat verband hou met veranderinge in ons besigheidsprosesse. Dit was moeilik en moeilik, maar die resultaat het op die ou end al ons stoutste verwagtinge oortref.
Lees vorige materiaal uit die reeks:
5 stadiums van die onvermydelikheid van ISO/IEC 27001-sertifisering. Depressie.
5 stadiums van die onvermydelikheid van ISO/IEC 27001-sertifisering. Aanneming.
Bron: will.com
