ለኩባንያው ማንኛውንም ስልታዊ አስፈላጊ ውሳኔ ሲያደርጉ ሰራተኞች በመሠረታዊ የመከላከያ ዘዴ ውስጥ ያልፋሉ, ለለውጥ ምላሽ ለመስጠት 5 ደረጃዎች በመባል ይታወቃል (በኢ. ኩብለር-ሮስ). አንድ ታዋቂ የስነ-ልቦና ባለሙያ በአንድ ወቅት ስሜታዊ ምላሽን ገልጾ 5 ቁልፍ የስሜት ምላሽ ደረጃዎችን አጉልቶ ገልጿል። አሉታ, ቁጣ, ድርድር, ድብርት እና በመጨረሻም። ጉዲፈቻ. ለ ISO 27001 የምስክር ወረቀት የተሰጡ ተከታታይ ጽሁፎችን አዘጋጅተናል, እያንዳንዱን ደረጃዎች እንመለከታለን. ዛሬ ስለ መጀመሪያዎቹ እንነጋገራለን - መካድ.
የ ISO 27001 የምስክር ወረቀት "ለማሳየት" ማግኘት በጣም አጠራጣሪ ደስታ ነው, ምክንያቱም ረጅም እና ውድ ዝግጅትን ይጠይቃል. ከዚህም በላይ እንደሚያሳየው , ይህ መመዘኛ በሩሲያ ፌዴሬሽን ውስጥ እጅግ በጣም ተወዳጅ አይደለም: እስከዛሬ ድረስ 70 ኩባንያዎች ብቻ ለማክበር የምስክር ወረቀት አግኝተዋል. በተመሳሳይ ጊዜ, ይህ በመረጃ ደህንነት መስክ እያደገ የመጣውን የንግድ ሥራ ፍላጎቶች በማሟላት በውጭ አገር በጣም ታዋቂ ከሆኑ ደረጃዎች አንዱ ነው.
ድርጅታችን ለሂሳብ ስራዎች የተሟላ የውጭ አቅርቦት አገልግሎቶችን ይሰጣል-የሂሳብ አያያዝ እና የታክስ ሂሳብ ፣ የደመወዝ እና የሰራተኞች አስተዳደር። በተለይም በሩሲያ ውስጥ ቅርንጫፎች ያላቸው የውጭ ኩባንያዎች በሚስጥር መረጃ ስለሚያምኑት ከዋና ዋና የገበያ ቦታዎች ውስጥ አንዱን እንይዛለን. ይህ ለደንበኞቻችን የፋይናንስ ሂደቶች ብቻ ሳይሆን በየቀኑ የምንሰራውን የግል መረጃንም ይመለከታል. በዚህ ረገድ የኢንፎርሜሽን ደህንነት ጉዳይ አንዱ ቀዳሚ ስራችን ነው።
ብዙውን ጊዜ, ሁሉም የሩሲያ ምድቦች የንግድ ሂደቶች ቁጥጥር እና የውጭ ኩባንያዎች ዋና መሥሪያ ቤቶች ይታወቃሉ, እና ስለዚህ ውስጣዊ የቡድን-አቀፍ ደረጃዎችን ማክበር አለባቸው. ከቅርብ ጊዜ ወዲህ አንዳንድ ቁልፍ ደንበኞቻችን የደህንነት ፖሊሲዎቻቸውን ወደ ማጠናከር አቅጣጫ ማሻሻል ጀምረዋል። በእርግጥ ይህ እየጨመረ በመጣው የሳይበር ጥቃቶች እና ከመረጃ ደህንነት ጥሰት አደጋዎች ጋር ተያይዘው የሚመጡ ኪሳራዎች በአለምአቀፍ ደረጃ ምክንያት ነው።የኩባንያውን የኢንፎርሜሽን ደህንነት ለመጨመር ያለመ የጥበቃ እርምጃዎችን፣ ፖሊሲዎችን እና ሂደቶችን መተግበር አስፈላጊ ከሆነ ያለ ISO ማድረግ ይችላሉ። / IEC 27001 የምስክር ወረቀት, በዚህም ብዙ ገንዘብ, ጊዜ እና ነርቮች ይቆጥባል.
ዛሬ በኩባንያው ውስጥ ለነባር የመረጃ ደህንነት መስፈርቶች ከውጭ ደንበኞች ጨረታዎች ውስጥ መታየት ጀምረዋል. አንዳንዶች ማረጋገጫቸውን ለማቃለል እና አቀራረቡን አንድ ለማድረግ የግዴታ የግምገማ መስፈርት ያስቀምጣሉ - የ ISO/IEC 27001 የምስክር ወረቀት መኖር።
ያየነው ይኸው ነው፡ በዚህ መስፈርት የተመሰከረላቸው ቁልፍ አለም አቀፍ ደንበኞቻችን አንዱ የአለም የመረጃ ደህንነት ቡድኑን በእጅጉ ያጠናከረ ይመስላል። ስለዚህ ጉዳይ እንዴት አወቅን? የኛን የመረጃ ደህንነት አስተዳደር ስርዓት ኦዲት ለማድረግ ወስነዋል፣ ምክንያቱም እኛ ለእነሱ የሂሳብ አገልግሎት እና የሰው አስተዳደር ስለምንሰጣቸው - እና በዚህ መሠረት የመረጃ ስርዓታችን ደህንነት ለእነሱ በጣም አስፈላጊ ነው። ያለፈው ኦዲት የተካሄደው ከ 3 ዓመታት በፊት ነው - በዚያን ጊዜ ሁሉም ነገር ያለ ህመም ሄደ።
በዚህ ጊዜ፣ የሕንድ ወዳጃዊ ቡድን በደህንነት አስተዳደር ስርዓታችን ውስጥ በርካታ ደርዘን ጉድለቶችን በዘዴ በማውጣት ጥቃት ሰንዝሮብናል። የኦዲት ሂደቱ የሳምሳራ ጎማን ይመስላል - በመርህ ደረጃ እንደ የኦዲት አካል የመጨረሻ ነጥብ ላይ ለመድረስ ምንም ግብ ያልነበራቸው ይመስላል። የደንበኛውን የአይቲ ደህንነት ቡድን አነጋገር ለመለየት በሚደረጉ ሙከራዎች ማለቂያ የሌላቸው ጥያቄዎች፣ አስተያየቶች፣ አስተያየቶቻችን እና የእውነታዎቻቸው፣ የኮንፈረንስ ጥሪዎች እና ረጅም የፍልስፍና ንግግሮች ነበሩ። በነገራችን ላይ ኦዲቱ በተለያየ ደረጃ እስከ ዛሬ ድረስ ቀጥሏል - በጊዜ ሂደት ይህንን መግባባት ላይ ደርሰናል። ስለዚህ, የምስክር ወረቀት አስፈላጊነት በራሱ ተነሳ.
ከ ISO 9001 ጋር መስራት እንችላለን?
በማናቸውም የ ISO ደረጃዎች መሰረት በእውቅና ማረጋገጫው ጉዳይ ላይ የበለጠ ወይም ያነሰ እውቀት ያለው እያንዳንዱ ሰው ለእያንዳንዳቸው መሰረት የሆነው ISO 9001 "ጥራት ያለው አስተዳደር ስርዓት" የምስክር ወረቀት መሆኑን ይገነዘባል. ይህ ምናልባት በአሁኑ ጊዜ በመላው የ ISO ደረጃዎች ውስጥ በጣም ታዋቂው የምስክር ወረቀት ነው። አልነበረንም - እና ላለማግኘት ወሰንን. ለዚህ በርካታ ምክንያቶች ነበሩ.
- ይህ የምስክር ወረቀት ያለው ኩባንያ አጠያያቂ ኢኮኖሚያዊ ብቃት;
- የእኛ ውስጣዊ ሂደቶች, በአብዛኛው, ከዚህ መስፈርት ጋር ይቀራረባሉ;
- ይህንን የምስክር ወረቀት ማግኘት ተጨማሪ ጊዜ እና ገንዘብ ይጠይቃል።
በዚህ መሠረት, በ "ቀላሉ" 27001 ሳንጀምር, ISO 9001 ን ወዲያውኑ ተግባራዊ ለማድረግ ወስነናል.
ወይም ምናልባት አሁንም አስፈላጊ አይደለም?
ወደ ፊት ስንመለከት፣ ማግኘት ተገቢ ነው ወይ ወደሚለው ጥያቄ ብዙ ጊዜ ተመልሰናል። ጉዳዩን ከሁሉም አቅጣጫ ማጥናት ጀመርን, ምክንያቱም ምንም አይነት ሙያዊ ችሎታ ስላልነበረን. እና ስለዚህ ጉዳይ እንደገና እንድናስብ ያደረጉ የተሳሳቱ አመለካከቶች እዚህ አሉ.
የተሳሳተ አመለካከት #1.
ደረጃው ዝርዝር የፍተሻ ዝርዝር፣ የፖሊሲዎች ዝርዝር እና ሌሎች ህጋዊ ሰነዶችን ይሰጠናል ብለን ተስፋ አድርገን ነበር። እንደ እውነቱ ከሆነ, ISO / IEC 27001 የመረጃ ደህንነት አስተዳደር ስርዓቱ እራሱ እና እየተገነባ ላለው ሂደት መስፈርቶች ስብስብ ሆኖ ተገኝቷል. በእነሱ ላይ በመመስረት የደረጃውን መስፈርቶች ለማክበር በኩባንያችን ውስጥ ምን እንደሚፃፍ / እንደሚተገበር በግል መወሰን አስፈላጊ ነበር ።
የተሳሳተ አመለካከት #2.
አንድን ሰነድ አጥንተን በአጭር ጊዜ ውስጥ በራሳችን መተግበሩ በቂ ነው ብለን ከልብ እናምናለን። እንደ እውነቱ ከሆነ፣ ሰነዱን እያነበብን ሳለ፣ ደረጃችን ምን ያህል ተዛማጅ መመዘኛዎች “እንደሚጣበቁ”፣ ምን ያህል መመዘኛዎች መተዋወቅ እንዳለብን ተገነዘብን (ቢያንስ ላዩን)። በኬክ ላይ ያለው “ቼሪ” በሕዝብ ጎራ ውስጥ የአሁኑን ደረጃዎች ጽሑፎች እጥረት ነበር - እነሱ በኦፊሴላዊው ISO ድር ጣቢያ ላይ መግዛት ነበረባቸው።
የተሳሳተ አመለካከት #3.
ለዕውቅና ማረጋገጫ ለማዘጋጀት የሚያስፈልጉንን ነገሮች በሙሉ በክፍት ምንጮች እንደምናገኝ እርግጠኞች ነበርን። በበይነመረቡ ላይ በ ISO 27001 ላይ በጣም ብዙ ቁሳቁሶች ነበሩ ፣ ግን እነሱ በዝርዝር የጎደላቸው ነበሩ። ለዕውቅና ማረጋገጫ ለመዘጋጀት ቀላል የሆነ ለመረዳት የሚያስችል ደረጃ-በደረጃ መመሪያዎች እንዲሁም ይህንን መስፈርት ተግባራዊ ያደረጉ ኩባንያዎች እውነተኛ ጉዳዮች አልነበሩም።
የተሳሳተ አመለካከት #4.
ፖሊሲዎችን እንጽፋለን, ግን አይሰሩም! ደህና ፣ እውነት ነው ፣ ኩባንያችን ቀድሞውኑ ብዙ ህጎች አሉት ፣ ማንም ሌላ 3 ደርዘን አዲስ ፖሊሲዎችን አያከብርም። እንደ እውነቱ ከሆነ, እንደ እድል ሆኖ, ሰራተኞቻችን አዲሶቹን ደንቦች በኃላፊነት የመቆጣጠር ስራ ወስደዋል እና በተሳካ ሁኔታ የመረጃ ደህንነት አስተዳደር ስርዓት ሰነዶችን የእውቀት ፈተና አልፈዋል.
የተሳሳተ አመለካከት #5.
በዚያን ጊዜ ከጥረታችን ምን ጥቅም እንደምናገኝ በግልፅ መገምገም አልቻልንም። በዛን ጊዜ፣ ለዚህ ሰርተፍኬት የጠየቁት ጥያቄዎች ያን ያህል ትልቅ አልነበሩም፣ እና ቁልፍ እና በጣም አስፈላጊው ደንበኛችን ከምስክር ወረቀት ከረጅም ጊዜ በፊት ነበረን። ያለ ስታንዳርድ እንደመራን ልምዱ አሳይቷል።
በአንድ ወቅት, እኛ በደንበኛው መስፈርቶች ምክንያት አንድ ወይም ሌላ ብቅ ያለ ክፍተት እንደዘጋን ተገነዘብን. አንዳንድ አዳዲስ ፖሊሲዎችን ወይም መፍትሄዎችን ባወጣን ቁጥር። እና በመጨረሻ እኛ በራሳችን ወደ መደምደሚያው ደርሰናል ፣ ሂደቱን በስርዓት ማቀናጀት በጣም ቀላል ይሆናል ፣ ይህም ለወደፊቱ ብዙ የሰው ኃይል ወጪዎችን እንኳን ያድናል። መስፈርቱ ይህንን ተግባር ለማቃለል ታስቦ ነበር።
አሁን፣ ከሁለት ዓመት በኋላ፣ በዚህ ጉዳይ ላይ ከዋነኛ ዓለም አቀፍ ደንበኞች የሚቀርቡ ጥያቄዎች እና ፍላጎት እየጨመረ የመጣ አዝማሚያ እናያለን።
የመጨረሻ ውሳኔ.
ለማጠቃለል ያህል, የእኛ የኢንዱስትሪ መሪዎቻችን የ ISO/IEC 27001 የምስክር ወረቀት አግኝተዋል, ይህም ሌሎች ዋና ዋና አቅራቢዎች (እኛን ጨምሮ) ስለዚህ ጉዳይ እንዲያስቡ አስገድዷቸዋል. ያለምንም ጥርጥር, በኩባንያው የግብይት ቁሳቁሶች ውስጥ የሚያምር መስመር - በድር ጣቢያው ላይ, በማህበራዊ አውታረ መረቦች, በማስታወቂያ ብሮሹሮች, ወዘተ. - እንደ አስደሳች ጉርሻ ሊቆጠር ይችላል ፣ ግን ለእሱ ብዙ ሀብቶችን ማውጣት ጠቃሚ ነው? እኛ ራሳችን ይህ ለእኛ ቆንጆ መስመር ብቻ እንዳልሆነ ወስነናል, እናም በዚህ ፕሮጀክት ውስጥ ተሳትፈናል.
ምንጭ: hab.com