ProHoster > بلوق > إدارة > 5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 النفي

5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 النفي

عند اتخاذ أي قرار مهم من الناحية الاستراتيجية للشركة، يمر الموظفون بآلية دفاع أساسية، تُعرف بالمراحل الخمس للاستجابة للتغيير (بقلم إي كوبلر روس). وصف أحد علماء النفس البارزين ذات مرة ردود الفعل العاطفية، مسلطًا الضوء على خمس مراحل رئيسية للاستجابة العاطفية: إنكار, غضب, مزاد علني, كآبة وأخيرا تبني. لقد قمنا بإعداد سلسلة من المقالات المخصصة لشهادة ISO 27001، حيث سننظر في كل مرحلة من المراحل. اليوم سنتحدث عن أولهم – الإنكار.

5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 النفي

يعد الحصول على شهادة ISO 27001 "للعرض" متعة مشكوك فيها للغاية، لأنها تتطلب إعدادًا طويلًا ومكلفًا. علاوة على ذلك، كما يظهر إحصائيات، هذا المعيار لا يحظى بشعبية كبيرة في الاتحاد الروسي: حتى الآن، تم اعتماد 70 شركة فقط للامتثال. وفي الوقت نفسه، يعد هذا أحد المعايير الأكثر شيوعًا في الخارج، حيث يلبي المتطلبات المتزايدة للأعمال في مجال أمن المعلومات.

توفر شركتنا مجموعة كاملة من خدمات الاستعانة بمصادر خارجية للوظائف المحاسبية: المحاسبة والمحاسبة الضريبية وكشوف المرتبات وإدارة شؤون الموظفين. نحن نحتل أحد المراكز الرائدة في السوق، ويرجع ذلك على وجه الخصوص إلى حقيقة أن الشركات الأجنبية التي لها فروع في روسيا تثق بنا بمعلوماتها السرية. ولا ينطبق هذا على العمليات المالية لعملائنا فحسب، بل ينطبق أيضًا على البيانات الشخصية التي نعمل معها يوميًا. وفي هذا الصدد، تعتبر مسألة أمن المعلومات إحدى أولوياتنا.

في كثير من الأحيان، يتم التحكم في جميع العمليات التجارية للأقسام الروسية والإعلان عنها من قبل المكاتب الرئيسية للشركات الأجنبية، وبالتالي يجب أن تمتثل للمعايير الداخلية على مستوى المجموعة. في الآونة الأخيرة، بدأ بعض عملائنا الرئيسيين في مراجعة سياساتهم الأمنية في اتجاه تشديدها. ويرجع ذلك بالطبع إلى الاتجاهات العالمية في تزايد عدد الهجمات السيبرانية والخسائر المرتبطة بحوادث اختراق أمن المعلومات، فإذا كان من الضروري تنفيذ تدابير وسياسات وإجراءات الحماية التي تهدف إلى زيادة أمن معلومات الشركة، فيمكنك الاستغناء عن ISO شهادة /IEC 27001، مما يوفر الكثير من المال والوقت والأعصاب.

5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 النفي

اليوم، بدأت متطلبات أمن المعلومات الموجودة في الشركة بالظهور في المناقصات المقدمة من العملاء الأجانب. البعض، من أجل تبسيط عملية التحقق وتوحيد النهج، وضع معيار تقييم إلزامي - وجود شهادة ISO/IEC 27001.

إليك ما رأيناه: يبدو أن أحد عملائنا الدوليين الرئيسيين المعتمدين لهذا المعيار قد عزز بشكل كبير فريق أمن المعلومات العالمي الخاص به. كيف عرفنا عن هذا؟ لقد قرروا مراجعة نظام إدارة أمن المعلومات لدينا، لأننا نقدم لهم خدمات المحاسبة وإدارة شؤون الموظفين - وبالتالي، فإن أمن أنظمة المعلومات لدينا أمر بالغ الأهمية بالنسبة لهم. تمت المراجعة السابقة قبل 3 سنوات - وفي ذلك الوقت سار كل شيء دون ألم.

هذه المرة، هاجمنا فريق ودود من الهنود، واكتشفوا ببراعة العشرات من أوجه القصور في نظام إدارة الأمن لدينا. كانت عملية التدقيق تشبه عجلة Samsara - حيث يبدو أنه من حيث المبدأ لم يكن لديهم هدف للوصول إلى أي نقطة نهائية كجزء من التدقيق. لقد كانت عبارة عن سلسلة لا نهاية لها من الأسئلة والتعليقات وتعليقاتنا والأدلة على واقعها، والمكالمات الجماعية والمحادثات الفلسفية المطولة في محاولة للتعرف على لهجة فريق أمن تكنولوجيا المعلومات التابع للعميل. بالمناسبة، يستمر التدقيق بدرجات متفاوتة من الشدة حتى يومنا هذا - مع مرور الوقت، توصلنا إلى قبول هذا. وبالتالي، نشأت الحاجة إلى الشهادة من تلقاء نفسها.

ربما يمكننا الاكتفاء بـ ISO 9001؟

كل من هو أكثر أو أقل خبرة في مسألة إصدار الشهادات وفقًا لأي من معايير ISO يدرك أن الأساس لكل منها هو شهادة ISO 9001 "نظام إدارة الجودة". ربما تكون هذه هي الشهادة الأكثر شيوعًا حاليًا في مجموعة معايير ISO بأكملها. لم يكن لدينا - وقررنا عدم الحصول عليه. كان هنالك عدة أسباب لهذا:

  • الكفاءة الاقتصادية المشكوك فيها للشركة الحاصلة على هذه الشهادة؛
  • وكانت عملياتنا الداخلية، في معظمها، قريبة بالفعل من هذا المعيار؛
  • يتطلب الحصول على هذه الشهادة وقتًا ومالًا إضافيًا.

وبناء على ذلك، قررنا تطبيق ISO 27001 على الفور، دون البدء بالمعيار 9001 "الأخف".

أو ربما لا يزال غير ضروري؟

وبالنظر إلى المستقبل، فقد عدنا عدة مرات إلى مسألة ما إذا كان من المستحسن الحصول عليها. بدأنا بدراسة الموضوع من كافة الجوانب، لأنه لم تكن لدينا أي خبرة على الإطلاق. وهنا المفاهيم الخاطئة التي جعلتنا نفكر في هذا الموضوع مرة أخرى.

فكرة خاطئة رقم 1.
وكنا نأمل أن يزودنا المعيار بقائمة مرجعية مفصلة، ​​وقائمة بالسياسات والوثائق القانونية الأخرى. في الواقع، اتضح أن ISO/IEC 27001 عبارة عن مجموعة من المتطلبات لنظام إدارة أمن المعلومات نفسه والعملية التي يتم بناؤها. بناءً عليها، كان من الضروري أن نقرر بشكل مستقل ما يجب كتابته/تنفيذه في شركتنا للامتثال لمتطلبات المعيار.

فكرة خاطئة رقم 2.
لقد اعتقدنا بصدق أنه سيكون كافيًا بالنسبة لنا أن ندرس وثيقة واحدة وننفذها بمفردنا في وقت قصير نسبيًا. في الواقع، أثناء قراءة الوثيقة، أدركنا عدد المعايير ذات الصلة "التي يتمسك" معيارنا بها، وعدد المعايير التي نحتاج إلى التعرف عليها (على الأقل سطحيًا). كان "الكرز" الموجود على الكعكة هو عدم وجود نصوص للمعايير الحالية في المجال العام - وكان لا بد من شراؤها على موقع ISO الرسمي.

فكرة خاطئة رقم 3.
كنا واثقين من أننا سنجد كل ما نحتاجه للتحضير للحصول على الشهادة في المصادر المفتوحة. وكان هناك بالفعل الكثير من المواد المتعلقة بالمعيار ISO 27001 على الإنترنت، لكنها كانت تفتقر إلى التفاصيل. ولم تكن هناك عملياً تعليمات خطوة بخطوة سهلة الفهم للتحضير للحصول على الشهادة، فضلاً عن حالات حقيقية للشركات التي نفذت هذا المعيار.

فكرة خاطئة رقم 4.
سنكتب السياسات، لكنها لن تنجح! حسنًا، هذا صحيح، فشركتنا لديها بالفعل الكثير من القواعد، ولن يمتثل أحد لثلاث عشرات من السياسات الجديدة الأخرى. في الواقع، لحسن الحظ، تولى موظفونا مهمة إتقان القواعد الجديدة بمسؤولية واجتازوا بنجاح اختبار المعرفة بوثائق نظام إدارة أمن المعلومات.

فكرة خاطئة رقم 5.
في ذلك الوقت، لم نتمكن من تقييم الفوائد التي سنحصل عليها من جهودنا بشكل واضح. في ذلك الوقت، لم يكن عدد طلبات هذه الشهادة كبيرًا جدًا، وكان لدينا عميلنا الرئيسي والأكثر تطلبًا قبل فترة طويلة من الشهادة. أظهرت التجربة أننا نجحنا دون معيار.

في مرحلة ما، أدركنا أننا كنا نغلق فجوة أو أخرى من الفجوات الناشئة بشكل عشوائي بسبب متطلبات العميل. في كل مرة توصلنا إلى بعض السياسات أو الحلول الجديدة. وأخيراً توصلنا بشكل مستقل إلى استنتاج مفاده أنه سيكون من الأسهل بكثير تنظيم العملية، الأمر الذي سيوفر لنا الكثير من تكاليف العمالة في المستقبل. وكان الهدف من المعيار هو تبسيط هذه المهمة.

والآن، بعد مرور عامين، نرى اتجاهًا متزايدًا في عدد الطلبات والاهتمام بهذا الإصدار من كبار العملاء الدوليين.

قرار نهائي.

في الختام، نود أن نقول إن قادة الصناعة لدينا قد حصلوا على شهادة ISO/IEC 27001، الأمر الذي أجبر جميع مقدمي الخدمات الرئيسيين الآخرين (بما فيهم نحن) على التفكير في هذه المشكلة. مما لا شك فيه، خط جميل في المواد التسويقية للشركة - على الموقع الإلكتروني، على الشبكات الاجتماعية، في الكتيبات الإعلانية، إلخ. – يمكن اعتبارها مكافأة ممتعة، ولكن هل تستحق إنفاق الكثير من الموارد من أجلها؟ قررنا بأنفسنا أن هذا أكثر من مجرد خط جميل، وقد شاركنا في هذا المشروع.

المصدر: www.habr.com

إضافة تعليق