Şirkət üçün hər hansı strateji əhəmiyyətli qərar qəbul edərkən işçilər dəyişikliyə reaksiyanın 5 mərhələsi kimi tanınan əsas müdafiə mexanizmindən keçirlər (E. Kübler-Ross tərəfindən). Görkəmli psixoloq bir dəfə emosional reaksiyaların 5 əsas mərhələsini vurğulayaraq emosional reaksiyaları təsvir etmişdir: inkar, qəzəb, bazarlıq, depressiya və, nəhayət, Övladlığa götürmə. Biz ISO 27001 sertifikatına həsr olunmuş bir sıra məqalələr hazırlamışıq, burada mərhələlərin hər birinə baxacağıq. Bu gün onlardan birincisi - inkar haqqında danışacağıq.
ISO 27001 sertifikatını “göstərmək üçün” almaq çox şübhəli bir zövqdür, çünki bu, uzun və bahalı hazırlıq tələb edir. Üstəlik, göründüyü kimi , bu standart Rusiya Federasiyasında son dərəcə qeyri-populyardır: bu günə qədər yalnız 70 şirkət uyğunluq sertifikatına malikdir. Eyni zamanda, bu, informasiya təhlükəsizliyi sahəsində biznesin artan tələblərinə cavab verən xaricdə ən populyar standartlardan biridir.
Şirkətimiz mühasibat uçotu funksiyaları üçün autsorsinq xidmətlərinin tam spektrini təqdim edir: mühasibat və vergi uçotu, əmək haqqı və kadrların idarə edilməsi. Xüsusilə Rusiyada filialları olan xarici şirkətlərin məxfi məlumatlarını bizə etibar etmələrinə görə, biz aparıcı bazar mövqelərindən birini tuturuq. Bu, təkcə müştərilərimizin maliyyə proseslərinə deyil, həm də gündəlik işlədiyimiz şəxsi məlumatlara aiddir. Bu baxımdan informasiya təhlükəsizliyi məsələsi bizim prioritet istiqamətlərimizdən biridir.
Çox vaxt Rusiya bölmələrinin bütün iş prosesləri xarici şirkətlərin baş ofisləri tərəfindən idarə olunur və bəyan edilir və buna görə də onlar daxili qrup standartlarına uyğun olmalıdırlar. Bu yaxınlarda bəzi əsas müştərilərimiz təhlükəsizlik siyasətlərini sərtləşdirmək istiqamətində yenidən nəzərdən keçirməyə başladılar. Təbii ki, bu, kiberhücumların sayının artması və informasiya təhlükəsizliyinin pozulması insidentləri ilə bağlı itkilərin qlobal tendensiyaları ilə bağlıdır.Şirkətin informasiya təhlükəsizliyinin artırılmasına yönəlmiş mühafizə tədbirləri, siyasət və prosedurların həyata keçirilməsi zərurəti yaranarsa, siz İSO olmadan edə bilərsiniz. /IEC 27001 sertifikatı, bununla da çoxlu pula, vaxta və əsəblərə qənaət.
Bu gün şirkətdə mövcud informasiya təhlükəsizliyinə dair tələblər xarici müştərilərin tenderlərində görünməyə başlayıb. Bəziləri, onların yoxlanılmasını sadələşdirmək və yanaşmanı birləşdirmək üçün məcburi qiymətləndirmə meyarını - ISO/IEC 27001 sertifikatının mövcudluğunu təyin edirlər.
Gördüyümüz budur: Bu standarta uyğun sertifikatlaşdırılmış əsas beynəlxalq müştərilərimizdən biri qlobal informasiya təhlükəsizliyi komandasını əhəmiyyətli dərəcədə gücləndirib. Biz bu haqda hardan bildik? Onlar bizim informasiya təhlükəsizliyinin idarə edilməsi sistemimizi yoxlamaq qərarına gəliblər, çünki biz onlara mühasibat xidmətləri və kadrların idarə edilməsi ilə təmin edirik - və müvafiq olaraq, informasiya sistemlərimizin təhlükəsizliyi onlar üçün çox vacibdir. Əvvəlki audit 3 il əvvəl olub - o vaxt hər şey olduqca ağrısız gedirdi.
Bu dəfə hindlilərdən ibarət mehriban bir komanda bizə hücum etdi və təhlükəsizlik idarəetmə sistemimizdə bir neçə onlarla çatışmazlıqları aşkara çıxardı. Audit prosesi Samsara çarxına bənzəyirdi - görünürdü ki, prinsipcə onların auditin bir hissəsi kimi hər hansı son nöqtəyə çatmaq məqsədi yoxdur. Bu, sonsuz suallar silsiləsi, şərhlər, şərhlərimiz və onların reallığına dair sübutlar, konfrans zəngləri və müştərinin İT təhlükəsizlik komandasının vurğularını tanımaq cəhdlərində uzun fəlsəfi söhbətlər idi. Yeri gəlmişkən, audit bu günə qədər müxtəlif dərəcədə intensivliklə davam edir - zaman keçdikcə biz bununla barışdıq. Beləliklə, sertifikatlaşdırma ehtiyacı öz-özünə yaranıb.
Bəlkə ISO 9001 ilə kifayətlənə bilərik?
İSO standartlarından hər hansı birinə uyğun olaraq sertifikatlaşdırma məsələsində az-çox fərasəti olan hər kəs başa düşür ki, onların hər biri üçün əsas ISO 9001 “Keyfiyyət İdarəetmə Sistemi” sertifikatıdır. Bu, bəlkə də hal-hazırda ISO standartlarının bütün xəttində ən populyar sertifikatdır. Bizdə yox idi - və biz onu almamağa qərar verdik. Bunun bir neçə səbəbi var idi:
- bu sertifikata malik olan şirkətin şübhəli iqtisadi səmərəliliyi;
- daxili proseslərimiz, əksər hallarda, artıq bu standarta yaxın idi;
- Bu sertifikatı əldə etmək əlavə vaxt və pul tələb edəcəkdir.
Müvafiq olaraq, biz “çaxmaq” 27001 ilə başlamadan dərhal ISO 9001 tətbiq etmək qərarına gəldik.
Və ya bəlkə hələ də lazım deyil?
İrəliyə baxaraq, onu əldə etməyin məqsədəuyğun olub-olmaması sualına dəfələrlə qayıtdıq. Biz məsələni hər tərəfdən öyrənməyə başladıq, çünki bizim heç bir təcrübəmiz yox idi. Və burada bizi bu məsələ üzərində bir daha düşünməyə vadar edən yanlış təsəvvürlər var.
Yanlış fikir №1.
Biz ümid edirdik ki, standart bizə ətraflı yoxlama siyahısı, siyasətlərin siyahısı və digər qanuni sənədləri təqdim edəcək. Reallıqda məlum oldu ki, ISO/IEC 27001 informasiya təhlükəsizliyi idarəetmə sisteminin özü və qurulan proses üçün tələblər toplusudur. Onlara əsaslanaraq, standartın tələblərinə riayət etmək üçün şirkətimizdə nə yazmaq / həyata keçirmək barədə müstəqil qərar vermək lazım idi.
Yanlış fikir №2.
Biz ürəkdən inanırdıq ki, bir sənədi öyrənib onu nisbətən qısa müddətdə öz gücümüzlə həyata keçirməyimiz kifayət edər. Əslində, sənədi oxuyarkən standartımızın nə qədər əlaqəli standartlara “yapışdığını”, neçə standartla tanış olmağımız lazım olduğunu (ən azı səthi olaraq) başa düşdük. Tortun üzərindəki "albalı" ictimai sahədə mövcud standartlar mətnlərinin olmaması idi - onlar rəsmi ISO saytında satın alınmalı idi.
Yanlış fikir №3.
Sertifikatlaşdırmaya hazırlaşmaq üçün lazım olan hər şeyi açıq mənbələrdə tapacağımıza əmin idik. Həqiqətən də İnternetdə ISO 27001 ilə bağlı kifayət qədər çoxlu materiallar var idi, lakin onlar daha çox spesifikasiyalara malik deyildilər. Sertifikatlaşdırmaya hazırlaşmaq üçün asan başa düşülən addım-addım təlimatlar, eləcə də bu standartı tətbiq etmiş şirkətlərin real halları praktiki olaraq yox idi.
Yanlış fikir №4.
Siyasətlər yazacağıq, amma işləməyəcək! Düzdür, şirkətimizin artıq çoxlu qaydaları var, heç kim daha 3 onlarla yeni siyasətə əməl etməyəcək. Reallıqda xoşbəxtlikdən əməkdaşlarımız yeni qaydaların mənimsənilməsi vəzifəsini məsuliyyətlə üzərlərinə götürdülər və informasiya təhlükəsizliyinin idarə edilməsi sisteminin sənədləri üzrə bilik testindən uğurla keçdilər.
Yanlış fikir №5.
O zaman biz səylərimizdən hansı faydaları əldə edəcəyimizi dəqiq qiymətləndirə bilmirdik. O vaxt bu sertifikat üçün müraciətlərin sayı o qədər də çox deyildi və bizim əsas və ən tələbkar müştərimiz sertifikatlaşdırmadan çox əvvəl var idi. Təcrübə göstərdi ki, biz standartsız idarə etdik.
Müştərinin tələblərinə görə bu və ya digər yaranan boşluğu xaotik şəkildə bağladığımızı başa düşdük. Hər dəfə biz bəzi yeni siyasətlər və ya həllər təklif etdik. Və nəhayət, müstəqil olaraq belə bir nəticəyə gəldik ki, prosesi sistemləşdirmək daha asan olacaq, bu da gələcəkdə bizə çoxlu əmək xərclərinə qənaət edəcəkdir. Standart bu tapşırığı asanlaşdırmaq üçün nəzərdə tutulmuşdu.
İndi, iki ildən sonra biz əsas beynəlxalq müştərilərdən bu məsələyə müraciətlərin və marağın artması tendensiyası görürük.
Son qərar.
Sonda demək istərdik ki, sənaye liderlərimiz ISO/IEC 27001 sertifikatını aldılar ki, bu da bütün digər əsas provayderləri (o cümlədən bizi) bu məsələ üzərində düşünməyə vadar etdi. Şübhəsiz ki, şirkətin marketinq materiallarında gözəl bir xətt - vebsaytda, sosial şəbəkələrdə, reklam broşuralarında və s. – xoş bonus sayıla bilər, amma bunun üçün bu qədər resurs xərcləməyə dəyərmi? Özümüz qərara gəldik ki, bu, bizim üçün sadəcə gözəl bir xətt deyil və biz bu layihədə iştirak etdik.
Mənbə: www.habr.com