Ang ikaupat nga yugto sa emosyonal nga tubag sa pagbag-o mao ang depresyon. Sa kini nga artikulo isulti namon kanimo ang bahin sa among kasinatian sa pag-agi sa labing malungtaron ug dili maayo nga yugto - bahin sa mga pagbag-o sa mga proseso sa negosyo sa kompanya aron makab-ot ang ilang pagsunod sa sumbanan nga ISO 27001.
Naghulat
Ang una nga pangutana nga among gipangutana sa among kaugalingon pagkahuman sa pagpili sa nagpamatuod nga lawas ug consultant kung pila ka oras ang kinahanglan namon aron mahimo ang tanan nga kinahanglan nga mga pagbag-o?
Ang inisyal nga plano sa trabaho gieskedyul sa paagi nga kinahanglang makompleto namo kini sulod sa 3 ka bulan.
Ang tanan morag yano: gikinahanglan nga magsulat og duha ka dosena nga mga palisiya ug gamay nga usbon ang atong internal nga mga proseso; dayon bansayon ββang mga kauban sa mga pagbag-o ug maghulat og laing 3 ka bulan (aron makita ang "mga rekord", nga mao, ebidensya sa paglihok sa mga palisiya). Ingon og mao ra kana - ug ang sertipiko naa sa among bulsa.
Dugang pa, dili kami magsulat sa mga palisiya gikan sa wala - pagkahuman, kami adunay usa ka consultant nga, ingon sa among gihunahuna, kinahanglan nga maghatag kanamo sa tanan nga "husto" nga mga template.
Isip resulta niini nga mga konklusyon, naggahin kami og 3 ka adlaw sa pag-andam sa matag polisiya.
Ang teknikal nga mga pagbag-o dili usab makahadlok: kinahanglan nga i-set up ang pagkolekta ug pagtipig sa mga panghitabo, susihon kung ang mga backup nagsunod ba sa palisiya nga among gisulat, i-retrofit ang mga opisina nga adunay mga sistema sa pagkontrol sa pag-access kung gikinahanglan, ug pipila pa nga gagmay nga mga butang. .
Ang grupo nga nag-andam sa tanan nga gikinahanglan alang sa sertipikasyon naglangkob sa duha ka tawo. Kami nagplano nga sila moapil sa pagpatuman sa susama sa ilang mga nag-unang mga responsibilidad, ug kini nagkinahanglan sa matag usa kanila sa usa ka maximum nga 1,5-2 ka oras sa usa ka adlaw.
Sa pag-summarize, makaingon kita nga ang atong panglantaw sa umaabot nga sakup sa trabaho malaumon kaayo.
Reality
Sa tinuud, ang tanan natural nga lahi: ang mga template sa palisiya nga gihatag sa consultant nahimo nga kasagaran dili magamit sa among kompanya; Halos walay klaro nga impormasyon sa Internet bahin sa unsa ug unsaon pagbuhat. Sama sa imong mahanduraw, ang plano sa "pagsulat sa usa ka palisiya sa 3 ka adlaw" napakyas pag-ayo. Mao nga mihunong kami sa pagtagbo sa mga deadline hapit gikan sa sinugdanan sa proyekto, ug ang among mood nagsugod nga hinayhinay nga nahulog.
Ang kahanas sa team gamay ra kaayo - nga dili pa igo nga mangutana sa husto nga mga pangutana sa consultant (nga, sa tinuud, wala magpakita daghang inisyatibo). Ang mga butang nagsugod sa paglihok nga labi ka hinay, sukad sa 3 ka bulan pagkahuman sa pagsugod sa pagpatuman (nga mao, sa higayon nga andam na ang tanan), usa sa duha nga hinungdanon nga mga partisipante mibiya sa team. Gipulihan siya sa usa ka bag-ong pinuno sa serbisyo sa IT, nga kinahanglan nga dali nga makompleto ang proseso sa pagpatuman ug mahatagan ang sistema sa pagdumala sa seguridad sa kasayuran sa tanan nga labing kinahanglan gikan sa usa ka teknikal nga punto sa pagtan-aw. Lisod tan-awon ang buluhaton... Ang mga nagdumala nagsugod sa pagka-depress.
Dugang pa, ang teknikal nga bahin sa isyu nahimo usab nga adunay "mga nuances". Nag-atubang kami sa tahas sa global nga modernisasyon sa software sa mga workstation ug sa kagamitan sa server. Samtang gipahimutang ang sistema aron mangolekta og mga panghitabo (mga troso), nahimo nga wala kami igo nga mga kapanguhaan sa hardware alang sa normal nga pagpaandar sa sistema. Ug ang backup nga software nagkinahanglan usab og modernisasyon.
Spoiler: Ingon usa ka sangputanan, ang ISMS mabayanihon nga gipatuman sa 6 ka bulan. Ug walay bisan usa nga namatay!
Unsa ang labing nakapausab?
Siyempre, sa panahon sa pagpatuman sa sumbanan, daghang mga gagmay nga pagbag-o ang nahitabo sa mga proseso sa kompanya. Gipasiugda namo ang labing mahinungdanong mga kausaban alang kanimo:
- Pagpormal sa proseso sa pagtasa sa risgo
Kaniadto, ang kompanya walaβy pormal nga proseso sa pagtimbang-timbang sa peligro - kini gihimo lamang sa pagpasa isip bahin sa kinatibuk-ang estratehikong pagplano. Usa sa labing importante nga mga buluhaton nga nasulbad isip kabahin sa sertipikasyon mao ang pagpatuman sa Risk Assessment Policy sa kompanya, nga naghulagway sa tanang yugto niini nga proseso ug sa mga tawo nga responsable sa matag yugto.
- Pagkontrol sa matangtang nga storage media
Usa sa mahinungdanong mga risgo alang sa negosyo mao ang paggamit sa unencrypted USB flash drives: sa pagkatinuod, bisan kinsa nga empleyado makasulat sa bisan unsa nga impormasyon nga anaa kaniya sa usa ka flash drive ug, sa labing maayo, mawala kini. Isip kabahin sa sertipikasyon, ang abilidad sa pag-download sa bisan unsa nga impormasyon ngadto sa mga flash drive na-disable sa tanang workstation sa empleyado - ang pagrekord sa impormasyon nahimong posible lamang pinaagi sa aplikasyon sa IT department.
- Super User Control
Usa sa mga nag-unang problema mao ang kamatuoran nga ang tanan nga mga empleyado sa departamento sa IT adunay hingpit nga mga katungod sa tanan nga mga sistema sa kompanya - sila adunay access sa tanan nga kasayuran. Sa samang higayon, walay nagkontrolar kanila.
Nagpatuman kami og Data Loss Prevention (DLP) nga sistema - usa ka programa alang sa pagmonitor sa mga aksyon sa empleyado nga nag-analisar, nag-block ug nag-alerto bahin sa peligroso ug dili produktibo nga mga kalihokan. Karon ang mga alerto bahin sa mga aksyon sa mga empleyado sa departamento sa IT gipadala sa email address sa Operations Director sa kompanya.
- Pamaagi sa pag-organisar sa imprastraktura sa impormasyon
Ang sertipikasyon nanginahanglan mga pagbag-o ug pamaagi sa kalibutan. Oo, kinahanglan namon nga i-upgrade ang daghang kagamitan sa server tungod sa pagtaas sa karga. Sa partikular, kami nagpahinungod sa usa ka bulag nga server alang sa mga sistema sa pagkolekta sa panghitabo. Ang server nasangkapan sa dako ug paspas nga SSD drive. Gibiyaan namo ang backup nga software ug gipili ang mga sistema sa pagtipig nga adunay tanan nga gikinahanglan nga gamit nga wala sa kahon. Naghimo kami daghang dagkong mga lakang padulong sa konsepto nga "imprastraktura ingon code", nga nagtugot kanamo nga makatipig daghang espasyo sa disk pinaagi sa pagtangtang sa backup sa daghang mga server. Sa pinakamubo nga panahon (1 ka semana), ang tanang software sa mga workstation gi-upgrade sa Win10. Usa sa mga isyu nga nasulbad sa modernisasyon mao ang abilidad sa pag-encode (sa Pro nga bersyon).
- Pagkontrol sa mga dokumento sa papel
Ang kompaniya adunay dagkong mga risgo nga nalangkit sa paggamit sa mga dokumento sa papel: kini mahimong mawala, mabiyaan sa sayop nga dapit, o dili hustong malaglag. Aron maminusan kini nga peligro, among gimarkahan ang tanan nga mga dokumento sa papel sumala sa lebel sa kompidensyal ug nagpalambo usa ka pamaagi sa pagguba sa lainlaing mga lahi sa mga dokumento. Karon, kung ang usa ka empleyado magbukas sa usa ka folder o magkuha usa ka dokumento, nahibal-an niya kung unsa nga kategorya ang kini nga kasayuran nahulog ug kung giunsa kini pagdumala.
- Pag-abang og backup nga data center
Kaniadto, ang tanan nga impormasyon sa kompanya gitipigan sa mga server nga nahimutang sa usa ka third-party nga secure data center. Bisan pa, walaβy mga pamaagi sa emerhensya nga gihimo sa kini nga sentro sa datos. Ang solusyon mao ang pag-abang sa usa ka backup nga cloud data center ug i-back up ang labing hinungdanon nga kasayuran didto. Sa pagkakaron, ang impormasyon sa kompanya gitipigan sa duha ka geographically remote data centers, nga nagpamenos sa risgo sa pagkawala niini.
- Pagsulay sa pagpadayon sa negosyo
Ang among kompanya adunay usa ka Business Continuity Policy (BCP) nga gipahimutang sa daghang mga tuig, nga naghulagway kung unsa ang kinahanglan buhaton sa mga empleyado sa lainlaing negatibo nga mga senaryo (pagkawala sa pag-access sa opisina, epidemya, pagkawala sa kuryente, ug uban pa). Bisan pa, wala pa kami nagpahigayon sa pagpadayon nga pagsulay - sa ato pa, wala pa namon masukod kung unsa kadugay ang kinahanglan aron mapasig-uli ang negosyo sa matag usa niini nga mga sitwasyon. Sa pag-andam alang sa pag-audit sa sertipikasyon, wala lang namo kini gibuhat, apan nagpalambo usab sa plano sa pagsulay sa pagpadayon sa negosyo alang sa umaabot nga tuig. Angay nga matikdan nga usa ka tuig ang milabay, sa dihang nag-atubang kami sa panginahanglan nga hingpit nga mobalhin sa hilit nga trabaho, nahuman namo kini nga buluhaton sulod sa tulo ka adlaw.
Importante nga matikdan, nga ang tanan nga mga kompanya nga nangandam alang sa sertipikasyon adunay lainlaing mga kondisyon sa pagsugod - busa, sa imong kaso, mahimoβg kinahanglan ang hingpit nga lainlaing mga pagbag-o.
Mga reaksyon sa empleyado sa mga pagbag-o
Katingad-an - dinhi gipaabut namon ang labing daotan - kini nahimo nga dili kaayo daotan. Dili ikaingon nga ang mga kauban nakadawat sa balita sa sertipikasyon uban ang dakong kadasig, apan ang mosunod klaro:
- Ang tanan nga nag-unang empleyado nakasabut sa kamahinungdanon ug dili kalikayan niini nga panghitabo;
- Ang tanan nga ubang mga empleyado nagtan-aw sa mga nag-unang empleyado.
Siyempre, ang mga detalye sa among industriya nakatabang kaayo kanamo - outsourcing sa mga gimbuhaton sa accounting. Ang kadaghanan sa among mga empleyado maayo nga nakasagubang sa kanunay nga pagbag-o sa balaod sa Russia. Tungod niini, ang pagpaila sa duha ka dosena nga bag-ong mga lagda nga karon kinahanglan nga sundon dili usa ka butang nga talagsaon alang kanila.
Nag-andam kami og bag-ong mandatory nga ISO 27001 nga pagbansay ug pagsulay alang sa tanan namong mga empleyado. Ang tanan masulundon nga nagtangtang sa mga sticky notes nga adunay mga password gikan sa ilang mga monitor ug gilimpyohan ang mga lamesa nga puno sa mga dokumento. Walaβy namatikdan nga kusog nga pagkadiskontento - sa kinatibuk-an, swerte kaayo kami sa among mga empleyado.
Sa ingon, nakaagi kami sa labing sakit nga yugto - "depresyon" - nga adunay kalabotan sa mga pagbag-o sa mga proseso sa among negosyo. Lisud ug lisud, apan ang resulta sa katapusan milabaw sa tanan namong labing gipaabut.
Basaha ang miaging mga materyal gikan sa serye:
5 nga yugto sa dili malikayan nga sertipikasyon sa ISO/IEC 27001. Depresyon.
5 nga yugto sa dili malikayan nga sertipikasyon sa ISO/IEC 27001. Pagsagop.
Source: www.habr.com