Wrth wneud unrhyw benderfyniad strategol bwysig i'r cwmni, mae gweithwyr yn mynd trwy fecanwaith amddiffyn sylfaenol, sy'n adnabyddus fel y 5 cam o ymateb i newid (gan E. Kübler-Ross). Disgrifiodd seicolegydd amlwg unwaith adweithiau emosiynol, gan amlygu 5 cam allweddol o ymateb emosiynol: gwadu, dicter, bargen, iselder ysbryd ac yn olaf Mabwysiad. Rydym wedi paratoi cyfres o erthyglau sy'n ymroddedig i ardystiad ISO 27001, lle byddwn yn edrych ar bob un o'r camau. Heddiw byddwn yn siarad am y cyntaf ohonynt - gwadu.
Mae cael tystysgrif ISO 27001 “ar gyfer sioe” yn bleser amheus iawn, oherwydd mae angen paratoi hir a drud. Ar ben hynny, fel y mae'n dangos , mae'r safon hon yn hynod amhoblogaidd yn Ffederasiwn Rwsia: hyd yn hyn, dim ond 70 o gwmnïau sydd wedi'u hardystio ar gyfer cydymffurfio. Ar yr un pryd, dyma un o'r safonau mwyaf poblogaidd dramor, gan gwrdd â gofynion cynyddol busnes ym maes diogelwch gwybodaeth.
Mae ein cwmni'n darparu ystod lawn o wasanaethau allanol ar gyfer swyddogaethau cyfrifyddu: cyfrifeg a chyfrifyddu treth, cyflogres a gweinyddu personél. Rydym yn meddiannu un o'r safleoedd blaenllaw yn y farchnad, yn arbennig oherwydd y ffaith bod cwmnïau tramor â changhennau yn Rwsia yn ymddiried ynom â'u gwybodaeth gyfrinachol. Mae hyn yn berthnasol nid yn unig i brosesau ariannol ein cleientiaid, ond hefyd i’r data personol rydym yn gweithio gyda nhw bob dydd. Yn hyn o beth, mater diogelwch gwybodaeth yw un o'n blaenoriaethau.
Yn aml, mae holl brosesau busnes adrannau Rwsia yn cael eu rheoli a'u datgan gan brif swyddfeydd cwmnïau tramor, ac felly mae'n rhaid iddynt gydymffurfio â safonau mewnol y grŵp cyfan. Yn ddiweddar, mae rhai o'n cleientiaid allweddol wedi dechrau adolygu eu polisïau diogelwch i'r cyfeiriad o'u tynhau. Wrth gwrs, mae hyn oherwydd tueddiadau byd-eang yn y nifer cynyddol o ymosodiadau seiber a cholledion sy'n gysylltiedig ag achosion o dorri diogelwch gwybodaeth.Os oes angen gweithredu mesurau amddiffyn, polisïau a gweithdrefnau gyda'r nod o gynyddu diogelwch gwybodaeth y cwmni, gallwch wneud heb ISO Ardystiad IEC 27001, gan arbed llawer o arian, amser a nerfau.
Heddiw, mae'r gofynion ar gyfer diogelwch gwybodaeth presennol yn y cwmni wedi dechrau ymddangos mewn tendrau gan gwsmeriaid tramor. Mae rhai, er mwyn symleiddio eu dilysu ac uno'r dull gweithredu, yn gosod maen prawf gwerthuso gorfodol - presenoldeb ardystiad ISO/IEC 27001.
Dyma beth rydyn ni wedi'i weld: Mae'n ymddangos bod un o'n cleientiaid rhyngwladol allweddol sydd wedi'i ardystio i'r safon hon wedi cryfhau ei dîm diogelwch gwybodaeth byd-eang yn sylweddol. Sut y gwyddom ni am hyn? Penderfynasant archwilio ein system rheoli diogelwch gwybodaeth, oherwydd ein bod yn darparu gwasanaethau cyfrifyddu a gweinyddu personél iddynt - ac, yn unol â hynny, mae diogelwch ein systemau gwybodaeth yn hanfodol bwysig iddynt. Cynhaliwyd yr archwiliad blaenorol 3 blynedd yn ôl - y tro hwnnw aeth popeth yn eithaf di-boen.
Y tro hwn, ymosododd tîm cyfeillgar o Indiaid arnom, gan ddadorchuddio'n ddeheuig sawl dwsin o ddiffygion yn ein system rheoli diogelwch. Roedd y broses archwilio yn ymdebygu i olwyn Samsara - roedd hi'n ymddangos nad oedd ganddyn nhw mewn egwyddor unrhyw nod o gyrraedd unrhyw bwynt terfynol fel rhan o'r archwiliad. Roedd yn gyfres ddiddiwedd o gwestiynau, sylwadau, ein sylwadau a thystiolaeth o’u realiti, galwadau cynadledda a sgyrsiau athronyddol hirfaith mewn ymdrechion i gydnabod acen tîm diogelwch TG y cleient. Gyda llaw, mae'r archwiliad yn parhau gyda graddau amrywiol o ddwysedd hyd heddiw - dros amser, rydym wedi dod i delerau â hyn. Felly, mae'r angen am ardystiad wedi codi ar ei ben ei hun.
Efallai y gallwn wneud ei wneud ag ISO 9001?
Mae pawb sydd fwy neu lai yn ddeallus wrth gyhoeddi ardystiad yn unol ag unrhyw un o safonau ISO yn deall mai'r sail ar gyfer pob un ohonynt yw tystysgrif “System Rheoli Ansawdd” ISO 9001. Efallai mai dyma'r dystysgrif fwyaf poblogaidd ar hyn o bryd yn y llinell gyfan o safonau ISO. Nid oedd gennym ni - a phenderfynon ni beidio â'i gael. Roedd sawl rheswm am hyn:
- effeithlonrwydd economaidd amheus y cwmni sydd â'r dystysgrif hon;
- roedd ein prosesau mewnol, ar y cyfan, eisoes yn agos at y safon hon;
- Byddai angen amser ac arian ychwanegol i gael y dystysgrif hon.
Yn unol â hynny, penderfynasom weithredu ISO 27001 ar unwaith, heb ddechrau gyda'r “ysgafnach” 9001.
Neu efallai nad yw'n angenrheidiol o hyd?
Wrth edrych ymlaen, yr ydym wedi dychwelyd lawer gwaith at y cwestiwn a yw'n ddoeth ei gael. Dechreuasom astudio'r mater o bob ochr, oherwydd nid oedd gennym unrhyw arbenigedd o gwbl. A dyma y camsyniadau a barodd i ni feddwl am y mater hwn unwaith eto.
Camsyniad #1.
Roeddem yn gobeithio y byddai'r safon yn rhoi rhestr wirio fanwl i ni, rhestr o bolisïau a dogfennau statudol eraill. Mewn gwirionedd, daeth yn amlwg bod ISO / IEC 27001 yn set o ofynion ar gyfer y system rheoli diogelwch gwybodaeth ei hun a'r broses sy'n cael ei hadeiladu. Yn seiliedig arnynt, roedd angen penderfynu'n annibynnol beth i'w ysgrifennu / gweithredu yn ein cwmni i gydymffurfio â gofynion y safon.
Camsyniad #2.
Credwn yn ddiffuant y byddai’n ddigon inni astudio un ddogfen a’i rhoi ar waith mewn amser cymharol fyr ar ein pennau ein hunain. Mewn gwirionedd, wrth ddarllen y ddogfen, fe wnaethom sylweddoli faint o safonau cysylltiedig y mae ein safon yn “glynu wrthynt, faint o safonau y mae angen i ni ddod yn gyfarwydd â nhw (yn arwynebol o leiaf). Y “cherry” ar y gacen oedd diffyg testunau safonau cyfredol yn y parth cyhoeddus – roedd yn rhaid eu prynu ar wefan swyddogol ISO.
Camsyniad #3.
Roeddem yn hyderus y byddem yn dod o hyd i bopeth yr oedd ei angen arnom i baratoi ar gyfer ardystio mewn ffynonellau agored. Yn wir, roedd cryn dipyn o ddeunyddiau ar ISO 27001 ar y Rhyngrwyd, ond roeddent braidd yn brin o fanylion. Nid oedd bron unrhyw gyfarwyddiadau cam wrth gam hawdd eu deall ar gyfer paratoi ar gyfer ardystio, yn ogystal ag achosion gwirioneddol o gwmnïau a oedd wedi gweithredu'r safon hon.
Camsyniad #4.
Byddwn yn ysgrifennu polisïau, ond ni fyddant yn gweithio! Wel, mae'n wir, mae gan ein cwmni ormod o reolau eisoes, ni fydd unrhyw un yn cydymffurfio â 3 dwsin o bolisïau newydd eraill. Mewn gwirionedd, yn ffodus, cymerodd ein gweithwyr y dasg o feistroli'r rheolau newydd yn gyfrifol a llwyddo i basio profion am wybodaeth am ddogfennau system rheoli diogelwch gwybodaeth.
Camsyniad #5.
Bryd hynny, ni allem asesu’n glir pa fanteision a gaem o’n hymdrechion. Ar y pryd, nid oedd nifer y ceisiadau am y dystysgrif hon mor fawr, a chawsom ein cleient allweddol a mwyaf heriol ymhell cyn ardystio. Dangosodd profiad ein bod yn llwyddo heb safon.
Ar ryw adeg, sylweddolom ein bod yn cau bwlch a oedd yn dod i'r amlwg yn anhrefnus oherwydd gofynion y cleient. Bob tro roeddem yn llunio rhai polisïau neu atebion newydd. Ac yn olaf daethom yn annibynnol i'r casgliad y byddai'n llawer haws systemateiddio'r broses, a fyddai hyd yn oed yn arbed llawer o gostau llafur i ni yn y dyfodol. Bwriad y safon oedd symleiddio'r dasg hon.
Nawr, ddwy flynedd yn ddiweddarach, gwelwn duedd gynyddol yn nifer y ceisiadau a diddordeb yn y mater hwn gan gleientiaid rhyngwladol mawr.
Penderfyniad terfynol.
I gloi, hoffem ddweud bod ein harweinwyr diwydiant wedi derbyn ardystiad ISO/IEC 27001, sydd wedi gorfodi pob darparwr mawr arall (gan gynnwys ni) i feddwl am y mater hwn. Yn ddi-os, llinell hardd yn deunyddiau marchnata'r cwmni - ar y wefan, ar rwydweithiau cymdeithasol, mewn llyfrynnau hysbysebu, ac ati. – gellir ei ystyried yn fonws dymunol, ond a yw’n werth gwario cymaint o adnoddau ar ei gyfer? Fe benderfynon ni drosom ein hunain fod hyn yn fwy na dim ond llinell hardd i ni, ac fe wnaethom ni gymryd rhan yn y prosiect hwn.
Ffynhonnell: hab.com