Når de træffer en strategisk vigtig beslutning for virksomheden, gennemgår medarbejderne en grundlæggende forsvarsmekanisme, velkendt som de 5 faser af at reagere på forandring (af E. Kübler-Ross). En fremtrædende psykolog beskrev engang følelsesmæssige reaktioner og fremhævede 5 vigtige stadier af følelsesmæssig reaktion: benægtelse, vrede, forhandle, depression og endelig Adoption. Vi har udarbejdet en række artikler dedikeret til ISO 27001-certificering, hvor vi vil se på hver af faserne. I dag vil vi tale om den første af dem - benægtelse.
At opnå et ISO 27001-certifikat "til fremvisning" er en meget tvivlsom fornøjelse, fordi det kræver lang og dyr forberedelse. Desuden, som det viser , denne standard er ekstremt upopulær i Den Russiske Føderation: Til dato er kun 70 virksomheder blevet certificeret til overholdelse. Samtidig er dette en af de mest populære standarder i udlandet, der opfylder erhvervslivets stigende krav inden for informationssikkerhed.
Vores virksomhed tilbyder et komplet udvalg af outsourcing-tjenester til regnskabsfunktioner: regnskab og skatteregnskab, løn- og personaleadministration. Vi indtager en af de førende markedspositioner, især på grund af det faktum, at udenlandske virksomheder med filialer i Rusland stoler på os med deres fortrolige oplysninger. Det gælder ikke kun vores kunders økonomiske processer, men også de persondata, vi arbejder med til daglig. I denne forbindelse er spørgsmålet om informationssikkerhed en af vores prioriteter.
Ofte kontrolleres og erklæres alle forretningsprocesser i russiske afdelinger af udenlandske virksomheders hovedkontorer, og derfor skal de overholde interne koncerndækkende standarder. For nylig er nogle af vores nøglekunder begyndt at revidere deres sikkerhedspolitikker i retning af at stramme dem. Dette skyldes naturligvis globale tendenser i det stigende antal cyberangreb og tab i forbindelse med hændelser vedrørende brud på informationssikkerhed Hvis det er nødvendigt at implementere beskyttelsesforanstaltninger, politikker og procedurer, der har til formål at øge virksomhedens informationssikkerhed, kan du undvære ISO /IEC 27001 certificering, hvilket sparer mange penge, tid og nerver.
I dag er krav til eksisterende informationssikkerhed i virksomheden begyndt at dukke op i udbud fra udenlandske kunder. Nogle opstiller et obligatorisk evalueringskriterium for at forenkle deres verifikation og ensrette tilgangen - tilstedeværelsen af ISO/IEC 27001-certificering.
Her er, hvad vi har set: En af vores internationale nøglekunder, der er certificeret til denne standard, ser ud til at have styrket sit globale informationssikkerhedsteam markant. Hvordan vidste vi om dette? De besluttede at revidere vores informationssikkerhedsstyringssystem, fordi vi giver dem regnskabstjenester og personaleadministration - og derfor er sikkerheden i vores informationssystemer yderst vigtig for dem. Den tidligere revision fandt sted for 3 år siden - dengang gik alt ganske smertefrit.
Denne gang angreb et venligt hold indianere os og afslørede behændigt adskillige dusin mangler i vores sikkerhedsstyringssystem. Revisionsprocessen lignede Samsaras hjul - det så ud til, at de i princippet ikke havde noget mål om at nå et endeligt punkt som en del af revisionen. Det var en endeløs række af spørgsmål, kommentarer, vores kommentarer og beviser på deres virkelighed, telefonmøder og lange filosofiske samtaler i forsøg på at genkende accenten af kundens it-sikkerhedsteam. Tilsynet fortsætter i øvrigt med varierende intensitet den dag i dag – det har vi efterhånden affundet os med. Behovet for certificering er således opstået af sig selv.
Måske kan vi nøjes med ISO 9001?
Alle, der er mere eller mindre kyndige i spørgsmålet om certificering i henhold til en af ISO-standarderne, forstår, at grundlaget for hver af dem er ISO 9001 "Quality Management System"-certifikatet. Dette er måske det mest populære certifikat i øjeblikket i hele linjen af ISO-standarder. Det havde vi ikke – og vi besluttede os for ikke at få det. Det var der flere grunde til:
- den tvivlsomme økonomiske effektivitet af virksomheden, der har dette certifikat;
- vores interne processer var for det meste allerede tæt på denne standard;
- At opnå dette certifikat ville kræve ekstra tid og penge.
Derfor besluttede vi os for straks at implementere ISO 27001 uden at starte med den "lettere" 9001.
Eller er det måske stadig ikke nødvendigt?
Ser vi fremad, er vi mange gange vendt tilbage til spørgsmålet om, hvorvidt det er tilrådeligt at få det. Vi begyndte at studere spørgsmålet fra alle sider, for vi havde absolut ingen ekspertise. Og her er de misforståelser, der fik os til at tænke over dette problem igen.
Misforståelse #1.
Vi håbede, at standarden ville give os en detaljeret tjekliste, en liste over politikker og andre lovpligtige dokumenter. I virkeligheden viste det sig, at ISO/IEC 27001 er et sæt krav til selve informationssikkerhedsstyringssystemet og den proces, der bygges. På baggrund af dem var det nødvendigt selvstændigt at beslutte, hvad der skulle skrives/implementeres i vores virksomhed for at overholde kravene i standarden.
Misforståelse #2.
Vi troede oprigtigt på, at det ville være nok for os at studere et dokument og implementere det på relativt kort tid på egen hånd. I virkeligheden indså vi, mens vi læste dokumentet, hvor mange relaterede standarder vores standard "klamrer sig til", hvor mange standarder vi skal stifte bekendtskab med (i det mindste overfladisk). "Kirsebæret" på kagen var manglen på gældende standardtekster i det offentlige domæne - de skulle købes på den officielle ISO-websted.
Misforståelse #3.
Vi var sikre på, at vi ville finde alt, hvad vi havde brug for for at forberede os til certificering i åbne kilder. Der var ganske rigtigt mange materialer om ISO 27001 på internettet, men de manglede temmelig detaljer. Der var praktisk talt ingen letforståelige trin-for-trin instruktioner til forberedelse til certificering, såvel som reelle tilfælde af virksomheder, der havde implementeret denne standard.
Misforståelse #4.
Vi vil skrive politikker, men de virker ikke! Nå, det er sandt, vores virksomhed har allerede for mange regler, ingen vil overholde yderligere 3 dusin nye politikker. I virkeligheden tog vores medarbejdere heldigvis opgaven med at mestre de nye regler ansvarligt og bestod med succes test for viden om informationssikkerhedsstyringssystemdokumenter.
Misforståelse #5.
På det tidspunkt kunne vi ikke klart vurdere, hvilket udbytte vi ville få af vores indsats. På det tidspunkt var antallet af anmodninger om dette certifikat ikke så stort, og vi havde vores vigtigste og mest krævende kunde længe før certificeringen. Erfaringen viste, at vi klarede os uden en standard.
På et tidspunkt indså vi, at vi kaotisk lukkede et eller andet spirende hul på grund af kundens krav. Hver gang kom vi med nogle nye politikker eller løsninger. Og vi kom endelig uafhængigt til den konklusion, at det ville være meget nemmere at systematisere processen, hvilket endda ville spare os for mange arbejdsomkostninger i fremtiden. Standarden havde til formål at forenkle denne opgave.
Nu, to år senere, ser vi en stigende tendens i antallet af forespørgsler og interesse for dette emne fra store internationale kunder.
Endelige beslutning.
Afslutningsvis vil vi gerne sige, at vores brancheledere har modtaget ISO/IEC 27001 certificering, hvilket har tvunget alle andre store udbydere (inklusive os) til at tænke over dette problem. Uden tvivl en smuk linje i virksomhedens markedsføringsmateriale - på hjemmesiden, på sociale netværk, i reklamebrochurer osv. – kan betragtes som en behagelig bonus, men er det værd at bruge så mange ressourcer på det? Vi besluttede selv, at for os er dette mere end bare en smuk linje, og vi blev involveret i dette projekt.
Kilde: www.habr.com