5 Phasen der Unvermeidlichkeit der Annahme der ISO/IEC 27001-Zertifizierung. Leugnung

Bei der Annahme einer strategisch wichtigen Entscheidung für das Unternehmen durchlaufen die Mitarbeiter einen grundlegenden Schutzmechanismus, der allgemein als die 5 Phasen der Reaktion auf Veränderungen bekannt ist (Autorin E. Kübler-Ross). Die herausragende Psychologin hat einmal die emotionalen Reaktionen beschrieben und 5 wesentliche Phasen der emotionalen Reaktion hervorgehoben: Leugnung, Wut, Verhandlung, Depression und schließlich Akzeptanz. Wir haben eine Reihe von Artikeln vorbereitet, die sich mit der ISO 27001-Zertifizierung befassen, in denen wir jede dieser Phasen betrachten. Heute werden wir über die erste – Leugnung – sprechen.

5 Phasen der Unvermeidlichkeit der Annahme der ISO/IEC 27001-Zertifizierung. Leugnung

Die ISO 27001-Zertifizierung nur „zum Schein“ zu erhalten, ist ein höchst fragwürdiges Vergnügen, da es eine lange und kostspielige Vorbereitung erfordert. Zudem zeigt die Statistik, dass dieser Standard in Russland äußerst unpopulär ist: Bis heute haben nur 70 Unternehmen die Zertifizierung erhalten. Im Ausland hingegen ist dies einer der gefragtesten Standards, der den wachsenden Anforderungen der Wirtschaft im Bereich IT-Sicherheit gerecht wird.

Unser Unternehmen bietet ein umfassendes Spektrum an Outsourcing-Dienstleistungen im Bereich Buchhaltung: Finanz- und Steuerbuchhaltung, Lohnabrechnung sowie Personaladministration. Wir zählen zu den führenden Anbietern auf dem Markt, da uns ausländische Unternehmen mit Niederlassungen in Russland ihr vertrauliches Wissen anvertrauen. Dies betrifft nicht nur die Finanzprozesse unserer Kunden, sondern auch die persönlichen Daten, mit denen wir täglich arbeiten. Daher ist die Informationssicherheit für uns von größter Bedeutung.

In vielen Fällen werden alle Geschäftsprozesse der russischen Tochterunternehmen von den Hauptbüros ausländischer Unternehmen kontrolliert und deklariert, weshalb sie den internen Gruppenstandards entsprechen müssen. In letzter Zeit haben einige unserer wichtigsten Kunden begonnen, ihre Sicherheitsrichtlinien in Richtung Verschärfung zu überarbeiten. Dies steht zweifellos im Zusammenhang mit globalen Trends, die einen Anstieg der Cyberangriffe und der damit verbundenen Verluste durch Vorfälle im Bereich der Informationssicherheit zeigen. Wenn es notwendig ist, Schutzmaßnahmen, Richtlinien und Verfahren einzuführen, die darauf abzielen, die Informationssicherheit des Unternehmens zu erhöhen, kann man auch ohne ISO/IEC 27001 Zertifizierung auskommen und dadurch eine Menge Geld, Zeit und Nerven sparen.

5 Phasen der Unvermeidlichkeit der Annahme der ISO/IEC 27001-Zertifizierung. Leugnung

Heute tauchen in den Ausschreibungen ausländischer Auftraggeber zunehmend Anforderungen an die bestehende Informationssicherheit innerhalb des Unternehmens auf. Einige von ihnen legen, um die Überprüfung zu vereinfachen und einen einheitlichen Ansatz zu gewährleisten, als verbindliches Bewertungskriterium die Existenz einer ISO/IEC 27001 Zertifizierung fest.

Wir hatten folgendes: Einer unserer wichtigsten internationalen Kunden, der nach diesem Standard zertifiziert ist, hat anscheinend sein globales Team für Informationssicherheit erheblich verstärkt. Wie haben wir davon erfahren? Sie haben beschlossen, ein Audit unseres Informationssicherheitsmanagementsystems durchzuführen, da wir ihnen Buchhaltungsdienstleistungen und Personaladministration anbieten – und folglich ist die Sicherheit unserer Informationssysteme für sie von entscheidender Bedeutung. Das letzte Audit fand vor 3 Jahren statt – damals verlief alles ziemlich reibungslos.

Dieses Mal wurde wir von einem engagierten Team von Indern überrollt, die geschickt mehrere Dutzend Schwächen in unserem Sicherheitsmanagement-System aufdeckten. Der Prüfungsprozess erinnerte an das Rad der Wiedergeburt – es schien, als hätten sie grundsätzlich kein Ziel, in der Überprüfung zu einem abschließenden Punkt zu gelangen. Es war eine endlose Reihe von Fragen, Anmerkungen, unseren Kommentaren und Beweisen für deren Realität, Konferenzanrufen und langen philosophischen Gesprächen, um den Akzent des IT-Sicherheitsteams des Kunden zu erkennen. Übrigens dauert das Audit bis heute mit unterschiedlicher Intensität an – mit der Zeit haben wir uns bereits damit abgefunden. So entstand die Notwendigkeit der Zertifizierung quasi von selbst.

Könnte es auch mit der ISO 9001 gehen?

Jeder, der sich ein wenig mit der Zertifizierung nach irgendeinem ISO-Standard auskennt, versteht, dass die Grundlage für jeden von ihnen das Zertifikat ISO 9001 "Qualitätsmanagementsystem" ist. Das ist wohl das derzeit beliebteste Zertifikat aus der gesamten Reihe der ISO-Standards. Wir hatten es nicht – und entschieden uns, es nicht zu erwerben. Dafür gab es mehrere Gründe:

  • fragwürdige wirtschaftliche Effizienz dieses Zertifikats für das Unternehmen;
  • unsere internen Prozesse entsprachen größtenteils bereits diesem Standard;
  • der Erwerb dieses Zertifikats würde zusätzliche Zeit und Kosten erfordern.

Daher haben wir uns entschieden, ISO 27001 direkt umzusetzen, ohne mit dem ‚einfacheren‘ 9001 zu beginnen.

Oder sollten wir es vielleicht doch lassen?

Im Rückblick haben wir oft die Frage erörtert, ob der Erwerb sinnvoll ist. Wir begannen, das Thema von allen Seiten zu betrachten, da wir keinerlei Expertise hatten. Hier sind die Missverständnisse, die uns veranlassten, darüber nachzudenken.

Missverständnis Nr. 1.
Wir hofften, dass der Standard uns eine detaillierte Checkliste, eine Liste von Richtlinien und anderen statutarischen Dokumenten bereitstellen würde. In Wirklichkeit stellte sich heraus, dass ISO/IEC 27001 eine Reihe von Anforderungen an das Informationssicherheitsmanagementsystem und den aufzubauenden Prozess ist. Auf dieser Grundlage musste man selbst entscheiden, was in unserem Unternehmen dokumentiert oder implementiert werden muss, um die Anforderungen des Standards zu erfüllen.

Missverständnis Nr. 2.
Wir waren fest davon überzeugt, dass es ausreichen würde, ein Dokument zu studieren und dieses in einem relativ kurzen Zeitraum selbst umzusetzen. In der Realität haben wir beim Lesen des Dokuments erkannt, wie viele verwandte Standards mit unserem Standard verknüpft sind und mit wie vielen Standards wir uns zumindest oberflächlich vertraut machen mussten. Das 'I-Tüpfelchen' war das Fehlen aktueller Standardtexte im freien Zugang – diese mussten auf der offiziellen ISO-Website erworben werden.

Irrtum Nr. 3.
Wir waren überzeugt, dass wir alles Notwendige für die Vorbereitung auf die Zertifizierung in offenen Quellen finden würden. Es gab tatsächlich viele Materialien zu ISO 27001 im Internet, jedoch war die konkrete Information ziemlich begrenzt. Praktisch fehlten verständliche Schritt-für-Schritt-Anleitungen zur Vorbereitung auf die Zertifizierung sowie reale Fallstudien von Unternehmen, die diesen Standard implementiert hatten.

Irrtum Nr. 4.
Wir erstellen Richtlinien, die dann nicht funktionieren werden! Ehrlich gesagt haben wir in unserem Unternehmen sowieso schon zu viele Regeln, und niemand wird sich um weitere dreißig neue Richtlinien kümmern. In der Realität haben unsere Mitarbeiter glücklicherweise die Verantwortung übernommen, sich mit den neuen Regeln auseinanderzusetzen, und haben die Prüfung zum Wissen über die Dokumente des Informationssicherheitsmanagementsystems erfolgreich bestanden.

Irrtum Nr. 5.
Zu diesem Zeitpunkt konnten wir nicht genau einschätzen, welchen Nutzen wir aus unserem Aufwand ziehen würden. Damals waren die Anfragen nach diesem Zertifikat nicht besonders zahlreich, und unser wichtigster und anspruchsvollster Kunde war bereits lange vor der Zertifizierung zu uns gekommen. Die Erfahrung zeigte, dass wir auch ohne den Standard zurechtkamen.

Irgendwann wurde uns klar, dass wir in chaotischer Reihenfolge verschiedene Lücken schlossen, die durch die Anforderungen der Kunden entstanden. Jedes Mal erfanden wir neue Richtlinien oder Lösungen. Schließlich kamen wir selbst zu dem Schluss, dass es viel einfacher wäre, den Prozess zu systematisieren, was uns letztendlich auch viel Aufwand sparen würde. Der Standard wurde ins Leben gerufen, um diese Aufgabe zu erleichtern.

Jetzt, zwei Jahre später, beobachten wir einen Anstieg der Anfragen und des Interesses von großen internationalen Kunden in diesem Bereich.

Die finale Entscheidung.

Abschließend möchten wir betonen, dass die Führungskräfte unserer Branche das ISO/IEC 27001-Zertifikat erhalten haben, was auch andere große Anbieter, einschließlich uns, zum Nachdenken angeregt hat. Sicherlich ist ein schöner Eintrag in den Marketingmaterialien des Unternehmens – auf der Webseite, in den sozialen Medien, in Werbebroschüren usw. – ein willkommener Bonus, aber ist es das wert, so viele Ressourcen dafür aufzuwenden? Für uns steht fest, dass dies für uns mehr ist als nur eine schön klingende Zeile, und wir haben uns entschlossen, dieses Projekt zu starten.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster