Wenn Mitarbeiter eine strategisch wichtige Entscheidung für das Unternehmen treffen, durchlaufen sie einen grundlegenden Abwehrmechanismus, der als die 5 Stufen der Reaktion auf Veränderungen bekannt ist (von E. Kübler-Ross). Ein bedeutender Psychologe beschrieb einmal emotionale Reaktionen und hob dabei fünf Schlüsselstadien emotionaler Reaktionen hervor: Verneinung, Zorn, verhandeln, Depression und Konzeption. Wir haben eine Reihe von Artikeln zur ISO 27001-Zertifizierung vorbereitet, in denen wir uns mit den einzelnen Phasen befassen. Heute werden wir über die erste davon sprechen – die Verleugnung.
Ein ISO 27001-Zertifikat „zur Schau“ zu erhalten, ist ein sehr zweifelhaftes Vergnügen, da es eine lange und teure Vorbereitung erfordert. Darüber hinaus, wie es zeigt Dieser Standard ist in der Russischen Föderation äußerst unbeliebt: Bisher wurden nur 70 Unternehmen für die Einhaltung zertifiziert. Gleichzeitig handelt es sich um einen der im Ausland am weitesten verbreiteten Standards, der den wachsenden Anforderungen der Wirtschaft im Bereich Informationssicherheit gerecht wird.
Unser Unternehmen bietet eine umfassende Palette von Outsourcing-Dienstleistungen für Buchhaltungsfunktionen an: Buchhaltung und Steuerbuchhaltung, Lohn- und Gehaltsabrechnung und Personalverwaltung. Wir nehmen eine der führenden Marktpositionen ein, insbesondere weil uns ausländische Unternehmen mit Niederlassungen in Russland ihre vertraulichen Informationen anvertrauen. Dies gilt nicht nur für die Finanzprozesse unserer Kunden, sondern auch für die personenbezogenen Daten, mit denen wir täglich arbeiten. In diesem Zusammenhang ist das Thema Informationssicherheit einer unserer Schwerpunkte.
Oftmals werden alle Geschäftsprozesse russischer Geschäftsbereiche von den Zentralen ausländischer Unternehmen kontrolliert und deklariert und müssen daher konzerninternen Standards entsprechen. Vor Kurzem haben einige unserer wichtigsten Kunden damit begonnen, ihre Sicherheitsrichtlinien im Hinblick auf eine Verschärfung zu überarbeiten. Dies ist natürlich auf die weltweite Entwicklung der zunehmenden Zahl von Cyber-Angriffen und Verlusten im Zusammenhang mit Informationssicherheitsverletzungen zurückzuführen. Wenn es erforderlich ist, Schutzmaßnahmen, Richtlinien und Verfahren zur Erhöhung der Informationssicherheit des Unternehmens zu implementieren, können Sie auf ISO verzichten /IEC 27001-Zertifizierung und spart dadurch viel Geld, Zeit und Nerven.
Heutzutage tauchen in Ausschreibungen ausländischer Kunden zunehmend Anforderungen an die bestehende Informationssicherheit im Unternehmen auf. Um ihre Überprüfung zu vereinfachen und den Ansatz zu vereinheitlichen, legen einige ein verbindliches Bewertungskriterium fest – das Vorhandensein einer ISO/IEC 27001-Zertifizierung.
Folgendes haben wir gesehen: Einer unserer wichtigsten internationalen Kunden, der nach diesem Standard zertifiziert ist, scheint sein globales Informationssicherheitsteam erheblich verstärkt zu haben. Woher wussten wir davon? Sie haben sich entschieden, unser Informationssicherheitsmanagementsystem zu prüfen, weil wir für sie Buchhaltungsdienstleistungen und Personalverwaltung erbringen – und dementsprechend die Sicherheit unserer Informationssysteme für sie von entscheidender Bedeutung ist. Das letzte Audit fand vor 3 Jahren statt – damals verlief alles völlig schmerzlos.
Dieses Mal griff uns ein freundliches Team von Indern an und deckte geschickt mehrere Dutzend Mängel in unserem Sicherheitsmanagementsystem auf. Der Prüfungsprozess ähnelte dem Rad von Samsara – es schien, dass sie im Prinzip kein Ziel hatten, im Rahmen der Prüfung einen Endpunkt zu erreichen. Es war eine endlose Reihe von Fragen, Kommentaren, unseren Kommentaren und Beweisen für deren Realität, Telefonkonferenzen und langen philosophischen Gesprächen, um den Akzent des IT-Sicherheitsteams des Kunden zu erkennen. Die Prüfung läuft übrigens bis heute in unterschiedlicher Intensität weiter – mit der Zeit haben wir uns damit abgefunden. Somit ist die Notwendigkeit einer Zertifizierung von selbst entstanden.
Vielleicht kommen wir mit ISO 9001 aus?
Jeder, der sich mehr oder weniger mit der Zertifizierung nach einer der ISO-Normen auskennt, weiß, dass die Grundlage für jede dieser Normen das ISO 9001-Zertifikat „Qualitätsmanagementsystem“ ist. Dies ist möglicherweise das derzeit beliebteste Zertifikat in der gesamten Reihe von ISO-Standards. Wir hatten es nicht – und haben beschlossen, es nicht zu bekommen. Dafür gab es mehrere Gründe:
- die fragliche Wirtschaftlichkeit des Unternehmens, das über dieses Zertifikat verfügt;
- unsere internen Prozesse lagen größtenteils bereits nahe an diesem Standard;
- Der Erhalt dieses Zertifikats würde zusätzlichen Zeit- und Kostenaufwand erfordern.
Deshalb haben wir uns entschieden, die ISO 27001 sofort umzusetzen, ohne mit der „leichteren“ 9001 zu beginnen.
Oder ist es vielleicht immer noch nicht notwendig?
Mit Blick auf die Zukunft sind wir oft auf die Frage zurückgekommen, ob es ratsam ist, es zu erwerben. Wir begannen, das Thema von allen Seiten zu untersuchen, da wir über keinerlei Fachwissen verfügten. Und hier sind die Missverständnisse, die uns dazu gebracht haben, noch einmal über dieses Thema nachzudenken.
Missverständnis Nr. 1.
Wir hofften, dass uns die Norm eine detaillierte Checkliste, eine Liste von Richtlinien und andere gesetzliche Dokumente liefern würde. Tatsächlich stellte sich heraus, dass es sich bei ISO/IEC 27001 um eine Reihe von Anforderungen an das Informationssicherheitsmanagementsystem selbst und den aufzubauenden Prozess handelt. Auf dieser Grundlage musste eigenständig entschieden werden, was in unserem Unternehmen geschrieben/umgesetzt werden sollte, um den Anforderungen der Norm zu entsprechen.
Missverständnis Nr. 2.
Wir waren der festen Überzeugung, dass es für uns ausreichen würde, ein Dokument zu studieren und es in relativ kurzer Zeit selbst umzusetzen. Tatsächlich wurde uns beim Lesen des Dokuments klar, an wie vielen verwandten Standards sich unser Standard „klammert“ und mit wie vielen Standards wir uns (zumindest oberflächlich) vertraut machen müssen. Das „Tüpfelchen auf dem i“ war das Fehlen aktueller Normungstexte im öffentlichen Bereich – diese mussten auf der offiziellen ISO-Website erworben werden.
Missverständnis Nr. 3.
Wir waren zuversichtlich, dass wir alles finden würden, was wir zur Vorbereitung auf die Zertifizierung in Open Source benötigen. Zwar gab es im Internet recht viele Materialien zu ISO 27001, aber es mangelte ihnen eher an Konkretisierungen. Es gab praktisch keine leicht verständlichen Schritt-für-Schritt-Anleitungen zur Vorbereitung auf die Zertifizierung sowie reale Fälle von Unternehmen, die diesen Standard implementiert hatten.
Missverständnis Nr. 4.
Wir werden Richtlinien schreiben, aber sie werden nicht funktionieren! Nun ja, es stimmt, unser Unternehmen hat bereits zu viele Regeln, niemand wird sich an die weiteren drei Dutzend neuen Richtlinien halten. Tatsächlich haben unsere Mitarbeiter die Aufgabe, die neuen Regeln verantwortungsvoll zu meistern, glücklicherweise angenommen und die Tests zur Kenntnis der Dokumente des Informationssicherheitsmanagementsystems erfolgreich bestanden.
Missverständnis Nr. 5.
Zu diesem Zeitpunkt konnten wir noch nicht genau abschätzen, welchen Nutzen wir aus unseren Bemühungen ziehen würden. Zu diesem Zeitpunkt war die Anzahl der Anfragen für dieses Zertifikat noch nicht so groß und wir hatten unseren wichtigsten und anspruchsvollsten Kunden schon lange vor der Zertifizierung. Die Erfahrung hat gezeigt, dass wir ohne Standard ausgekommen sind.
Irgendwann wurde uns klar, dass wir aufgrund der Anforderungen des Kunden chaotisch die eine oder andere entstehende Lücke schließen würden. Jedes Mal kamen wir auf neue Richtlinien oder Lösungen. Und schließlich kamen wir unabhängig voneinander zu dem Schluss, dass es viel einfacher wäre, den Prozess zu systematisieren, was uns in Zukunft sogar eine Menge Arbeitskosten ersparen würde. Der Standard sollte diese Aufgabe vereinfachen.
Jetzt, zwei Jahre später, sehen wir eine zunehmende Tendenz bei der Anzahl der Anfragen und des Interesses großer internationaler Kunden an diesem Thema.
Endgültige Entscheidung.
Abschließend möchten wir sagen, dass unsere Branchenführer die ISO/IEC 27001-Zertifizierung erhalten haben, was alle anderen großen Anbieter (einschließlich uns) dazu gezwungen hat, über dieses Thema nachzudenken. Zweifellos eine schöne Zeile in den Marketingmaterialien des Unternehmens – auf der Website, in sozialen Netzwerken, in Werbebroschüren usw. – kann als angenehmer Bonus angesehen werden, aber lohnt es sich, so viele Ressourcen dafür auszugeben? Wir haben selbst entschieden, dass dies für uns mehr als nur eine schöne Linie ist, und haben uns auf dieses Projekt eingelassen.
Source: habr.com