Muutustele reageerimise neljas etapp on depressioon. Selles artiklis räägime teile oma kogemusest kõige pikema ja ebameeldivama etapi läbimisel - muudatustest ettevõtte äriprotsessides, et saavutada nende vastavus ISO 27001 standardile.
Ootus
Esimene küsimus, mille endale pärast sertifitseerimisasutuse ja konsultandi valimist esitasime, oli see, kui palju aega me tegelikult vajame kõigi vajalike muudatuste tegemiseks?
Esialgne tööplaan oli planeeritud nii, et pidime selle valmis saama 3 kuu jooksul.
Kõik näis lihtne: oli vaja kirjutada paarkümmend poliitikat ja veidi muuta sisemisi protsesse; seejärel koolitage kolleege muudatustega ja oodake veel 3 kuud (et ilmuksid "kirjed", st tõendid poliitika toimimise kohta). Tundus, et see oli kõik – ja tunnistus oli taskus.
Lisaks ei kavatsenud me poliitikat nullist kirjutada – meil oli ju konsultant, kes, nagu arvasime, pidi meile kõik “õiged” mallid andma.
Nende järelduste tulemusena eraldasime iga poliitika koostamiseks 3 päeva.
Ka tehnilised muudatused ei tundunud hirmutavad: tuli paika panna sündmuste kogumine ja salvestamine, kontrollida, kas varukoopiad vastavad meie kirjutatud poliitikale, vajadusel varustada kontorid läbipääsusüsteemidega ja veel paar pisiasja. .
Sertifitseerimiseks kõike vajalikku valmistav meeskond koosnes kahest inimesest. Plaanisime, et nad kaasatakse juurutamisesse paralleelselt oma põhiülesannetega ja see võtab igaühel maksimaalselt 1,5-2 tundi päevas.
Kokkuvõtteks võib öelda, et meie vaade eelseisvatele töömahtudele oli üsna optimistlik.
Reaalsus
Tegelikkuses oli kõik loomulikult teisiti: konsultandi pakutud poliitikamallid osutusid meie ettevõttele enamasti sobimatud; Internetis polnud peaaegu üldse selget infot, mida ja kuidas teha. Nagu võite ette kujutada, ebaõnnestus plaan "kirjutada üks poliitika 3 päevaga". Seega lõpetasime tähtaegadest kinnipidamise peaaegu projekti algusest peale ja meie tuju hakkas tasapisi langema.
Meeskonna asjatundlikkus oli katastroofiliselt väike - nii palju, et sellest ei piisanud isegi konsultandile õigete küsimuste esitamisest (kes, muide, ei näidanud üles erilist initsiatiivi). Asjad hakkasid liikuma veelgi aeglasemalt, kuna 3 kuud pärast juurutamise algust (st hetkel, mil kõik oleks pidanud valmis olema), lahkus meeskonnast üks kahest võtmeosalisest. Tema asemele tuli uus IT-teenistuse juht, kes pidi kiiresti läbi viima juurutusprotsessi ning varustama infoturbe haldussüsteemi kõige vajalikuga tehnilisest küljest. Ülesanne tundus raske... Vastutajad hakkasid masendusse langema.
Lisaks osutus “nüansse” ka probleemi tehniline pool. Meie ees seisab globaalne tarkvara moderniseerimine nii tööjaamades kui ka serveriseadmetes. Süsteemi sündmuste (logide) kogumiseks seadistades selgus, et meil pole piisavalt riistvararessurssi süsteemi normaalseks toimimiseks. Ja ka varundustarkvara vajas kaasajastamist.
Spoiler: Selle tulemusel rakendati ISMS kangelaslikult 6 kuuga. Ja keegi isegi ei surnud!
Mis on kõige rohkem muutunud?
Loomulikult toimus standardi rakendamise käigus ettevõtte protsessides suur hulk väikseid muudatusi. Oleme teie jaoks välja toonud kõige olulisemad muudatused:
- Riskihindamisprotsessi vormistamine
Varem ei olnud ettevõttel ametlikku riskihindamise protsessi – seda tehti vaid möödaminnes üldise strateegilise planeerimise osana. Üheks olulisemaks sertifitseerimise raames lahendatud ülesandeks oli ettevõtte riskianalüüsi poliitika rakendamine, mis kirjeldab selle protsessi kõiki etappe ja iga etapi eest vastutavaid isikuid.
- Juhtimine eemaldatava andmekandja üle
Üks olulisi riske äritegevusele oli krüptimata USB-mälupulkade kasutamine: tegelikult võis iga töötaja talle saadaoleva teabe mälupulgale kirjutada ja parimal juhul sellest ilma jääda. Sertifitseerimise osana keelati kõigis töötajate tööjaamades igasuguse teabe allalaadimine mälupulkadele - teabe salvestamine sai võimalikuks ainult IT-osakonna rakenduse kaudu.
- Super kasutaja juhtimine
Üheks peamiseks probleemiks oli asjaolu, et kõigil IT-osakonna töötajatel olid kõigis ettevõtte süsteemides absoluutsed õigused – neil oli juurdepääs kogu infole. Samal ajal ei kontrollinud neid tegelikult keegi.
Oleme juurutanud Data Loss Prevention (DLP) süsteemi – töötajate tegevuste jälgimise programmi, mis analüüsib, blokeerib ja hoiatab ohtlikest ja ebaproduktiivsetest tegevustest. Nüüd saadetakse teated IT-osakonna töötajate tegemiste kohta ettevõtte operatiivdirektori meiliaadressile.
- Lähenemisviis infoinfrastruktuuri korraldamisele
Sertifitseerimine nõudis globaalseid muutusi ja lähenemisviise. Jah, me pidime suurenenud koormuse tõttu uuendama mitmeid serveriseadmeid. Eelkõige oleme sündmuste kogumissüsteemide jaoks pühendanud eraldi serveri. Server oli varustatud suurte ja kiirete SSD-draividega. Loobusime varundustarkvarast ja valisime salvestussüsteemid, millel on karbist väljas kõik vajalikud funktsioonid. Tegime mitu suurt sammu kontseptsiooni "infrastruktuur kui kood" suunas, mis võimaldas meil säästa palju kettaruumi, välistades paljude serverite varundamise. Lühima võimaliku ajaga (1 nädal) uuendati kogu tööjaamade tarkvara Win10 peale. Üks probleemidest, mille moderniseerimine lahendas, oli krüptimise lubamine (Pro versioonis).
- Kontroll paberdokumentide üle
Paberdokumentide kasutamisega kaasnesid ettevõttel olulised riskid: need võisid kaotsi minna, valesse kohta jätta või valesti hävitada. Selle riski minimeerimiseks oleme kõik paberdokumendid märgistanud vastavalt konfidentsiaalsustasemele ning välja töötanud eri tüüpi dokumentide hävitamise korra. Nüüd, kui töötaja avab kausta või võtab dokumendi, teab ta täpselt, millisesse kategooriasse see teave kuulub ja kuidas seda käsitleda.
- Varuandmekeskuse rentimine
Varem salvestati kogu ettevõtte teave serverites, mis asusid kolmanda osapoole turvalises andmekeskuses. Selles andmekeskuses ei olnud aga erakorralisi toiminguid rakendatud. Lahenduseks oli varupilve andmekeskuse rentimine ja olulisema info varundamine sinna. Praegu hoitakse ettevõtte teavet kahes geograafiliselt kaugel asuvas andmekeskuses, mis vähendab selle kadumise ohtu.
- Talitluspidevuse testimine
Meie ettevõttes on juba mitu aastat kehtinud talitluspidevuse poliitika (BCP), mis kirjeldab, mida töötajad peaksid tegema erinevate negatiivsete stsenaariumide korral (kontorile juurdepääsu kaotus, epideemia, elektrikatkestus jne). Kuid me pole kunagi läbi viinud järjepidevuse testimist – see tähendab, et me pole kunagi mõõtnud, kui kaua kuluks igas sellises olukorras äri taastamiseks. Sertifitseerimisauditiks valmistudes me mitte ainult ei teinud seda, vaid töötasime välja ka talitluspidevuse testimise plaani järgmiseks aastaks. Väärib märkimist, et aasta hiljem, kui seisime silmitsi vajadusega täielikult kaugtööle üle minna, saime selle ülesandega hakkama kolme päevaga.
Oluline on märkida, et kõikidel sertifitseerimiseks valmistuvatel ettevõtetel on erinevad starditingimused – seetõttu võivad teie puhul vaja minna hoopis teistsuguseid muudatusi.
Töötajate reaktsioon muutustele
Kummalisel kombel - siin me ootasime halvimat - ei osutus see nii hull. Ei saa öelda, et kolleegid sertifitseerimise uudise suure entusiastlikult vastu võtsid, kuid selge oli:
- Kõik võtmetöötajad mõistsid selle sündmuse tähtsust ja paratamatust;
- Kõik teised töötajad vaatasid võtmetöötajatele alt üles.
Loomulikult aitas meid palju meie valdkonna spetsiifika - raamatupidamisfunktsioonide sisseostmine. Valdav enamus meie töötajatest tuleb hästi toime pidevate muutustega Venemaa seadusandluses. Sellest tulenevalt ei olnud paarikümne uue reegli kehtestamine, mida nüüd tuleb järgida, nende jaoks midagi ebatavalist.
Oleme kõikidele töötajatele ette valmistanud uue kohustusliku ISO 27001 koolituse ja testimise. Kõik eemaldasid kuulekalt oma monitoridelt paroolidega kleeppaberid ja koristasid dokumente täis lauad. Valjuhäälset rahulolematust polnud märgata – üldiselt vedas meil töötajatega väga.
Seega oleme läbinud kõige valusama etapi – “depressiooni”, mis on seotud muutustega meie äriprotsessides. See oli raske ja raske, kuid tulemus ületas lõpuks kõik meie kõige metsikumad ootused.
Loe sarja varasemaid materjale:
ISO/IEC 5 sertifikaadi vältimatuse 27001 etappi. Depressioon.
ISO/IEC 5 sertifikaadi vältimatuse 27001 etappi. Lapsendamine.
Allikas: www.habr.com