EttevĂ”tte jaoks strateegiliselt olulise otsuse tegemisel lĂ€bivad töötajad pĂ”hilise kaitsemehhanismi, mida tuntakse muutustele reageerimise 5 etapina (autor. E. KĂŒbler-Ross). Ăks silmapaistev psĂŒhholoog kirjeldas kunagi emotsionaalseid reaktsioone, tuues esile emotsionaalse reaktsiooni 5 peamist etappi: eitamine, viha, allahindlus, depressioon ja lĂ”puks Lapsendamine. Oleme koostanud ISO 27001 sertifikaadile pĂŒhendatud artiklite sarja, kus vaatleme kĂ”iki etappe. TĂ€na rÀÀgime neist esimesest â eitusest.
ISO 27001 sertifikaadi saamine ânĂ€ituseksâ on vĂ€ga kahtlane nauding, sest nĂ”uab pikka ja kulukat ettevalmistust. Pealegi, nagu nĂ€itab , on see standard Vene Föderatsioonis ÀÀrmiselt ebapopulaarne: praeguseks on vastavuse sertifikaadi saanud ainult 70 ettevĂ”tet. Samas on tegemist ĂŒhe populaarseima standardiga vĂ€lismaal, mis vastab Ă€ri kasvavatele nĂ”udmistele infoturbe vallas.
Meie ettevĂ”te pakub tĂ€ielikku sisseostmisteenust raamatupidamisfunktsioonide tĂ€itmiseks: raamatupidamine ja maksuarvestus, palgaarvestus ja personalihaldus. Me hĂ”ivame ĂŒhe juhtiva turupositsiooni, eelkĂ”ige tĂ€nu sellele, et Venemaal filiaalidega vĂ€lisettevĂ”tted usaldavad meile oma konfidentsiaalset teavet. See ei puuduta ainult meie klientide finantsprotsesse, vaid ka isikuandmeid, millega me igapĂ€evaselt töötame. Sellega seoses on infoturbe teema ĂŒks meie prioriteete.
Sageli kontrollivad ja deklareerivad kĂ”iki Venemaa osakondade Ă€riprotsesse vĂ€lismaiste ettevĂ”tete peakontorid ning seetĂ”ttu peavad need vastama kogu kontserni sisemistele standarditele. Hiljuti on mĂ”ned meie vĂ”tmekliendid hakanud oma turvapoliitikaid karmistama. Loomulikult on selle pĂ”hjuseks globaalsed trendid kĂŒberrĂŒnnete arvu suurenemises ja infoturbe rikkumiste intsidentidega kaasnevates kahjudes.Kui on vaja rakendada kaitsemeetmeid, poliitikaid ja protseduure, mis on suunatud ettevĂ”tte infoturbe suurendamisele, saab hakkama ka ilma ISOta. /IEC 27001 sertifikaat, mis sÀÀstab sellega palju raha, aega ja nĂ€rve.
TĂ€naseks on vĂ€lisklientide hangetel hakanud ilmnema nĂ”uded ettevĂ”ttes olemasolevale infoturbele. MĂ”ned kehtestavad kontrollimise lihtsustamiseks ja lĂ€henemisviisi ĂŒhtlustamiseks kohustusliku hindamiskriteeriumi - ISO/IEC 27001 sertifikaadi olemasolu.
Oleme nĂ€inud jĂ€rgmist. Ăks meie selle standardi jĂ€rgi sertifitseeritud rahvusvahelistest olulistest klientidest nĂ€ib olevat oluliselt tugevdanud oma ĂŒlemaailmset infoturbe meeskonda. Kuidas me sellest teada saime? Nad otsustasid auditeerida meie infoturbe juhtimissĂŒsteemi, kuna pakume neile raamatupidamisteenust ja personalihaldust â ja sellest tulenevalt on meie infosĂŒsteemide turvalisus neile kriitilise tĂ€htsusega. Eelmine audit toimus 3 aastat tagasi - tol korral lĂ€ks kĂ”ik ĂŒsna valutult.
Seekord rĂŒndas meid sĂ”bralik indiaanlaste meeskond, kes avastas osavalt meie turvahaldussĂŒsteemis mitukĂŒmmend puudust. Auditiprotsess meenutas Samsara ratast â tundus, et neil polnud pĂ”himĂ”tteliselt eesmĂ€rki auditi raames mingissegi lĂ”pppunkti jĂ”uda. See oli lĂ”putu rida kĂŒsimusi, kommentaare, meie kommentaare ja tĂ”endeid nende tegelikkusest, konverentskĂ”nesid ja pikki filosoofilisi vestlusi, millega ĂŒritati Ă€ra tunda kliendi IT-turvameeskonna aktsenti. Muide, audit kestab erineva intensiivsusega tĂ€naseni â aja jooksul oleme sellega leppinud. Seega on sertifitseerimise vajadus tekkinud iseenesest.
Ăkki saame ISO 9001-ga hakkama?
IgaĂŒks, kes on mĂ”ne ISO standardi jĂ€rgi sertifitseerimise kĂŒsimuses enam-vĂ€hem taiplik, mĂ”istab, et igaĂŒhe aluseks on ISO 9001 âKvaliteedijuhtimissĂŒsteemiâ sertifikaat. See on vĂ”ib-olla praegu kĂ”ige populaarsem sertifikaat kogu ISO standardite reas. Meil seda ei olnud â ja me otsustasime seda mitte saada. Sellel oli mitu pĂ”hjust:
- seda sertifikaati omava ettevĂ”tte kĂŒsitav majanduslik efektiivsus;
- meie sisemised protsessid olid suures osas juba sellele standardile lÀhedased;
- Selle sertifikaadi saamine nÔuaks lisaaega ja raha.
Sellest lĂ€htuvalt otsustasime kohe rakendada ISO 27001, alustamata âkergemastâ 9001-st.
VÔi Àkki pole see siiski vajalik?
Tulevikku vaadates oleme korduvalt pöördunud tagasi kĂŒsimuse juurde, kas seda on otstarbekas hankida. Hakkasime seda kĂŒsimust igast kĂŒljest uurima, sest meil polnud absoluutselt asjatundlikkust. Ja siin on vÀÀrarusaamad, mis panid meid selle teema ĂŒle veel kord mĂ”tlema.
VÀÀrarvamus nr 1.
Lootsime, et standard annab meile ĂŒksikasjaliku kontrollnimekirja, poliitikate loendi ja muud kohustuslikud dokumendid. Tegelikkuses selgus, et ISO/IEC 27001 on nĂ”uete kogum infoturbe haldussĂŒsteemile endale ja ehitatavale protsessile. Nende pĂ”hjal oli vaja iseseisvalt otsustada, mida meie ettevĂ”ttes standardi nĂ”uete tĂ€itmiseks kirjutada/rakendada.
VÀÀrarvamus nr 2.
Uskusime siiralt, et meil piisab ĂŒhe dokumendiga tutvumisest ja selle suhteliselt lĂŒhikese aja jooksul iseseisvalt ellu viimisest. Tegelikkuses saime dokumenti lugedes aru, kui paljudele seotud standarditele meie standard âklammerdubâ, kui paljude standarditega on meil vaja (vĂ€hemalt pealiskaudselt) tuttavaks saada. "Kirsiks" tordil oli praeguste standardite tekstide puudumine avalikus omandis - need tuli osta ISO ametlikult veebisaidilt.
VÀÀrarvamus nr 3.
Olime kindlad, et leiame avatud allikatest kÔik, mida vajame sertifitseerimiseks valmistumiseks. Internetis leidus ISO 27001 kohta tÔepoolest pÀris palju materjale, kuid need jÀid pigem kitsaks. Praktiliselt puudusid lihtsalt arusaadavad samm-sammult juhised sertifitseerimise ettevalmistamiseks, samuti tegelikud juhtumid selle standardi rakendanud ettevÔtete kohta.
VÀÀrarvamus nr 4.
Me kirjutame poliitikaid, kuid need ei tööta! Noh, see on tĂ”si, meie ettevĂ”ttel on juba liiga palju reegleid, keegi ei jĂ€rgi veel kolme tosinat uut poliitikat. Tegelikkuses vĂ”tsid meie töötajad uute reeglite valdamise ĂŒlesandeks Ă”nneks vastutustundlikult ja lĂ€bisid edukalt infoturbe haldussĂŒsteemi dokumentide tundmise testi.
VÀÀrarvamus nr 5.
Sel ajal ei osanud me selgelt hinnata, millist kasu me oma pingutustest saame. Sel ajal ei olnud selle sertifikaadi taotluste arv nii suur ja meil oli oma vÔtmetÀhtsusega ja kÔige nÔudlikum klient juba ammu enne sertifitseerimist. Kogemus nÀitas, et saime ilma standardita hakkama.
Mingil hetkel saime aru, et sulgeme kaootiliselt ĂŒht vĂ”i teist tekkivat tĂŒhimikku kliendi nĂ”udmiste tĂ”ttu. Iga kord tulime vĂ€lja mĂ”ne uue poliitika vĂ”i lahendusega. Ja lĂ”puks jĂ”udsime iseseisvalt jĂ€reldusele, et protsessi oleks palju lihtsam sĂŒstematiseerida, mis hoiaks tulevikus isegi palju tööjĂ”ukulusid kokku. Standardi eesmĂ€rk oli seda ĂŒlesannet lihtsustada.
NĂŒĂŒd, kaks aastat hiljem, nĂ€eme suuremate rahvusvaheliste klientide taotluste arvu ja huvi suurenemist.
LÔplik otsus.
KokkuvĂ”tteks tahame öelda, et meie tööstusharu juhid on saanud ISO/IEC 27001 sertifikaadi, mis on sundinud kĂ”iki teisi suuremaid pakkujaid (kaasa arvatud meid) sellele kĂŒsimusele mĂ”tlema. Kahtlemata ilus rida ettevĂ”tte turundusmaterjalides - veebisaidil, sotsiaalvĂ”rgustikes, reklaambroĆĄĂŒĂŒrides jne. â vĂ”ib pidada meeldivaks boonuseks, aga kas selle nimel tasub nii palju ressursse kulutada? Otsustasime ise, et meie jaoks on see midagi enamat kui lihtsalt ilus liin ja saime selles projektis kaasa lĂŒĂŒa.
Allikas: www.habr.com
