Ettevõtte jaoks strateegiliselt olulise otsuse tegemisel läbivad töötajad põhilise kaitsemehhanismi, mida tuntakse muutustele reageerimise 5 etapina (autor. E. Kübler-Ross). Üks silmapaistev psühholoog kirjeldas kunagi emotsionaalseid reaktsioone, tuues esile emotsionaalse reaktsiooni 5 peamist etappi: eitamine, viha, allahindlus, depressioon ja lõpuks Lapsendamine. Oleme koostanud ISO 27001 sertifikaadile pühendatud artiklite sarja, kus vaatleme kõiki etappe. Täna räägime neist esimesest – eitusest.
ISO 27001 sertifikaadi saamine “näituseks” on väga kahtlane nauding, sest nõuab pikka ja kulukat ettevalmistust. Pealegi, nagu näitab , on see standard Vene Föderatsioonis äärmiselt ebapopulaarne: praeguseks on vastavuse sertifikaadi saanud ainult 70 ettevõtet. Samas on tegemist ühe populaarseima standardiga välismaal, mis vastab äri kasvavatele nõudmistele infoturbe vallas.
Meie ettevõte pakub täielikku sisseostmisteenust raamatupidamisfunktsioonide täitmiseks: raamatupidamine ja maksuarvestus, palgaarvestus ja personalihaldus. Me hõivame ühe juhtiva turupositsiooni, eelkõige tänu sellele, et Venemaal filiaalidega välisettevõtted usaldavad meile oma konfidentsiaalset teavet. See ei puuduta ainult meie klientide finantsprotsesse, vaid ka isikuandmeid, millega me igapäevaselt töötame. Sellega seoses on infoturbe teema üks meie prioriteete.
Sageli kontrollivad ja deklareerivad kõiki Venemaa osakondade äriprotsesse välismaiste ettevõtete peakontorid ning seetõttu peavad need vastama kogu kontserni sisemistele standarditele. Hiljuti on mõned meie võtmekliendid hakanud oma turvapoliitikaid karmistama. Loomulikult on selle põhjuseks globaalsed trendid küberrünnete arvu suurenemises ja infoturbe rikkumiste intsidentidega kaasnevates kahjudes.Kui on vaja rakendada kaitsemeetmeid, poliitikaid ja protseduure, mis on suunatud ettevõtte infoturbe suurendamisele, saab hakkama ka ilma ISOta. /IEC 27001 sertifikaat, mis säästab sellega palju raha, aega ja närve.
Tänaseks on välisklientide hangetel hakanud ilmnema nõuded ettevõttes olemasolevale infoturbele. Mõned kehtestavad kontrollimise lihtsustamiseks ja lähenemisviisi ühtlustamiseks kohustusliku hindamiskriteeriumi - ISO/IEC 27001 sertifikaadi olemasolu.
Oleme näinud järgmist. Üks meie selle standardi järgi sertifitseeritud rahvusvahelistest olulistest klientidest näib olevat oluliselt tugevdanud oma ülemaailmset infoturbe meeskonda. Kuidas me sellest teada saime? Nad otsustasid auditeerida meie infoturbe juhtimissüsteemi, kuna pakume neile raamatupidamisteenust ja personalihaldust – ja sellest tulenevalt on meie infosüsteemide turvalisus neile kriitilise tähtsusega. Eelmine audit toimus 3 aastat tagasi - tol korral läks kõik üsna valutult.
Seekord ründas meid sõbralik indiaanlaste meeskond, kes avastas osavalt meie turvahaldussüsteemis mitukümmend puudust. Auditiprotsess meenutas Samsara ratast – tundus, et neil polnud põhimõtteliselt eesmärki auditi raames mingissegi lõpppunkti jõuda. See oli lõputu rida küsimusi, kommentaare, meie kommentaare ja tõendeid nende tegelikkusest, konverentskõnesid ja pikki filosoofilisi vestlusi, millega üritati ära tunda kliendi IT-turvameeskonna aktsenti. Muide, audit kestab erineva intensiivsusega tänaseni – aja jooksul oleme sellega leppinud. Seega on sertifitseerimise vajadus tekkinud iseenesest.
Äkki saame ISO 9001-ga hakkama?
Igaüks, kes on mõne ISO standardi järgi sertifitseerimise küsimuses enam-vähem taiplik, mõistab, et igaühe aluseks on ISO 9001 “Kvaliteedijuhtimissüsteemi” sertifikaat. See on võib-olla praegu kõige populaarsem sertifikaat kogu ISO standardite reas. Meil seda ei olnud – ja me otsustasime seda mitte saada. Sellel oli mitu põhjust:
- seda sertifikaati omava ettevõtte küsitav majanduslik efektiivsus;
- meie sisemised protsessid olid suures osas juba sellele standardile lähedased;
- Selle sertifikaadi saamine nõuaks lisaaega ja raha.
Sellest lähtuvalt otsustasime kohe rakendada ISO 27001, alustamata “kergemast” 9001-st.
Või äkki pole see siiski vajalik?
Tulevikku vaadates oleme korduvalt pöördunud tagasi küsimuse juurde, kas seda on otstarbekas hankida. Hakkasime seda küsimust igast küljest uurima, sest meil polnud absoluutselt asjatundlikkust. Ja siin on väärarusaamad, mis panid meid selle teema üle veel kord mõtlema.
Väärarvamus nr 1.
Lootsime, et standard annab meile üksikasjaliku kontrollnimekirja, poliitikate loendi ja muud kohustuslikud dokumendid. Tegelikkuses selgus, et ISO/IEC 27001 on nõuete kogum infoturbe haldussüsteemile endale ja ehitatavale protsessile. Nende põhjal oli vaja iseseisvalt otsustada, mida meie ettevõttes standardi nõuete täitmiseks kirjutada/rakendada.
Väärarvamus nr 2.
Uskusime siiralt, et meil piisab ühe dokumendiga tutvumisest ja selle suhteliselt lühikese aja jooksul iseseisvalt ellu viimisest. Tegelikkuses saime dokumenti lugedes aru, kui paljudele seotud standarditele meie standard “klammerdub”, kui paljude standarditega on meil vaja (vähemalt pealiskaudselt) tuttavaks saada. "Kirsiks" tordil oli praeguste standardite tekstide puudumine avalikus omandis - need tuli osta ISO ametlikult veebisaidilt.
Väärarvamus nr 3.
Olime kindlad, et leiame avatud allikatest kõik, mida vajame sertifitseerimiseks valmistumiseks. Internetis leidus ISO 27001 kohta tõepoolest päris palju materjale, kuid need jäid pigem kitsaks. Praktiliselt puudusid lihtsalt arusaadavad samm-sammult juhised sertifitseerimise ettevalmistamiseks, samuti tegelikud juhtumid selle standardi rakendanud ettevõtete kohta.
Väärarvamus nr 4.
Me kirjutame poliitikaid, kuid need ei tööta! Noh, see on tõsi, meie ettevõttel on juba liiga palju reegleid, keegi ei järgi veel kolme tosinat uut poliitikat. Tegelikkuses võtsid meie töötajad uute reeglite valdamise ülesandeks õnneks vastutustundlikult ja läbisid edukalt infoturbe haldussüsteemi dokumentide tundmise testi.
Väärarvamus nr 5.
Sel ajal ei osanud me selgelt hinnata, millist kasu me oma pingutustest saame. Sel ajal ei olnud selle sertifikaadi taotluste arv nii suur ja meil oli oma võtmetähtsusega ja kõige nõudlikum klient juba ammu enne sertifitseerimist. Kogemus näitas, et saime ilma standardita hakkama.
Mingil hetkel saime aru, et sulgeme kaootiliselt üht või teist tekkivat tühimikku kliendi nõudmiste tõttu. Iga kord tulime välja mõne uue poliitika või lahendusega. Ja lõpuks jõudsime iseseisvalt järeldusele, et protsessi oleks palju lihtsam süstematiseerida, mis hoiaks tulevikus isegi palju tööjõukulusid kokku. Standardi eesmärk oli seda ülesannet lihtsustada.
Nüüd, kaks aastat hiljem, näeme suuremate rahvusvaheliste klientide taotluste arvu ja huvi suurenemist.
Lõplik otsus.
Kokkuvõtteks tahame öelda, et meie tööstusharu juhid on saanud ISO/IEC 27001 sertifikaadi, mis on sundinud kõiki teisi suuremaid pakkujaid (kaasa arvatud meid) sellele küsimusele mõtlema. Kahtlemata ilus rida ettevõtte turundusmaterjalides - veebisaidil, sotsiaalvõrgustikes, reklaambrošüürides jne. – võib pidada meeldivaks boonuseks, aga kas selle nimel tasub nii palju ressursse kulutada? Otsustasime ise, et meie jaoks on see midagi enamat kui lihtsalt ilus liin ja saime selles projektis kaasa lüüa.
Allikas: www.habr.com