مرحله چهارم واکنش عاطفی به تغییر، افسردگی است. در این مقاله ما در مورد تجربه خود از گذراندن طولانی ترین و ناخوشایندترین مرحله - در مورد تغییرات در فرآیندهای تجاری شرکت به منظور دستیابی به انطباق آنها با استاندارد ISO 27001 صحبت خواهیم کرد.
انتظار
اولین سوالی که پس از انتخاب نهاد گواهی کننده و مشاور از خود پرسیدیم این بود که واقعا چقدر زمان نیاز داریم تا همه تغییرات لازم را انجام دهیم؟
برنامه کاری اولیه به گونه ای بود که باید ظرف 3 ماه آن را تکمیل می کردیم.
علاوه بر این، ما قرار نبود خطمشیها را از ابتدا بنویسیم - از این گذشته، ما مشاوری داشتیم که همانطور که فکر میکردیم قرار بود همه الگوهای "درست" را به ما بدهد.
در نتیجه این نتایج، ما 3 روز را برای تهیه هر سیاست اختصاص دادیم.
تغییرات فنی نیز دلهرهآور به نظر نمیرسیدند: باید مجموعه و ذخیرهسازی رویدادها را راهاندازی کرد، بررسی کرد که آیا نسخههای پشتیبان با خطمشیای که نوشتهایم مطابقت دارند، دفاتر را با سیستمهای کنترل دسترسی در صورت لزوم مقاومسازی میکردند، و چند چیز کوچک دیگر. .
تیم آماده سازی همه چیز برای صدور گواهینامه شامل دو نفر بود. برنامه ریزی کردیم که موازی با مسئولیت اصلی خود درگیر اجرا باشند و این کار هر کدام حداکثر 1,5-2 ساعت در روز زمان می برد.
به طور خلاصه می توان گفت که نگاه ما به حوزه کاری آینده کاملاً خوش بینانه بود.
واقعیت
در واقعیت، همه چیز به طور طبیعی متفاوت بود: الگوهای خط مشی ارائه شده توسط مشاور مشخص شد که عمدتاً برای شرکت ما قابل اجرا نیستند. تقریباً هیچ اطلاعات روشنی در اینترنت در مورد اینکه چه کاری و چگونه انجام شود وجود نداشت. همانطور که می توانید تصور کنید، طرح "نوشتن یک سیاست در 3 روز" به طرز بدی شکست خورد. بنابراین ما تقریباً از همان ابتدای پروژه به ضرب الاجل نرسیدیم و روحیه ما کم کم شروع به افت کرد.
تخصص تیم به طرز فاجعه باری کم بود - به حدی که حتی برای پرسیدن سؤالات درست از مشاور (که اتفاقاً ابتکار عمل زیادی از خود نشان نداد) کافی نبود. کارها حتی آهسته تر شروع به حرکت کردند ، زیرا 3 ماه پس از شروع اجرا (یعنی در لحظه ای که همه چیز باید آماده می شد) یکی از دو شرکت کننده اصلی تیم را ترک کرد. او با یک رئیس جدید سرویس فناوری اطلاعات جایگزین شد، که باید به سرعت فرآیند پیاده سازی را تکمیل می کرد و سیستم مدیریت امنیت اطلاعات را با هر آنچه که از نظر فنی ضروری است را ارائه می داد. کار دشوار به نظر می رسید... کسانی که مسئول بودند شروع به افسردگی کردند.
علاوه بر این، جنبه فنی موضوع نیز دارای "ظرایف" بود. ما با وظیفه نوسازی جهانی نرم افزار هم در ایستگاه های کاری و هم در تجهیزات سرور روبرو هستیم. هنگام راهاندازی سیستم برای جمعآوری رویدادها (گزارشها)، مشخص شد که منابع سختافزاری کافی برای عملکرد عادی سیستم نداریم. و نرم افزار پشتیبان نیز نیاز به نوسازی داشت.
اسپویلر: در نتیجه، ISMS قهرمانانه در 6 ماه اجرا شد. و حتی کسی نمرده!
چه چیزی بیشتر تغییر کرده است؟
البته در طول اجرای استاندارد، تغییرات کوچک زیادی در فرآیندهای شرکت رخ داد. مهم ترین تغییرات را برای شما برجسته کرده ایم:
- رسمی کردن فرآیند ارزیابی ریسک
پیش از این، شرکت هیچ فرآیند رسمی ارزیابی ریسک نداشت - این فقط به عنوان بخشی از برنامه ریزی استراتژیک کلی انجام می شد. یکی از مهمترین کارهایی که به عنوان بخشی از گواهینامه حل شد، اجرای خط مشی ارزیابی ریسک شرکت بود که تمام مراحل این فرآیند و افراد مسئول هر مرحله را تشریح می کند.
- کنترل رسانه های ذخیره سازی قابل جابجایی
یکی از خطرات مهم برای تجارت، استفاده از درایوهای فلش USB رمزگذاری نشده بود: در واقع، هر کارمندی میتوانست هر اطلاعاتی را که برایش در دسترس است روی فلش مموری بنویسد و در بهترین حالت، آن را از دست بدهد. به عنوان بخشی از صدور گواهینامه، امکان بارگیری هر گونه اطلاعات بر روی درایوهای فلش در تمام ایستگاه های کاری کارمندان غیرفعال شد - ضبط اطلاعات تنها از طریق یک برنامه کاربردی در بخش فناوری اطلاعات امکان پذیر شد.
- کنترل کاربر فوق العاده
یکی از مشکلات اصلی این واقعیت بود که همه کارکنان بخش فناوری اطلاعات در تمام سیستم های شرکت از حقوق مطلق برخوردار بودند - آنها به تمام اطلاعات دسترسی داشتند. در عین حال، هیچ کس واقعاً آنها را کنترل نمی کرد.
ما یک سیستم پیشگیری از از دست دادن داده ها (DLP) را پیاده سازی کرده ایم - برنامه ای برای نظارت بر اقدامات کارکنان که تجزیه و تحلیل، مسدود کردن و هشدار در مورد فعالیت های خطرناک و غیرمولد را انجام می دهد. اکنون هشدارهای مربوط به اقدامات کارکنان بخش فناوری اطلاعات به آدرس ایمیل مدیر عملیات شرکت ارسال می شود.
- رویکرد سازماندهی زیرساخت های اطلاعاتی
صدور گواهینامه نیازمند تغییرات و رویکردهای جهانی است. بله، به دلیل افزایش بار مجبور شدیم تعدادی از تجهیزات سرور را ارتقا دهیم. به طور خاص، ما یک سرور جداگانه برای سیستم های جمع آوری رویدادها اختصاص داده ایم. سرور مجهز به درایوهای SSD بزرگ و سریع بود. ما نرمافزار پشتیبانگیری را کنار گذاشتیم و سیستمهای ذخیرهسازی را انتخاب کردیم که تمام قابلیتهای لازم را داشته باشند. ما چندین گام بزرگ به سمت مفهوم "زیرساخت به عنوان کد" برداشتیم، که به ما اجازه داد تا با حذف پشتیبان تعدادی از سرورها، فضای دیسک زیادی را ذخیره کنیم. در کمترین زمان ممکن (1 هفته) تمامی نرم افزارهای ایستگاه های کاری به Win10 ارتقا یافتند. یکی از مشکلاتی که مدرنیزاسیون حل کرد، امکان فعال کردن رمزگذاری (در نسخه Pro) بود.
- کنترل اسناد کاغذی
این شرکت خطرات قابل توجهی در ارتباط با استفاده از اسناد کاغذی داشت: ممکن است آنها گم شوند، در مکان نامناسب رها شوند یا به طور نامناسب از بین بروند. برای به حداقل رساندن این خطر، ما تمام اسناد کاغذی را با توجه به سطح محرمانه بودن علامت گذاری کرده ایم و رویه ای برای از بین بردن انواع مختلف اسناد ایجاد کرده ایم. اکنون، زمانی که یک کارمند پوشه ای را باز می کند یا سندی را می گیرد، دقیقاً می داند که این اطلاعات در چه دسته ای قرار می گیرد و چگونه با آن کار کند.
- اجاره مرکز داده پشتیبان
پیش از این، تمام اطلاعات شرکت در سرورهای واقع در یک مرکز داده ایمن شخص ثالث ذخیره می شد. با این حال، هیچ روش اضطراری در این مرکز داده وجود نداشت. راه حل اجاره یک مرکز داده ابری پشتیبان و پشتیبان گیری از مهم ترین اطلاعات در آنجا بود. در حال حاضر، اطلاعات شرکت در دو مرکز داده از راه دور جغرافیایی ذخیره می شود که خطر از دست دادن آن را به حداقل می رساند.
- تست تداوم کسب و کار
شرکت ما چندین سال است که یک خطمشی تداوم کسبوکار (BCP) دارد که شرح میدهد کارمندان در سناریوهای منفی مختلف (از دست دادن دسترسی به دفتر، بیماری همهگیر، قطع برق و غیره) چه کاری باید انجام دهند. با این حال، ما هرگز آزمایش تداوم انجام ندادهایم - یعنی هرگز اندازهگیری نکردهایم که در هر یک از این موقعیتها چقدر طول میکشد تا کسب و کار بازیابی شود. در آماده سازی برای ممیزی گواهینامه، ما نه تنها این کار را انجام دادیم، بلکه یک طرح آزمایش تداوم کسب و کار را برای سال آینده ایجاد کردیم. شایان ذکر است که یک سال بعد، زمانی که با نیاز به تغییر کامل به کار از راه دور مواجه شدیم، این کار را در سه روز به پایان رساندیم.
نکته حائز اهمیت است، که همه شرکت هایی که برای صدور گواهینامه آماده می شوند شرایط شروع متفاوتی دارند - بنابراین در مورد شما ممکن است تغییرات کاملاً متفاوتی مورد نیاز باشد.
واکنش کارکنان به تغییرات
به اندازه کافی عجیب - در اینجا ما انتظار بدترین را داشتیم - معلوم شد که خیلی بد نیست. نمی توان گفت که همکاران با اشتیاق فراوان خبر صدور گواهینامه را دریافت کردند، اما موارد زیر مشخص بود:
- همه کارکنان کلیدی اهمیت و اجتناب ناپذیر بودن این رویداد را درک کردند.
- همه کارمندان دیگر به کارمندان کلیدی نگاه می کردند.
البته، ویژگی های صنعت ما به ما کمک زیادی کرد - برون سپاری عملکردهای حسابداری. اکثریت قریب به اتفاق کارمندان ما با تغییرات مداوم در قوانین روسیه به خوبی کنار می آیند. بر این اساس، معرفی چند ده قانون جدید که اکنون باید رعایت شود، برای آنها امری غیرعادی نبود.
ما آموزش و تست اجباری ISO 27001 را برای همه کارکنان خود آماده کرده ایم. همه با اطاعت یادداشت های چسبناک حاوی رمزهای عبور را از روی مانیتور خود حذف کردند و میزهای پر از اسناد را پاک کردند. هیچ نارضایتی با صدای بلندی مشاهده نشد - به طور کلی، ما با کارمندان خود بسیار خوش شانس بودیم.
بنابراین، ما دردناک ترین مرحله - "افسردگی" - مرتبط با تغییرات در فرآیندهای کسب و کار خود را پشت سر گذاشتیم. سخت و دشوار بود، اما نتیجه در نهایت فراتر از همه انتظارات ما بود.
مطالب قبلی این مجموعه را بخوانید:
5 مرحله اجتناب ناپذیر بودن گواهینامه ISO/IEC 27001. افسردگی.
5 مرحله اجتناب ناپذیر بودن گواهینامه ISO/IEC 27001. فرزندخواندگی.
منبع: www.habr.com