هنگام اتخاذ هر تصمیم استراتژیک مهم برای شرکت، کارکنان از یک مکانیسم دفاعی اساسی عبور می کنند که به عنوان 5 مرحله واکنش به تغییر شناخته می شود (توسط E. Kübler-Ross). یک روانشناس برجسته زمانی واکنش های عاطفی را توصیف کرد و 5 مرحله کلیدی واکنش عاطفی را برجسته کرد: انکار, خشم, چانه زدن, افسردگی و در نهایت فرزندخواندگی. مجموعه ای از مقالات مربوط به گواهینامه ISO 27001 را آماده کرده ایم که در آن به بررسی هر یک از مراحل خواهیم پرداخت. امروز ما در مورد اولین آنها صحبت خواهیم کرد - انکار.
دریافت گواهینامه ISO 27001 "برای نمایش" لذت بسیار مشکوکی است، زیرا نیاز به آماده سازی طولانی و پرهزینه دارد. علاوه بر این، همانطور که نشان می دهد ، این استاندارد در فدراسیون روسیه بسیار محبوب نیست: تا به امروز، تنها 70 شرکت برای انطباق تأیید شده اند. در عین حال، این یکی از محبوب ترین استانداردهای خارج از کشور است که نیازهای رو به رشد تجارت در زمینه امنیت اطلاعات را برآورده می کند.
شرکت ما طیف کاملی از خدمات برون سپاری را برای وظایف حسابداری ارائه می دهد: حسابداری و حسابداری مالیاتی، حقوق و دستمزد و مدیریت پرسنل. ما یکی از موقعیت های پیشرو در بازار را اشغال می کنیم، به ویژه به این دلیل که شرکت های خارجی دارای شعبه در روسیه به اطلاعات محرمانه خود به ما اعتماد دارند. این نه تنها در مورد فرآیندهای مالی مشتریان ما، بلکه در مورد داده های شخصی که ما روزانه با آنها کار می کنیم نیز صدق می کند. در این راستا بحث امنیت اطلاعات یکی از اولویت های ماست.
اغلب، تمام فرآیندهای تجاری بخش های روسیه توسط دفاتر مرکزی شرکت های خارجی کنترل و اعلام می شود و بنابراین آنها باید با استانداردهای داخلی گروهی مطابقت داشته باشند. اخیراً، برخی از مشتریان کلیدی ما شروع به تجدید نظر در سیاست های امنیتی خود در جهت تشدید آنها کرده اند. البته این به دلیل روندهای جهانی در تعداد فزاینده حملات سایبری و خسارات مرتبط با حوادث نقض امنیت اطلاعات است. در صورت لزوم اجرای اقدامات حفاظتی، سیاست ها و رویه هایی با هدف افزایش امنیت اطلاعات شرکت، می توانید بدون ISO انجام دهید. / گواهینامه IEC 27001، در نتیجه در هزینه، زمان و اعصاب زیادی صرفه جویی می شود.
امروزه الزامات امنیت اطلاعات موجود در شرکت در مناقصات مشتریان خارجی ظاهر شده است. برخی به منظور ساده سازی تأیید خود و یکسان سازی رویکرد، یک معیار ارزیابی اجباری را تعیین می کنند - وجود گواهینامه ISO/IEC 27001.
این چیزی است که دیدهایم: به نظر میرسد یکی از مشتریان کلیدی بینالمللی ما که دارای گواهینامه این استاندارد است، تیم امنیت اطلاعات جهانی خود را به میزان قابل توجهی تقویت کرده است. چگونه از این موضوع مطلع شدیم؟ آنها تصمیم گرفتند سیستم مدیریت امنیت اطلاعات ما را ممیزی کنند، زیرا ما خدمات حسابداری و مدیریت پرسنل را به آنها ارائه می دهیم - و بر این اساس، امنیت سیستم های اطلاعاتی ما برای آنها بسیار مهم است. ممیزی قبلی 3 سال پیش انجام شد - آن زمان همه چیز کاملاً بدون درد پیش رفت.
این بار یک تیم دوستانه از هندی ها به ما حمله کردند و به طرز ماهرانه ای چندین کاستی در سیستم مدیریت امنیتی ما کشف کردند. فرآیند حسابرسی شبیه چرخ سامسارا بود - به نظر می رسید که آنها در اصل هدفی برای رسیدن به نقطه نهایی به عنوان بخشی از حسابرسی نداشتند. این مجموعه ای بی پایان از سوالات، نظرات، نظرات ما و شواهدی از واقعیت آنها، تماس های کنفرانسی و مکالمات طولانی فلسفی در تلاش برای تشخیص لهجه تیم امنیت فناوری اطلاعات مشتری بود. به هر حال، ممیزی تا به امروز با درجات مختلفی از شدت ادامه دارد - با گذشت زمان، ما با این موضوع کنار آمده ایم. بنابراین، نیاز به گواهینامه به خودی خود ایجاد شده است.
شاید بتوانیم به ISO 9001 بسنده کنیم؟
همه کسانی که کم و بیش در امر صدور گواهینامه طبق هر یک از استانداردهای ISO دانا هستند، می دانند که مبنای هر یک از آنها گواهینامه ISO 9001 "سیستم مدیریت کیفیت" است. این شاید محبوب ترین گواهی در حال حاضر در کل خط استانداردهای ISO باشد. ما آن را نداشتیم - و تصمیم گرفتیم که آن را نگیریم. چندین دلیل برای این بود:
- کارایی اقتصادی مشکوک شرکت دارای این گواهی.
- فرآیندهای داخلی ما، در بیشتر موارد، قبلاً به این استاندارد نزدیک بود.
- دریافت این گواهی مستلزم زمان و هزینه بیشتری است.
بر این اساس، ما تصمیم گرفتیم که بلافاصله ISO 27001 را بدون شروع با "فندک" 9001 اجرا کنیم.
یا شاید هنوز لازم نیست؟
با نگاهی به آینده، بارها به این سوال بازگشتهایم که آیا گرفتن آن صلاح است یا خیر. ما شروع به بررسی موضوع از همه طرف کردیم، زیرا مطلقاً تخصص نداشتیم. و در اینجا باورهای نادرستی وجود دارد که ما را وادار کرد یک بار دیگر به این موضوع فکر کنیم.
تصور اشتباه شماره 1
ما امیدوار بودیم که استاندارد چک لیست دقیق، فهرستی از سیاست ها و سایر اسناد قانونی را در اختیار ما قرار دهد. در واقعیت، مشخص شد که ISO/IEC 27001 مجموعه ای از الزامات برای خود سیستم مدیریت امنیت اطلاعات و فرآیند در حال ساخت است. بر اساس آنها، لازم بود به طور مستقل تصمیم بگیریم که چه چیزی را در شرکت خود بنویسیم/اجرا کنیم تا با الزامات استاندارد مطابقت داشته باشد.
تصور اشتباه شماره 2
ما صمیمانه معتقد بودیم که کافی است یک سند را مطالعه کنیم و در مدت زمان نسبتاً کوتاهی به تنهایی اجرا کنیم. در حقیقت، در حین خواندن سند، متوجه شدیم که استاندارد ما به چند استاندارد مرتبط «چسبیده»، باید با چند استاندارد آشنا شویم (حداقل به صورت سطحی). "گیلاس" روی کیک عدم وجود متون استانداردهای فعلی در حوزه عمومی بود - آنها باید در وب سایت رسمی ISO خریداری می شدند.
تصور اشتباه شماره 3
ما مطمئن بودیم که همه چیزهایی را که برای آماده سازی برای صدور گواهینامه در منابع باز نیاز داریم، پیدا خواهیم کرد. در واقع مطالب بسیار زیادی در مورد ISO 27001 در اینترنت وجود داشت، اما آنها نسبتاً فاقد مشخصات بودند. عملاً هیچ دستورالعمل گام به گام آسان و قابل درک برای آماده شدن برای صدور گواهینامه و همچنین موارد واقعی شرکت هایی که این استاندارد را اجرا کرده بودند وجود نداشت.
تصور اشتباه شماره 4
ما خط مشی می نویسیم، اما نتیجه نمی دهد! خوب، درست است، شرکت ما در حال حاضر قوانین زیادی دارد، هیچ کس با 3 دوجین سیاست جدید دیگر مطابقت نخواهد کرد. در واقعیت، خوشبختانه، کارمندان ما وظیفه تسلط بر قوانین جدید را مسئولانه بر عهده گرفتند و با موفقیت آزمون دانش اسناد سیستم مدیریت امنیت اطلاعات را پشت سر گذاشتند.
تصور اشتباه شماره 5
در آن زمان نمیتوانستیم به وضوح ارزیابی کنیم که از تلاشهایمان چه سودی میبریم. در آن زمان، تعداد درخواستهای این گواهی چندان زیاد نبود و ما خیلی قبل از صدور گواهینامه، کلیدی و خواستارترین مشتری خود را داشتیم. تجربه نشان داد که بدون استاندارد مدیریت کردیم.
در برخی مواقع، متوجه شدیم که به دلیل نیازهای مشتری، به طرز آشفتهای در حال بسته شدن این یا آن شکاف در حال ظهور هستیم. هر بار به برخی از سیاست ها یا راه حل های جدید رسیدیم. و ما در نهایت به طور مستقل به این نتیجه رسیدیم که سیستماتیک کردن این فرآیند بسیار ساده تر خواهد بود، که حتی در آینده از هزینه های نیروی کار ما صرفه جویی می کند. هدف از این استاندارد ساده کردن این کار بود.
اکنون پس از گذشت دو سال، شاهد روند افزایشی در تعداد درخواستها و علاقه به این موضوع از سوی مشتریان بزرگ بینالمللی هستیم.
تصمیم نهایی.
در خاتمه، میخواهیم بگوییم که رهبران صنعت ما گواهینامه ISO/IEC 27001 را دریافت کردهاند، که همه ارائهدهندگان بزرگ دیگر (از جمله ما) را مجبور کرده است که در مورد این موضوع فکر کنند. بدون شک، یک خط زیبا در مواد بازاریابی شرکت - در وب سایت، در شبکه های اجتماعی، در بروشورهای تبلیغاتی و غیره. - می تواند یک جایزه خوشایند در نظر گرفته شود، اما آیا ارزش صرف این همه منابع برای آن را دارد؟ ما برای خودمان تصمیم گرفتیم که برای ما این چیزی بیش از یک خط زیبا است و در این پروژه شرکت کردیم.
منبع: www.habr.com