Neljäs vaihe emotionaalisessa muutoksessa on masennus. Tässä artikkelissa kerromme kokemuksestamme pitkittäisimmän ja epämiellyttävämmän vaiheen läpikäymisestä - muutoksista yrityksen liiketoimintaprosesseissa, jotta ne saavuttavat ISO 27001 -standardin mukaisuuden.
odotus
Ensimmäinen kysymys, jonka esitimme itsellemme sertifiointielimen ja konsultin valinnan jälkeen, oli kuinka paljon aikaa tarvitsemme tarvittavien muutosten tekemiseen?
Alkuperäinen työsuunnitelma ajoitettiin siten, että se piti saada valmiiksi 3 kuukaudessa.
Kaikki näytti yksinkertaiselta: piti kirjoittaa parikymmentä politiikkaa ja muuttaa hieman sisäisiä prosessejamme; sitten kouluta kollegoita muutoksista ja odota vielä 3 kuukautta (jotta ilmestyy "tietueita" eli todisteita käytäntöjen toimivuudesta). Näytti siltä, että siinä oli kaikki - ja todistus oli taskussamme.
Lisäksi emme aikoneet kirjoittaa käytäntöjä tyhjästä - meillä oli loppujen lopuksi konsultti, jonka, kuten luulimme, piti antaa meille kaikki "oikeat" mallit.
Näiden päätelmien seurauksena annoimme 3 päivää kunkin politiikan valmisteluun.
Myöskään tekniset muutokset eivät näyttäneet pelottavilta: piti järjestää tapahtumien keräys ja tallennus, tarkistaa, ovatko varmuuskopiot kirjoittamamme politiikan mukaisia, toimistojen jälkiasennus tarvittaessa kulunvalvontajärjestelmillä ja muutakin pientä. .
Kaiken sertifiointiin tarvittavan valmistelevaan tiimiin kuului kaksi henkilöä. Suunnittelimme, että he osallistuisivat toimeenpanoon rinnakkain päätehtäviensä kanssa, ja tämä vie heiltä enintään 1,5-2 tuntia päivässä.
Yhteenvetona voidaan todeta, että näkemyksemme tulevasta työn laajuudesta oli varsin optimistinen.
Todellisuus
Todellisuudessa kaikki oli luonnollisesti toisin: konsultin toimittamat politiikkamallit osoittautuivat suurimmaksi osaksi yrityksellemme soveltumattomiksi; Internetissä ei juuri ollut selkeää tietoa siitä, mitä ja miten tehdä. Kuten voitte kuvitella, suunnitelma "kirjoittaa yksi politiikka 3 päivässä" epäonnistui surkeasti. Joten lopetimme määräaikojen noudattamisen melkein projektin alusta lähtien, ja mielialamme alkoi pikkuhiljaa laskea.
Tiimin asiantuntemus oli katastrofaalisen pientä - niin paljon, että se ei riittänyt edes kysymään oikeita kysymyksiä konsultille (joka muuten ei osoittanut paljon aloitteellisuutta). Asiat alkoivat edetä vielä hitaammin, koska 3 kuukautta toteutuksen alkamisen jälkeen (eli sillä hetkellä, kun kaiken olisi pitänyt olla valmiina), toinen kahdesta avainhenkilöstä lähti tiimistä. Hänen tilalleen tuli uusi IT-palvelun päällikkö, joka joutui viemään käyttöönottoprosessin nopeasti päätökseen ja tarjoamaan tietoturvan hallintajärjestelmälle kaikki teknisesti tarpeellisin. Tehtävä näytti vaikealta... Vastuuhenkilöt alkoivat masentua.
Lisäksi ongelman teknisellä puolella paljastui myös "viiveitä". Edessämme on globaali ohjelmistojen modernisointi sekä työasemien että palvelinlaitteiden osalta. Järjestelmää asetettaessa keräämään tapahtumia (lokeja) kävi ilmi, että meillä ei ollut tarpeeksi laitteistoresursseja järjestelmän normaaliin toimintaan. Myös varmuuskopiointiohjelmisto kaipasi modernisointia.
Spoileri: Tämän seurauksena ISMS toteutettiin sankarillisesti kuudessa kuukaudessa. Eikä kukaan edes kuollut!
Mikä on muuttunut eniten?
Tietysti standardin käyttöönoton aikana yrityksen prosesseissa tapahtui suuri määrä pieniä muutoksia. Olemme korostaneet sinulle tärkeimmät muutokset:
- Riskinarviointiprosessin virallistaminen
Aikaisemmin yhtiöllä ei ollut virallista riskinarviointiprosessia, vaan se tehtiin vain ohimennen osana kokonaisstrategista suunnittelua. Yksi tärkeimmistä sertifioinnissa ratkaistuista tehtävistä oli yhtiön riskinarviointipolitiikan toimeenpano, joka kuvaa tämän prosessin kaikki vaiheet ja kunkin vaiheen vastuuhenkilöt.
- Irrotettavan tallennusvälineen hallinta
Yksi merkittävistä riskeistä liiketoiminnalle oli salaamattomien USB-muistitikkujen käyttö: itse asiassa kuka tahansa työntekijä saattoi kirjoittaa muistitikulle mitä tahansa saatavilla olevaa tietoa ja parhaimmillaan kadottaa sen. Osana sertifiointia tietojen lataaminen muistitikulle poistettiin kaikilta työntekijöiden työasemilta - tietojen tallentaminen tuli mahdolliseksi vain IT-osastolle tehdyn sovelluksen kautta.
- Super User Control
Yksi suurimmista ongelmista oli se, että kaikilla IT-osaston työntekijöillä oli absoluuttiset oikeudet kaikissa yrityksen järjestelmissä - heillä oli pääsy kaikkeen tietoon. Samaan aikaan kukaan ei todellakaan valvonut niitä.
Olemme ottaneet käyttöön Data Loss Prevention (DLP) -järjestelmän, joka on työntekijöiden toimintojen seurantaohjelma, joka analysoi, estää ja hälyttää vaarallisista ja tuottamattomista toimista. Nyt IT-osaston työntekijöiden toiminnasta lähetetään hälytyksiä yrityksen toimintajohtajan sähköpostiosoitteeseen.
- Lähestymistapa tietoinfrastruktuurin järjestämiseen
Sertifiointi vaati globaaleja muutoksia ja lähestymistapoja. Kyllä, jouduimme päivittämään useita palvelinlaitteita lisääntyneen kuormituksen vuoksi. Erityisesti tapahtumakeräysjärjestelmille olemme omistaneet erillisen palvelimen. Palvelin oli varustettu suurilla ja nopeilla SSD-asemilla. Hylkäsimme varmuuskopiointiohjelmistosta ja valitsimme tallennusjärjestelmät, joissa on kaikki tarvittavat toiminnot valmiina. Otimme useita suuria askeleita kohti "infrastruktuuri koodina" -konseptia, jonka ansiosta pystyimme säästämään paljon levytilaa poistamalla useiden palvelimien varmuuskopiot. Lyhyimmässä mahdollisessa ajassa (1 viikko) kaikki työasemien ohjelmistot päivitettiin Win10:een. Yksi modernisoinnin ratkaisemista ongelmista oli salauksen mahdollistaminen (Pro-versiossa).
- Hallitse paperiasiakirjoja
Yrityksellä oli merkittäviä riskejä paperiasiakirjojen käyttöön: ne saattoivat kadota, jäädä väärään paikkaan tai tuhoutua väärin. Tämän riskin minimoimiseksi olemme merkinneet kaikki paperiasiakirjat luottamuksellisuustason mukaan ja kehittäneet menettelyn erityyppisten asiakirjojen tuhoamiseen. Nyt kun työntekijä avaa kansion tai ottaa asiakirjan, hän tietää tarkalleen, mihin luokkaan nämä tiedot kuuluvat ja miten niitä käsitellään.
- Varatietokeskuksen vuokraus
Aiemmin kaikki yrityksen tiedot tallennettiin palvelimille, jotka sijaitsivat kolmannen osapuolen suojatussa tietokeskuksessa. Tässä palvelinkeskuksessa ei kuitenkaan ollut hätätoimenpiteitä käytössä. Ratkaisu oli vuokrata varmuuskopiopilvitietokeskus ja varmuuskopioida sinne tärkeimmät tiedot. Tällä hetkellä yrityksen tiedot on tallennettu kahteen maantieteellisesti etäiseen datakeskukseen, mikä minimoi niiden katoamisriskin.
- Liiketoiminnan jatkuvuuden testaus
Yrityksellämme on ollut useiden vuosien ajan käytössä toiminnan jatkuvuuspolitiikka (BCP), joka kuvaa, mitä työntekijöiden tulee tehdä erilaisissa negatiivisissa skenaarioissa (toimiston pääsyn menetys, epidemia, sähkökatkos jne.). Emme kuitenkaan ole koskaan tehneet jatkuvuustestausta – eli emme ole koskaan mitanneet, kuinka kauan liiketoiminnan palauttaminen kussakin näistä tilanteista kestäisi. Valmistautuessamme sertifiointiauditointiin emme vain tehneet tätä, vaan myös kehittäneet liiketoiminnan jatkuvuuden testaussuunnitelman tulevalle vuodelle. On syytä huomata, että vuotta myöhemmin, kun kohtasimme tarpeen siirtyä kokonaan etätyöhön, suoritimme tämän tehtävän kolmessa päivässä.
On tärkeää huomata, että kaikilla sertifiointiin valmistautuvilla yrityksillä on erilaiset aloitusehdot - siksi sinun tapauksessasi voidaan tarvita täysin erilaisia muutoksia.
Työntekijöiden reaktiot muutoksiin
Kummallista kyllä - tässä odotimme pahinta - siitä ei tullut niin paha. Ei voida sanoa, että kollegat olisivat ottaneet sertifiointiuutisen suurella innolla, mutta seuraava oli selvää:
- Kaikki avainhenkilöt ymmärsivät tämän tapahtuman tärkeyden ja väistämättömyyden;
- Kaikki muut työntekijät katselivat avainhenkilöitä.
Tietysti toimialamme erityispiirteet auttoivat meitä paljon - kirjanpitotoimintojen ulkoistaminen. Suurin osa työntekijöistämme selviää hyvin jatkuvasta Venäjän lainsäädännön muutoksista. Näin ollen parinkymmenen uuden säännön käyttöönotto, joita nyt on noudatettava, ei ollut heille tavallista.
Olemme valmistaneet kaikille työntekijöillemme uuden pakollisen ISO 27001 -koulutuksen ja -testauksen. Kaikki poistivat kuuliaisesti salasanoilla varustetut tarrat näytöistään ja siivosivat asiakirjoja täynnä olevat pöydät. Kovaa tyytymättömyyttä ei havaittu - yleisesti ottaen olimme erittäin onnekkaita työntekijöidemme kanssa.
Olemme siis ylittäneet tuskallisimman vaiheen - "masennuksen", joka liittyy liiketoimintaprosessiemme muutoksiin. Se oli vaikeaa ja vaikeaa, mutta lopputulos ylitti kaikki villeimmätkin odotuksemme.
Lue aiemmat materiaalit sarjasta:
ISO/IEC 5 -sertifioinnin väistämättömyyden 27001 vaihetta. Masennus.
ISO/IEC 5 -sertifioinnin väistämättömyyden 27001 vaihetta. Hyväksyminen.
Lähde: will.com