Tehdessään yritykselle strategisesti tärkeitä päätöksiä työntekijät käyvät läpi peruspuolustusmekanismin, joka tunnetaan muutokseen reagoimisen 5 vaiheena (E. Kübler-Ross). Eräs tunnettu psykologi kuvaili kerran emotionaalisia reaktioita korostaen emotionaalisen reaktion viittä avainvaihetta: kieltäminen, viha, huutokauppa, masennus ja lopuksi, Hyväksyminen. Olemme laatineet sarjan ISO 27001 -sertifioinnille omistettuja artikkeleita, joissa tarkastellaan jokaista vaihetta. Tänään puhumme niistä ensimmäisestä - kieltämisestä.
ISO 27001 -sertifikaatin saaminen "näyttelyyn" on erittäin kyseenalainen ilo, koska se vaatii pitkää ja kallista valmistelua. Lisäksi, kuten se osoittaa , tämä standardi on erittäin epäsuosittu Venäjän federaatiossa: tähän mennessä vain 70 yritystä on sertifioitu vaatimustenmukaisuuden osalta. Samalla tämä on yksi suosituimmista standardeista ulkomailla, joka vastaa liiketoiminnan kasvaviin tietoturvavaatimuksiin.
Yrityksemme tarjoaa täyden valikoiman ulkoistuspalveluita kirjanpitotehtäviin: kirjanpito- ja verolaskenta, palkanlaskenta ja henkilöstöhallinto. Meillä on yksi johtavista markkina-asemista erityisesti siksi, että ulkomaiset yritykset, joilla on sivuliikkeitä Venäjällä, luottavat meihin luottamukselliset tietonsa. Tämä ei koske vain asiakkaidemme talousprosesseja, vaan myös henkilötietoja, joiden kanssa työskentelemme päivittäin. Tässä mielessä tietoturvakysymys on yksi prioriteeteistamme.
Usein kaikkia Venäjän divisioonien liiketoimintaprosesseja valvovat ja ilmoittavat ulkomaisten yritysten pääkonttorit, ja siksi niiden on noudatettava konsernin sisäisiä standardeja. Osa keskeisistä asiakkaistamme ovat viime aikoina alkaneet uudistaa tietoturvapolitiikkaansa tiukentamaan niitä. Tämä johtuu tietysti globaaleista trendeistä tietoturvaloukkauksiin liittyvien kyberhyökkäysten ja menetysten lisääntymisessä.Jos on tarpeen toteuttaa yrityksen tietoturvan lisäämiseen tähtääviä suojatoimenpiteitä, politiikkoja ja menettelytapoja, pärjää ilman ISO:ta. /IEC 27001 -sertifikaatti, mikä säästää paljon rahaa, aikaa ja hermoja.
Nykyään vaatimukset yrityksen olemassa olevalle tietoturvalle ovat alkaneet näkyä ulkomaisten asiakkaiden tarjouksissa. Jotkut ovat asettaneet pakollisen arviointikriteerin - ISO/IEC 27001 -sertifioinnin yksinkertaistamiseksi ja lähestymistavan yhtenäistämiseksi.
Näin olemme nähneet: Yksi tämän standardin mukaisesti sertifioiduista keskeisistä kansainvälisistä asiakkaistamme näyttää vahvistaneen merkittävästi maailmanlaajuista tietoturvatiimiään. Mistä tiesimme tämän? He päättivät auditoida tietoturvan hallintajärjestelmämme, koska tarjoamme heille kirjanpitopalveluita ja henkilöstöhallintoa - ja näin ollen tietojärjestelmiemme turvallisuus on heille erittäin tärkeää. Edellinen auditointi tehtiin 3 vuotta sitten - silloin kaikki sujui melko kivuttomasti.
Tällä kertaa intiaanien ystävällinen tiimi hyökkäsi meidän kimppuumme ja löysi taitavasti useita kymmeniä puutteita turvallisuudenhallintajärjestelmässämme. Auditointiprosessi muistutti Samsaran pyörää - vaikutti siltä, että heillä ei periaatteessa ollut tavoitetta päästä mihinkään viimeiseen pisteeseen osana auditointia. Se oli loputon joukko kysymyksiä, kommentteja, kommenttejamme ja todisteita niiden todellisuudesta, neuvottelupuheluita ja pitkiä filosofisia keskusteluja, joissa yritettiin tunnistaa asiakkaan IT-tietoturvatiimin aksentti. Muuten, auditointi jatkuu vaihtelevalla intensiteetillä tähän päivään asti - olemme ajan myötä sopeutuneet tähän. Sertifioinnin tarve on siis syntynyt itsestään.
Ehkä voimme tyytyä ISO 9001:een?
Jokainen, joka on enemmän tai vähemmän taitava sertifioinnissa jonkin ISO-standardin mukaisesti, ymmärtää, että jokaisen perustana on ISO 9001 "laadunhallintajärjestelmä" -sertifikaatti. Tämä on ehkä tällä hetkellä suosituin sertifikaatti koko ISO-standardisarjassa. Meillä ei ollut sitä - ja päätimme olla hankkimatta sitä. Tähän oli useita syitä:
- tämän sertifikaatin omaavan yrityksen kyseenalainen taloudellinen tehokkuus;
- sisäiset prosessimme olivat suurimmaksi osaksi jo lähellä tätä standardia;
- Tämän todistuksen saaminen vaatisi lisäaikaa ja rahaa.
Näin ollen päätimme ottaa heti käyttöön ISO 27001:n aloittamatta "kevyemmästä" 9001:stä.
Tai ehkä se ei silti ole välttämätöntä?
Tulevaisuudessa olemme palanneet monta kertaa kysymykseen, kannattaako se hankkia. Aloimme tutkia asiaa kaikilta puolilta, koska meillä ei ollut minkäänlaista asiantuntemusta. Ja tässä ovat väärinkäsitykset, jotka saivat meidät ajattelemaan tätä asiaa jälleen kerran.
Väärinkäsitys #1.
Toivoimme, että standardi tarjoaisi meille yksityiskohtaisen tarkistuslistan, luettelon politiikoista ja muista lakisääteisistä asiakirjoista. Todellisuudessa kävi ilmi, että ISO/IEC 27001 on joukko vaatimuksia itse tietoturvan hallintajärjestelmälle ja rakennettavalle prosessille. Niiden perusteella piti itsenäisesti päättää, mitä kirjoittaa/toteuttaa yrityksessämme standardin vaatimusten täyttämiseksi.
Väärinkäsitys #2.
Uskoimme vilpittömästi, että meille riittäisi tutkia yksi asiakirja ja panna se toimeen suhteellisen lyhyessä ajassa omatoimisesti. Todellisuudessa dokumenttia lukiessamme ymmärsimme, kuinka moneen asiaan liittyvään standardiin standardimme "tarrautuu", kuinka moneen standardiin meidän on tutustuttava (ainakin pinnallisesti). "Kirsikka" kakun päällä oli nykyisten standarditekstien puute julkisesti - ne oli ostettava viralliselta ISO-verkkosivustolta.
Väärinkäsitys #3.
Olimme varmoja, että löydämme kaiken tarvittavan valmistautuaksemme sertifiointiin avoimista lähteistä. ISO 27001 -standardia käsittelevää materiaalia oli Internetissä todellakin paljon, mutta niistä puuttui melkoisesti yksityiskohtia. Helposti ymmärrettäviä vaiheittaisia ohjeita sertifiointiin valmistautumisesta ei ollut käytännössä lainkaan, samoin kuin todellisia tapauksia yrityksistä, jotka olivat ottaneet tämän standardin käyttöön.
Väärinkäsitys #4.
Kirjoitamme politiikkoja, mutta ne eivät toimi! No, se on totta, yrityksellämme on jo liikaa sääntöjä, kukaan ei noudata kolmea tusinaa uutta käytäntöä. Todellisuudessa työntekijämme ottivat onneksi uusien sääntöjen hallinnan vastuullisesti ja läpäisivät onnistuneesti tietoturvan hallintajärjestelmän dokumenttien tuntemustestin.
Väärinkäsitys #5.
Tuolloin emme pystyneet selkeästi arvioimaan, mitä hyötyä ponnisteluistamme saamme. Tuolloin sertifikaattipyyntöjen määrä ei ollut niin suuri, ja meillä oli avain ja vaativin asiakkaamme kauan ennen sertifiointia. Kokemus on osoittanut, että pärjäsimme ilman standardia.
Jossain vaiheessa tajusimme, että olimme kaoottisesti kuromassa umpeen yhtä tai toista ilmaantuvaa aukkoa asiakkaan vaatimusten vuoksi. Joka kerta keksimme uusia käytäntöjä tai ratkaisuja. Ja lopulta tulimme itsenäisesti siihen tulokseen, että prosessin systematisointi olisi paljon helpompaa, mikä säästäisi jopa paljon työvoimakustannuksia tulevaisuudessa. Standardin tarkoituksena oli yksinkertaistaa tätä tehtävää.
Nyt, kaksi vuotta myöhemmin, näemme kasvavan trendin suurten kansainvälisten asiakkaiden pyyntöjen määrässä ja kiinnostuksessa tätä asiaa kohtaan.
Lopullinen päätös.
Lopuksi haluamme todeta, että toimialamme johtajat ovat saaneet ISO/IEC 27001 -sertifikaatin, mikä on pakottanut kaikki muut suuret toimittajat (mukaan lukien meidät) pohtimaan tätä asiaa. Epäilemättä kaunis rivi yrityksen markkinointimateriaaleissa - verkkosivustolla, sosiaalisissa verkostoissa, mainosesitteissä jne. – voidaan pitää miellyttävänä bonuksena, mutta kannattaako siihen käyttää niin paljon resursseja? Päätimme itse, että tämä on meille enemmän kuin vain kaunis linja, ja osallistuimme tähän projektiin.
Lähde: will.com