By it meitsjen fan in strategysk wichtige beslút foar it bedriuw, geane meiwurkers troch in basis ferdigeningsmeganisme, bekend as de 5 stadia fan reagearjen op feroaring (troch E. Kübler-Ross). In emininte psycholooch beskreau ienris emosjonele reaksjes, en markearre 5 wichtige stadia fan emosjonele reaksje: wegering, lilkens, bargain, depresje en, úteinlik, Adopsje. Wy hawwe in searje artikels taret wijd oan ISO 27001-sertifikaasje, wêr't wy elk fan 'e stadia sille sjen. Hjoed sille wy prate oer de earste fan harren - ûntkenning.
It krijen fan in ISO 27001-sertifikaat "foar show" is in heul dubieuze wille, om't it lange en djoere tarieding fereasket. Boppedat, sa't it docht bliken , dizze standert is ekstreem ûnpopulêr yn 'e Russyske Federaasje: oant no ta binne allinich 70 bedriuwen sertifisearre foar neilibjen. Tagelyk is dit ien fan 'e populêrste noarmen yn it bûtenlân, en foldocht oan' e groeiende easken fan bedriuwen op it mêd fan ynformaasjefeiligens.
Us bedriuw leveret in folslein oanbod fan outsourcingtsjinsten foar boekhâldingsfunksjes: boekhâlding en belestingboekhâlding, lean en personielsadministraasje. Wy besette ien fan 'e liedende merkposysjes, benammen troch it feit dat bûtenlânske bedriuwen mei filialen yn Ruslân ús fertrouwe mei har fertroulike ynformaasje. Dit jildt net allinich foar de finansjele prosessen fan ús kliïnten, mar ek foar de persoanlike gegevens wêrmei wy op deistige basis wurkje. Yn dit ferbân is it probleem fan ynformaasjefeiligens ien fan ús prioriteiten.
Faak wurde alle saaklike prosessen fan Russyske divyzjes kontrolearre en ferklearre troch de haadkantoaren fan bûtenlânske bedriuwen, en dêrom moatte se foldwaan oan ynterne groep-wide noarmen. Koartlyn binne guon fan ús wichtige kliïnten begon har befeiligingsbelied te herzien yn 'e rjochting fan har oanskerpe. Fansels is dit te tankjen oan globale trends yn it tanimmend oantal cyberoanfallen en ferliezen ferbûn mei ynsidinten fan ynbreuk op ynformaasjefeiligens. As it nedich is om beskermingsmaatregels, belied en prosedueres út te fieren dy't rjochte binne op it fergrutsjen fan de ynformaasjefeiligens fan it bedriuw, kinne jo sûnder ISO dwaan / IEC 27001 sertifisearring, saving dêrmei in soad jild, tiid en senuwen.
Tsjintwurdich binne easken foar besteande ynformaasjefeiligens yn it bedriuw begon te ferskinen yn oanbestegingen fan bûtenlânske klanten. Guon stelle, om har ferifikaasje te ferienfâldigjen en de oanpak te ferienigjen, in ferplicht evaluaasjekriterium - de oanwêzigens fan ISO / IEC 27001-sertifikaasje.
Hjir is wat wy hawwe sjoen: Ien fan ús wichtige ynternasjonale kliïnten sertifisearre foar dizze standert liket syn wrâldwide ynformaasjebefeiligingsteam signifikant te fersterkjen. Hoe wisten wy hjirfan? Se besletten om ús behearsysteem foar ynformaasjefeiligens te kontrolearjen, om't wy har boekhâldingstsjinsten en personielsadministraasje leverje - en dêrtroch is de feiligens fan ús ynformaasjesystemen kritysk wichtich foar har. De foarige kontrôle fûn plak 3 jier lyn - dy tiid gie alles frij pynlik.
Dizze kear foel in freonlik team fan Yndianen ús oan, en ûntdekte behendich ferskate tsientallen tekoartkommingen yn ús feiligensbehearsysteem. It kontrôleproses like op it tsjil fan Samsara - it like dat se yn prinsipe gjin doel hiene om in einpunt te berikken as ûnderdiel fan 'e kontrôle. It wie in einleaze string fan fragen, opmerkings, ús opmerkings en bewiis fan har realiteit, konferinsjepetearen en lange filosofyske petearen yn besykjen om it aksint fan it IT-befeiligingsteam fan 'e kliïnt te werkennen. Trouwens, de kontrôle giet oant hjoed de dei mei wikseljende yntensiteit troch - yn 'e rin fan' e tiid binne wy hjirmei yn 'e kunde kommen. Sa is de needsaak foar sertifisearring op himsels ûntstien.
Miskien kinne wy it dwaan mei ISO 9001?
Elkenien dy't min of mear yntelligint is yn 'e kwestje fan sertifikaasje neffens ien fan' e ISO-noarmen begrypt dat de basis foar elk fan har it ISO 9001 "Kwaliteitsbehearsysteem"-sertifikaat is. Dit is miskien it populêrste sertifikaat op it stuit yn 'e heule line fan ISO-noarmen. Wy hienen it net - en wy besletten it net te krijen. D'r wiene ferskate redenen foar dit:
- de twifele ekonomyske effisjinsje fan it bedriuw dat dit sertifikaat hat;
- ús ynterne prosessen wiene foar it grutste part al ticht by dizze standert;
- It krijen fan dit sertifikaat soe ekstra tiid en jild fereaskje.
Dêrom hawwe wy besletten om ISO 27001 daliks te ymplementearjen, sûnder te begjinnen mei de "lichtere" 9001.
Of is it miskien noch net nedich?
Foarútsjen binne wy in protte kearen weromkommen op de fraach oft it oan te rieden is om it te krijen. Wy begûnen it probleem fan alle kanten te bestudearjen, om't wy hielendal gjin saakkundigens hiene. En hjir binne de misferstannen dy't ús nochris oer dizze kwestje neitinke.
Misferstân #1.
Wy hopen dat de standert ús in detaillearre checklist, in list mei belied en oare wetlike dokuminten soe jaan. Yn werklikheid die bliken dat ISO / IEC 27001 in set fan easken is foar it behearsysteem foar ynformaasjefeiligens sels en it proses dat wurdt boud. Op grûn fan harren wie it nedich om selsstannich te besluten wat te skriuwen / ymplementearje yn ús bedriuw om te foldwaan oan de easken fan 'e standert.
Misferstân #2.
Wy leauden oprjocht dat it genôch wêze soe foar ús om ien dokumint te studearjen en it yn in relatyf koarte tiid op ús eigen út te fieren. Yn 'e realiteit, by it lêzen fan it dokumint, realisearren wy hoefolle relatearre noarmen ús standert "kleeft" oan, hoefolle noarmen wy moatte fertroud wurde mei (op syn minst oerflakkich). De "kers" op 'e taart wie it ûntbrekken fan hjoeddeistige standertteksten yn it publike domein - se moasten wurde kocht op' e offisjele ISO-webside.
Misferstân #3.
Wy wiene der wis fan dat wy alles soene fine wat wy nedich wiene om ta te rieden op sertifikaasje yn iepen boarnen. D'r wiene yndie nochal in soad materialen oer ISO 27001 op it ynternet, mar se ûntbrekke earder oan spesifiken. D'r wiene praktysk gjin maklik te begripen stap-foar-stap ynstruksjes foar it tarieden fan sertifisearring, lykas ek echte gefallen fan bedriuwen dy't dizze standert hienen ymplementearre.
Misferstân #4.
Wy sille belied skriuwe, mar se sille net wurkje! No, it is wier, ús bedriuw hat al te folle regels, gjinien sil foldwaan oan in oar 3 dozen nije belied. Yn werklikheid, gelokkich, ús meiwurkers namen de taak fan behearskjen fan de nije regels ferantwurde en mei súkses trochjûn testen foar kennis fan ynformaasje feiligens behear systeem dokuminten.
Misferstân #5.
Op dat stuit koenen wy net dúdlik beoardielje hokker foardielen wy soene krije fan ús ynspanningen. Op dat stuit, it oantal oanfragen foar dit sertifikaat wie net sa grut, en wy hiene ús kaai en alderheechste easken oan steld klant lang foar sertifisearring. De ûnderfining die bliken dat wy sûnder in standert slagge.
Op in stuit realisearren wy dat wy ien of oare opkommende gat chaotysk sluten fanwege de easken fan 'e kliïnt. Elke kear kamen wy mei wat nij belied of oplossings. En wy kamen úteinlik selsstannich ta de konklúzje dat it folle makliker wêze soe om it proses te systematisearjen, wat ús yn 'e takomst sels in protte arbeidskosten besparje soe. De standert wie bedoeld om dizze taak te ferienfâldigjen.
No, twa jier letter, sjogge wy in tanimmende trend yn it oantal oanfragen en belangstelling foar dit probleem fan grutte ynternasjonale kliïnten.
Einbeslút.
As konklúzje wolle wy sizze dat ús yndustrylieders ISO/IEC 27001-sertifikaasje krigen hawwe, wat alle oare grutte providers (ynklusyf ús) twongen hat om nei te tinken oer dit probleem. Sûnder mis, in prachtige line yn 'e marketingmaterialen fan it bedriuw - op' e webside, op sosjale netwurken, yn reklamebrosjueres, ensfh. - kin beskôge wurde as in noflike bonus, mar is it wurdich in besteegje safolle middels foar it? Wy hawwe foar ússels besletten dat dit foar ús mear is as gewoan in prachtige line, en wy binne belutsen by dit projekt.
Boarne: www.habr.com