Lè yo pran nenpòt desizyon estratejik enpòtan pou konpayi an, anplwaye yo ale nan yon mekanis defans debaz, byen li te ye kòm etap yo 5 nan reponn a chanjman (pa E. Kübler-Ross). Yon sikològ eminan te dekri yon fwa reyaksyon emosyonèl, mete aksan sou 5 etap kle nan repons emosyonèl: refi, kòlè, negosye, depresyon e finalman Adopsyon. Nou te prepare yon seri de atik konsakre ISO 27001 sètifikasyon, kote nou pral gade nan chak etap yo. Jodi a nou pral pale sou premye a nan yo - refi.
Jwenn yon sètifika ISO 27001 "pou montre" se yon plezi trè enzitan, paske li mande pou preparasyon long ak chè. Anplis, jan li montre , estanda sa a trè popilè nan Federasyon Larisi la: jiska dat, sèlman 70 konpayi yo te sètifye pou konfòmite. An menm tan an, sa a se youn nan estanda ki pi popilè aletranje, satisfè demand yo k ap grandi nan biznis nan jaden an nan sekirite enfòmasyon.
Konpayi nou an bay yon seri konplè sèvis externalisation pou fonksyon kontablite: kontablite ak kontablite taks, pewòl ak administrasyon pèsonèl. Nou okipe youn nan pozisyon mache dirijan yo, an patikilye akòz lefèt ke konpayi etranje ki gen branch nan Larisi fè nou konfyans ak enfòmasyon konfidansyèl yo. Sa a aplike pa sèlman nan pwosesis finansye kliyan nou yo, men tou ak done pèsonèl nou travay ak sou yon baz chak jou. Nan sans sa a, pwoblèm sekirite enfòmasyon an se youn nan priyorite nou yo.
Souvan, tout pwosesis biznis nan divizyon Ris yo kontwole ak deklare pa biwo prensipal konpayi etranje yo, ak Se poutèt sa yo dwe konfòme yo ak estanda entèn nan tout gwoup la. Dènyèman, kèk nan kliyan kle nou yo te kòmanse revize politik sekirite yo nan yon direksyon ki pi sere yo. Natirèlman, sa a se akòz tandans mondyal nan nimewo a ap grandi nan atak cyber ak pèt ki asosye ak ensidan vyolasyon sekirite enfòmasyon Si li nesesè aplike mezi pwoteksyon, politik ak pwosedi ki vize pou ogmante sekirite enfòmasyon konpayi an, ou ka fè san ISO. / IEC 27001 sètifikasyon, ekonomize kidonk anpil lajan, tan ak nè.
Jodi a, kondisyon pou sekirite enfòmasyon ki egziste deja nan konpayi an yo te kòmanse parèt nan gard soti nan kliyan etranje yo. Gen kèk, yo nan lòd yo senplifye verifikasyon yo ak inifye apwòch la, mete yon kritè evalyasyon obligatwa - prezans nan ISO/IEC 27001 sètifikasyon.
Men sa nou te wè: Youn nan kliyan entènasyonal kle nou yo ki sètifye nan estanda sa a parèt siyifikativman ranfòse ekip sekirite enfòmasyon mondyal li yo. Ki jan nou te fè konnen sou sa a? Yo deside odit sistèm jesyon sekirite enfòmasyon nou an, paske nou bay yo sèvis kontablite ak administrasyon pèsonèl - epi, kòmsadwa, sekirite sistèm enfòmasyon nou yo enpòtan anpil pou yo. Odit anvan an te fèt 3 zan de sa - tan sa a tout bagay te ale byen san doulè.
Fwa sa a, yon ekip zanmitay Endyen te atake nou, e yo te detekte plizyè douzèn enpèfeksyon nan sistèm jesyon sekirite nou an. Pwosesis odit la te sanble ak wou Samsara - li te sanble ke an prensip yo pa t gen okenn objektif pou yo rive nan nenpòt pwen final kòm yon pati nan odit la. Se te yon seri kesyon, kòmantè intèrminabl, kòmantè nou yo ak prèv reyalite yo, apèl konferans ak konvèsasyon filozofik long nan tantativ yo rekonèt aksan nan ekip sekirite IT kliyan an. By the way, odit la kontinye ak divès degre entansite jiska jodi a - apre yon tan, nou te vin ak sa a. Kidonk, bezwen sètifikasyon an te parèt poukont li.
Petèt nou ka fè fas ak ISO 9001?
Tout moun ki plis oswa mwens konprandr nan pwoblèm nan sètifikasyon dapre nenpòt nan estanda ISO yo konprann ke baz la pou chak nan yo se ISO 9001 "Sistèm Jesyon Kalite" sètifika a. Sa a se petèt sètifika ki pi popilè kounye a nan tout liy estanda ISO yo. Nou pa t 'gen li - epi nou deside pa jwenn li. Te gen plizyè rezon pou sa:
- efikasite ekonomik dout konpayi an ki gen sètifika sa a;
- pwosesis entèn nou yo, pou pi fò, te deja pre estanda sa a;
- Jwenn sètifika sa a ta mande plis tan ak lajan.
An konsekans, nou deside imedyatman aplike ISO 27001, san yo pa kòmanse ak "pi lejè" 9001 la.
Oswa petèt li toujou pa nesesè?
Gade pi devan, nou te retounen anpil fwa nan kesyon an si li se konseye jwenn li. Nou te kòmanse etidye pwoblèm nan soti nan tout kote, paske nou te gen absoliman okenn ekspètiz. Ak isit la se move konsepsyon ki te fè nou reflechi sou pwoblèm sa a yon lòt fwa ankò.
Move konsepsyon #1.
Nou te espere ke estanda a ta ba nou yon lis detaye, yon lis règleman ak lòt dokiman legal yo. An reyalite, li te tounen soti ke ISO / IEC 27001 se yon seri kondisyon pou sistèm nan jesyon sekirite enfòmasyon tèt li ak pwosesis la yo te bati. Ki baze sou yo, li te nesesè pou endepandan deside ki sa yo ekri / aplike nan konpayi nou an konfòme yo ak kondisyon ki nan estanda a.
Move konsepsyon #2.
Nou sensèman kwè ke li ta ase pou nou etidye yon dokiman epi aplike li nan yon tan relativman kout poukont nou. An reyalite, pandan w ap li dokiman an, nou te reyalize konbyen estanda ki gen rapò ak estanda nou an "kole" ak konbyen estanda nou bezwen vin abitye ak (omwen sipèfisyèlman). "Seriz la" sou gato a te mank de estanda aktyèl tèks nan domèn piblik la - yo te dwe achte sou sit entènèt ofisyèl ISO.
Move konsepsyon #3.
Nou te gen konfyans ke nou ta jwenn tout sa nou bezwen pou prepare pou sètifikasyon nan sous louvri. Te gen tout bon anpil materyèl sou ISO 27001 sou entènèt la, men yo te pito manke nan spesifik. Pratikman pa te gen enstriksyon etap pa etap ki fasil pou konprann pou prepare pou sètifikasyon, ansanm ak ka reyèl konpayi ki te aplike estanda sa a.
Move konsepsyon #4.
Nou pral ekri politik, men yo pa pral travay! Oke, se vre, konpayi nou an deja gen twòp règ, pèsonn pa pral konfòme yo ak yon lòt 3 douzèn nouvo politik. An reyalite, erezman, anplwaye nou yo te pran travay la nan metrize nouvo règ yo ak responsablite ak siksè pase tès pou konesans nan dokiman sistèm jesyon sekirite enfòmasyon.
Move konsepsyon #5.
Lè sa a, nou pa t 'kapab byen klè evalye ki benefis nou ta jwenn nan efò nou yo. Nan tan sa a, kantite demann pou sètifika sa a pa t tèlman gwo, epi nou te gen kle nou an ak kliyan ki pi egzijan lontan anvan sètifikasyon an. Eksperyans te montre ke nou jere san yon estanda.
Nan kèk pwen, nou reyalize ke nou te chaotic fèmen youn oswa yon lòt twou vid ki genyen akòz kondisyon kliyan an. Chak fwa nou te vini ak kèk nouvo politik oswa solisyon. Epi nou finalman poukont yo te rive nan konklizyon ke li ta pi fasil sistematize pwosesis la, ki ta menm sove nou anpil depans travay nan lavni an. Estanda a te gen entansyon senplifye travay sa a.
Koulye a, de ane pita, nou wè yon tandans ogmante nan kantite demann ak enterè nan pwoblèm sa a soti nan gwo kliyan entènasyonal yo.
Desizyon final la.
An konklizyon, nou ta renmen di ke lidè endistri nou yo te resevwa ISO/IEC 27001 sètifikasyon, ki te fòse tout lòt founisè pi gwo (ki gen ladan nou) reflechi sou pwoblèm sa a. San dout, yon bèl liy nan materyèl maketing konpayi an - sou sit entènèt la, sou rezo sosyal, nan bwochi piblisite, elatriye. – ka konsidere kòm yon bonis bèl, men èske li vo depanse anpil resous pou li? Nou te deside pou tèt nou ke pou nou sa a se plis pase jis yon bèl liy, epi nou te patisipe nan pwojè sa a.
Sous: www.habr.com