A változásra adott érzelmi válasz negyedik szakasza a depresszió. Ebben a cikkben elmondjuk Önnek a leghosszabb és legkellemetlenebb szakaszon átesett tapasztalatainkat - a vállalat üzleti folyamatainak változásairól annak érdekében, hogy elérjék az ISO 27001 szabványnak való megfelelést.
Elvárás
Az első kérdés, amit a tanúsító szervezet és tanácsadó kiválasztása után feltettünk magunknak, az volt, hogy valójában mennyi időre van szükségünk az összes szükséges változtatás végrehajtásához?
A kezdeti munkaterv úgy lett megtervezve, hogy 3 hónapon belül kellett elkészítenünk.
Minden egyszerűnek tűnt: meg kellett írni néhány tucat szabályzatot, és kissé megváltoztatni a belső folyamatainkat; majd betanítja a kollégákat a változásokra, és várjon még 3 hónapot (hogy megjelenjenek a „rekordok”, azaz bizonyítékok a szabályzatok működéséről). Úgy tűnt, ez minden – és a bizonyítvány a zsebünkben volt.
Ráadásul nem a semmiből fogunk szabályzatokat írni – elvégre volt egy tanácsadónk, akinek – ahogy gondoltuk – minden „helyes” sablont kellett volna megadnia.
E következtetések eredményeként 3 napot szántunk az egyes szabályzatok elkészítésére.
A technikai változtatások sem tűntek elrettentőnek: be kellett állítani az események gyűjtését és tárolását, ellenőrizni kellett, hogy a mentések megfelelnek-e az általunk írt szabályzatnak, szükség esetén az irodákat beléptető rendszerrel utólag felszerelni, és még néhány apróság. .
A minősítéshez szükséges mindent előkészítő csapat két főből állt. Úgy terveztük, hogy a főfeladataikkal párhuzamosan részt vesznek a megvalósításban, és ez egyenként maximum napi 1,5-2 órát vesz igénybe.
Összefoglalva azt mondhatjuk, hogy a várható munkakörről meglehetősen optimista volt a véleményünk.
valóság
A valóságban természetesen minden másként alakult: a tanácsadó által biztosított házirend-sablonokról kiderült, hogy cégünkre többnyire nem alkalmazhatók; Szinte nem volt egyértelmű információ az interneten arról, hogy mit és hogyan kell csinálni. Amint elképzelheti, az a terv, hogy „3 nap alatt írjunk egy szabályzatot”, csúnyán megbukott. Így aztán szinte már a projekt kezdetén abbahagytuk a határidők betartását, és a hangulatunk lassan esni kezdett.
A csapat szakértelme katasztrofálisan csekély volt - olyannyira, hogy nem volt elég a megfelelő kérdéseket feltenni a tanácsadónak (aki egyébként nem mutatott túl sok kezdeményezést). A dolgok még lassabban kezdtek haladni, hiszen 3 hónappal a megvalósítás megkezdése után (vagyis abban a pillanatban, amikor mindennek készen kellett volna lennie) a két kulcsszereplő egyike elhagyta a csapatot. Helyére az informatikai szolgálat új vezetője került, akinek a bevezetési folyamatot gyorsan kellett elvégeznie, és minden technikai szempontból legszükségesebbtel ellátnia az információbiztonsági irányítási rendszert. A feladat nehéznek tűnt... A felelősök kezdtek depresszióssá válni.
Ráadásul a kérdés technikai oldaláról is kiderült, hogy vannak „árnyalatai”. Globális szoftvermodernizáció feladatával állunk szemben mind a munkaállomásokon, mind a szerverberendezéseken. Az események (naplók) gyűjtésére szolgáló rendszer beállítása során kiderült, hogy nem áll rendelkezésünkre elegendő hardver erőforrás a rendszer normál működéséhez. És a biztonsági mentési szoftver is korszerűsítésre szorult.
Spoiler: Ennek eredményeként az ISMS-t 6 hónap alatt hősiesen végrehajtották. És még csak nem is halt meg senki!
Mi változott leginkább?
Természetesen a szabvány bevezetése során számos apró változás történt a vállalati folyamatokban. Kiemeltük az Ön számára a legjelentősebb változásokat:
- A kockázatértékelési folyamat formalizálása
Korábban a vállalatnál nem volt formális kockázatértékelési folyamat – ez csak futólag, az átfogó stratégiai tervezés részeként történt. A tanúsítás részeként megoldott egyik legfontosabb feladat a társaság kockázatértékelési szabályzatának megvalósítása volt, amely leírja ennek a folyamatnak az összes szakaszát és az egyes szakaszokért felelős személyeket.
- A cserélhető adathordozók vezérlése
A vállalkozások számára az egyik jelentős kockázatot a titkosítatlan USB flash meghajtók használata jelentette: valójában bármely alkalmazott bármilyen rendelkezésére álló információt felírhat egy pendrive-ra, és a legjobb esetben elvesztette. A tanúsítás részeként minden alkalmazotti munkaállomáson letiltották az információk flash meghajtókra való letöltését - az információk rögzítése csak az informatikai részleghez benyújtott alkalmazáson keresztül vált lehetségessé.
- Szuper felhasználói vezérlés
Az egyik fő probléma az volt, hogy az informatikai részleg minden alkalmazottja abszolút jogokkal rendelkezett minden vállalati rendszerben – minden információhoz hozzáfért. Ugyanakkor senki sem irányította őket igazán.
Bevezettünk egy adatvesztés-megelőzési (DLP) rendszert – egy olyan programot, amely az alkalmazottak tevékenységeit figyeli, és elemzi, blokkolja és figyelmezteti a veszélyes és nem produktív tevékenységeket. Mostantól az IT részleg alkalmazottainak intézkedéseiről szóló figyelmeztetéseket a vállalat műveleti igazgatójának e-mail címére küldik.
- Az információs infrastruktúra szervezésének megközelítése
A tanúsításhoz globális változásokra és megközelítésekre volt szükség. Igen, a megnövekedett terhelés miatt számos szerverberendezést kellett frissítenünk. Különösen az eseménygyűjtő rendszerek számára külön szervert szenteltünk. A szervert nagy és gyors SSD meghajtókkal szerelték fel. Felhagytunk a biztonsági mentési szoftverekkel, és olyan tárolórendszerek mellett döntöttünk, amelyek minden szükséges funkcióval rendelkeznek. Több nagy lépést tettünk az „infrastruktúra mint kód” koncepció felé, amely lehetővé tette, hogy sok lemezterületet takarítsunk meg számos szerver biztonsági mentésének megszüntetésével. A lehető legrövidebb idő alatt (1 hét) a munkaállomásokon lévő összes szoftver Win10-re frissült. Az egyik probléma, amelyet a modernizáció megoldott, a titkosítás engedélyezése volt (a Pro verzióban).
- A papíralapú dokumentumok ellenőrzése
A cégnél jelentős kockázatok merültek fel a papíralapú dokumentumok használatával kapcsolatban: elveszhettek, rossz helyen maradtak, vagy nem megfelelően megsemmisültek. Ennek a kockázatnak a minimalizálása érdekében minden papíralapú dokumentumot megjelöltünk a titoktartási szintnek megfelelően, és kidolgoztunk egy eljárást a különböző típusú dokumentumok megsemmisítésére. Most, amikor egy alkalmazott megnyit egy mappát vagy elvesz egy dokumentumot, pontosan tudja, hogy ez az információ melyik kategóriába tartozik, és hogyan kell kezelni.
- Biztonsági adatközpont bérlése
Korábban az összes vállalati információt harmadik féltől származó biztonságos adatközpontban található szervereken tárolták. Ebben az adatközpontban azonban nem volt érvényben vészhelyzeti eljárás. A megoldás az volt, hogy béreltek egy biztonsági mentési felhő adatközpontot, és ott mentették el a legfontosabb információkat. Jelenleg a cég adatait két földrajzilag távoli adatközpontban tárolják, ami minimálisra csökkenti az elvesztés kockázatát.
- Üzletmenet-folytonossági tesztelés
Cégünknél több éve működik a Business Continuity Policy (BCP), amely leírja, hogy a munkavállalóknak mit kell tenniük különböző negatív forgatókönyvek esetén (iroda hozzáférésének elvesztése, járvány, áramszünet stb.). Azonban soha nem végeztünk folytonossági tesztelést – vagyis soha nem mértük fel, hogy mennyi időbe telne az üzlet helyreállítása az egyes helyzetekben. A tanúsító auditra készülve nem csak ezt tettük meg, hanem egy üzletmenet-folytonossági tesztelési tervet is kidolgoztunk a következő évre. Érdemes megjegyezni, hogy egy évvel később, amikor szembesültünk azzal, hogy teljesen át kell váltanunk a távmunkára, ezt a feladatot három nap alatt teljesítettük.
Fontos megjegyezni, hogy minden minősítésre készülő cégnél eltérő indulási feltételek vannak – ezért az Ön esetében egészen más változtatásokra lehet szükség.
Az alkalmazottak reakciói a változásokra
Furcsa módon - itt a legrosszabbra számítottunk - nem lett olyan rossz. Nem mondható, hogy a kollégák nagy lelkesedéssel fogadták a minősítés hírét, de a következő egyértelmű volt:
- Minden kulcsfontosságú alkalmazott megértette ennek az eseménynek a fontosságát és elkerülhetetlenségét;
- Az összes többi alkalmazott felnézett a kulcsfontosságú alkalmazottakra.
Természetesen sokat segített nekünk iparágunk sajátossága - a számviteli funkciók kiszervezése. Munkatársaink túlnyomó többsége jól megbirkózik az orosz jogszabályok állandó változásaival. Ennek megfelelően néhány tucat új szabály bevezetése, amelyeket most be kell tartani, nem volt szokatlan náluk.
Új, kötelező ISO 27001 képzést és tesztelést készítettünk minden munkatársunk számára. Mindenki engedelmesen eltávolította a monitorról a jelszavas cetliket, és eltakarította az iratokkal teli íróasztalokat. Hangos elégedetlenség nem volt észlelhető – általában véve nagyon szerencsések voltunk a munkatársainkkal.
Ezzel túljutottunk a legfájdalmasabb szakaszon – a „depresszión” –, amely az üzleti folyamatainkban bekövetkezett változásokkal kapcsolatos. Nehéz és nehéz volt, de az eredmény végül minden legmerészebb várakozásunkat felülmúlta.
Olvassa el a sorozat korábbi anyagait:
Az ISO/IEC 5 tanúsítás elkerülhetetlenségének 27001 szakasza. Depresszió.
Az ISO/IEC 5 tanúsítás elkerülhetetlenségének 27001 szakasza. Örökbefogadás.
Forrás: will.com