Ketika membuat keputusan penting yang strategis bagi perusahaan, karyawan melalui mekanisme pertahanan dasar, yang dikenal sebagai 5 tahap merespons perubahan (menurut E. KΓΌbler-Ross). Seorang psikolog terkemuka pernah menggambarkan reaksi emosional, menyoroti 5 tahapan utama respons emosional: penyangkalan, kemarahan, tawar, depresi dan akhirnya Adopsi. Kami telah menyiapkan serangkaian artikel yang didedikasikan untuk sertifikasi ISO 27001, di mana kami akan melihat setiap tahapannya. Hari ini kita akan membicarakan yang pertama β penolakan.
Memperoleh sertifikat ISO 27001 βuntuk pertunjukanβ merupakan suatu kesenangan yang sangat meragukan, karena memerlukan persiapan yang lama dan mahal. Terlebih lagi, seperti yang terlihat , standar ini sangat tidak populer di Federasi Rusia: hingga saat ini, hanya 70 perusahaan yang telah disertifikasi untuk kepatuhannya. Pada saat yang sama, ini adalah salah satu standar paling populer di luar negeri, yang memenuhi permintaan bisnis di bidang keamanan informasi yang terus meningkat.
Perusahaan kami menyediakan berbagai layanan outsourcing untuk fungsi akuntansi: akuntansi dan akuntansi pajak, penggajian dan administrasi personalia. Kami menempati salah satu posisi terdepan di pasar, khususnya karena fakta bahwa perusahaan asing dengan cabang di Rusia mempercayakan informasi rahasia mereka kepada kami. Hal ini tidak hanya berlaku pada proses keuangan klien kami, namun juga pada data pribadi yang kami gunakan sehari-hari. Dalam hal ini, masalah keamanan informasi menjadi salah satu prioritas kami.
Seringkali, semua proses bisnis divisi Rusia dikendalikan dan diumumkan oleh kantor pusat perusahaan asing, dan oleh karena itu mereka harus mematuhi standar internal grup. Baru-baru ini, beberapa klien utama kami mulai merevisi kebijakan keamanan mereka ke arah pengetatan. Tentu saja, hal ini disebabkan oleh tren global meningkatnya jumlah serangan dunia maya dan kerugian yang terkait dengan insiden pelanggaran keamanan informasi.Jika perlu menerapkan langkah-langkah perlindungan, kebijakan dan prosedur yang bertujuan untuk meningkatkan keamanan informasi perusahaan, Anda dapat melakukannya tanpa ISO /Sertifikasi IEC 27001, sehingga menghemat banyak uang, waktu, dan ketegangan.
Saat ini, persyaratan keamanan informasi yang ada di perusahaan mulai terlihat pada tender dari pelanggan asing. Beberapa, untuk menyederhanakan verifikasi dan menyatukan pendekatan, menetapkan kriteria evaluasi wajib β adanya sertifikasi ISO/IEC 27001.
Inilah yang kami lihat: Salah satu klien internasional utama kami yang tersertifikasi standar ini tampaknya telah memperkuat tim keamanan informasi globalnya secara signifikan. Bagaimana kami mengetahui hal ini? Mereka memutuskan untuk mengaudit sistem manajemen keamanan informasi kami, karena kami menyediakan layanan akuntansi dan administrasi personalia kepada mereka - dan, oleh karena itu, keamanan sistem informasi kami sangat penting bagi mereka. Audit sebelumnya dilakukan 3 tahun lalu - saat itu semuanya berjalan lancar.
Kali ini, tim ramah India menyerang kami, dengan sigap menemukan beberapa lusin kekurangan dalam sistem manajemen keamanan kami. Proses auditnya mirip dengan roda Samsara - nampaknya pada prinsipnya mereka tidak mempunyai tujuan untuk mencapai titik akhir sebagai bagian dari audit. Itu adalah serangkaian pertanyaan, komentar, komentar kami yang tak ada habisnya, dan bukti realitasnya, panggilan konferensi, dan percakapan filosofis yang panjang dalam upaya mengenali aksen tim keamanan TI klien. Omong-omong, audit berlanjut dengan tingkat intensitas yang berbeda-beda hingga hari ini - seiring berjalannya waktu, kami telah menyadari hal ini. Oleh karena itu, kebutuhan akan sertifikasi muncul dengan sendirinya.
Mungkin kita bisa puas dengan ISO 9001?
Setiap orang yang kurang lebih paham dalam masalah sertifikasi menurut salah satu standar ISO memahami bahwa dasar dari masing-masing standar tersebut adalah sertifikat βSistem Manajemen Mutuβ ISO 9001. Ini mungkin sertifikat paling populer saat ini di seluruh lini standar ISO. Kami tidak memilikinya - dan kami memutuskan untuk tidak mendapatkannya. Ada beberapa alasan untuk hal ini:
- efisiensi ekonomi yang dipertanyakan dari perusahaan yang memiliki sertifikat ini;
- sebagian besar proses internal kami sudah mendekati standar ini;
- Memperoleh sertifikat ini memerlukan waktu dan uang tambahan.
Oleh karena itu, kami memutuskan untuk segera menerapkan ISO 27001, tanpa memulai dengan 9001 yang βlebih ringanβ.
Atau mungkin masih belum perlu?
Ke depan, kita telah berkali-kali kembali ke pertanyaan apakah disarankan untuk mendapatkannya. Kami mulai mempelajari masalah ini dari semua sisi, karena kami sama sekali tidak punya keahlian. Dan inilah kesalahpahaman yang membuat kita memikirkan masalah ini sekali lagi.
Kesalahpahaman #1.
Kami berharap standar ini akan memberi kami daftar periksa yang terperinci, daftar kebijakan, dan dokumen hukum lainnya. Kenyataannya, ISO/IEC 27001 ternyata merupakan seperangkat persyaratan untuk sistem manajemen keamanan informasi itu sendiri dan proses yang sedang dibangun. Berdasarkan hal tersebut, penting untuk memutuskan secara mandiri apa yang akan ditulis/diimplementasikan di perusahaan kami untuk memenuhi persyaratan standar.
Kesalahpahaman #2.
Kami dengan tulus percaya bahwa cukup mempelajari satu dokumen dan menerapkannya sendiri dalam waktu yang relatif singkat. Kenyataannya, saat membaca dokumen tersebut, kami menyadari betapa banyak standar terkait yang βdipatuhiβ oleh standar kami, berapa banyak standar yang perlu kami pahami (setidaknya secara dangkal). Yang paling menarik adalah kurangnya teks standar terkini di domain publik - teks tersebut harus dibeli di situs web resmi ISO.
Kesalahpahaman #3.
Kami yakin bahwa kami akan menemukan semua yang kami perlukan untuk mempersiapkan sertifikasi dalam sumber terbuka. Materi tentang ISO 27001 memang cukup banyak di Internet, namun kurang spesifik. Praktis tidak ada petunjuk langkah demi langkah yang mudah dipahami untuk mempersiapkan sertifikasi, serta kasus nyata dari perusahaan yang telah menerapkan standar ini.
Kesalahpahaman #4.
Kita akan menulis kebijakan, tapi kebijakan itu tidak akan berhasil! Memang benar, perusahaan kita sudah memiliki terlalu banyak aturan, tidak ada yang akan mematuhi 3 lusin kebijakan baru lagi. Pada kenyataannya, untungnya, karyawan kami mengambil tugas untuk menguasai peraturan baru secara bertanggung jawab dan berhasil lulus pengujian pengetahuan tentang dokumen sistem manajemen keamanan informasi.
Kesalahpahaman #5.
Pada saat itu, kami belum dapat menilai dengan jelas manfaat apa yang akan kami peroleh dari upaya kami. Pada saat itu, jumlah permintaan untuk sertifikat ini tidak begitu besar, dan kami memiliki klien utama dan paling menuntut jauh sebelum sertifikasi. Pengalaman menunjukkan bahwa kami mengelola tanpa standar.
Pada titik tertentu, kami menyadari bahwa kami secara kacau menutup satu atau beberapa kesenjangan yang muncul karena kebutuhan klien. Setiap kali kami menemukan beberapa kebijakan atau solusi baru. Dan kami akhirnya secara mandiri sampai pada kesimpulan bahwa akan lebih mudah untuk mensistematisasikan prosesnya, yang bahkan akan menghemat banyak biaya tenaga kerja di masa depan. Standar ini dimaksudkan untuk menyederhanakan tugas ini.
Sekarang, dua tahun kemudian, kami melihat tren peningkatan dalam jumlah permintaan dan minat terhadap masalah ini dari klien-klien besar internasional.
Keputusan akhir.
Sebagai kesimpulan, kami ingin menyampaikan bahwa para pemimpin industri kami telah menerima sertifikasi ISO/IEC 27001, yang memaksa semua penyedia besar lainnya (termasuk kami) untuk memikirkan masalah ini. Tidak diragukan lagi, garis indah dalam materi pemasaran perusahaan - di situs web, di jejaring sosial, di brosur iklan, dll. β dapat dianggap sebagai bonus yang menyenangkan, tetapi apakah layak mengeluarkan begitu banyak sumber daya untuk itu? Kami memutuskan sendiri bahwa bagi kami ini lebih dari sekedar garis yang indah, dan kami terlibat dalam proyek ini.
Sumber: www.habr.com