Þegar starfsmenn taka einhverja hernaðarlega mikilvæga ákvörðun fyrir fyrirtækið fara starfsmenn í gegnum grunnvarnarkerfi, vel þekkt sem 5 stigin til að bregðast við breytingum (eftir E. Kübler-Ross). Frægur sálfræðingur lýsti einu sinni tilfinningalegum viðbrögðum og lagði áherslu á 5 lykilstig tilfinningalegra viðbragða: afneitun, reiði, semja, þunglyndi og að lokum Ættleiðing. Við höfum útbúið röð greina tileinkað ISO 27001 vottun, þar sem við munum skoða hvert stig. Í dag munum við tala um fyrsta þeirra - afneitun.
Að fá ISO 27001 vottorð „til sýnis“ er mjög vafasöm ánægja, því það krefst langan og dýran undirbúning. Þar að auki, eins og það sýnir , þessi staðall er afar óvinsæll í Rússlandi: Hingað til hafa aðeins 70 fyrirtæki verið vottuð fyrir samræmi. Jafnframt er þetta einn vinsælasti staðallinn erlendis sem uppfyllir vaxandi kröfur fyrirtækja á sviði upplýsingaöryggis.
Fyrirtækið okkar veitir alhliða útvistun þjónustu fyrir bókhaldsaðgerðir: bókhald og skattabókhald, launaskrá og starfsmannastjórnun. Við erum í einni af leiðandi markaðsstöðum, einkum vegna þess að erlend fyrirtæki með útibú í Rússlandi treysta okkur fyrir trúnaðarupplýsingum sínum. Þetta á ekki aðeins við um fjárhagsferla viðskiptavina okkar heldur einnig um þær persónuupplýsingar sem við vinnum með daglega. Í þessu sambandi er upplýsingaöryggismál eitt af forgangsverkefnum okkar.
Oft er öllum viðskiptaferlum rússneskra deilda stjórnað og lýst yfir af aðalskrifstofum erlendra fyrirtækja, og þess vegna verða þeir að vera í samræmi við innri staðla samstæðunnar. Nýlega hafa sumir af lykilviðskiptavinum okkar byrjað að endurskoða öryggisstefnu sína í þá átt að herða þær. Auðvitað er þetta vegna alþjóðlegrar þróunar í vaxandi fjölda netárása og taps í tengslum við upplýsingaöryggisbrotatvik.Ef nauðsynlegt er að innleiða verndarráðstafanir, stefnur og verklag sem miða að því að auka upplýsingaöryggi fyrirtækisins, getur þú verið án ISO /IEC 27001 vottun, sem sparar þar með mikla peninga, tíma og taugar.
Í dag eru kröfur um núverandi upplýsingaöryggi í fyrirtækinu farnar að birtast í útboðum erlendra viðskiptavina. Sumir, til að einfalda sannprófun sína og sameina nálgunina, setja lögboðna matsviðmiðun - tilvist ISO/IEC 27001 vottunar.
Hér er það sem við höfum séð: Einn af alþjóðlegum lykilviðskiptavinum okkar sem er vottaður samkvæmt þessum staðli virðist hafa styrkt alþjóðlegt upplýsingaöryggisteymi sitt verulega. Hvernig vissum við af þessu? Þeir ákváðu að endurskoða upplýsingaöryggisstjórnunarkerfið okkar, vegna þess að við veitum þeim bókhaldsþjónustu og starfsmannastjórnun - og í samræmi við það er öryggi upplýsingakerfa okkar afar mikilvægt fyrir þá. Fyrri úttekt fór fram fyrir 3 árum - þá gekk allt frekar sársaukalaust.
Í þetta skiptið réðst vinalegt teymi indíána á okkur og fundu fimlega nokkra tugi galla í öryggisstjórnunarkerfinu okkar. Endurskoðunarferlið líktist hjóli Samsara - það virtist í grundvallaratriðum að þeir hefðu ekkert markmið um að ná neinum lokapunkti sem hluti af endurskoðuninni. Þetta var endalaus röð af spurningum, athugasemdum, athugasemdum okkar og sönnunargögnum um raunveruleika þeirra, símafundum og löngum heimspekilegum samtölum í tilraunum til að viðurkenna hreim upplýsingatækniöryggisteymis viðskiptavinarins. Við the vegur, endurskoðunin heldur áfram af mismiklum mæli enn þann dag í dag - með tímanum höfum við sætt okkur við þetta. Þörfin fyrir vottun hefur því komið upp af sjálfu sér.
Kannski getum við látið okkur nægja ISO 9001?
Allir sem eru meira og minna klárir í útgáfu vottunar samkvæmt einhverjum af ISO stöðlunum skilja að grunnur hvers þeirra er ISO 9001 „Quality Management System“ vottorðið. Þetta er kannski vinsælasta skírteinið eins og er í allri línunni af ISO stöðlum. Við áttum það ekki - og við ákváðum að fá það ekki. Það voru nokkrar ástæður fyrir þessu:
- vafasama hagkvæmni fyrirtækisins sem hefur þetta vottorð;
- Innri ferli okkar, að mestu leyti, voru þegar nálægt þessum staðli;
- Að fá þetta skírteini myndi krefjast viðbótar tíma og peninga.
Í samræmi við það ákváðum við að innleiða ISO 27001 strax, án þess að byrja á „léttari“ 9001.
Eða kannski er það samt ekki nauðsynlegt?
Þegar horft er fram á veginn höfum við margsinnis snúið okkur að þeirri spurningu hvort ráðlegt sé að fá það. Við byrjuðum að kynna okkur málið frá öllum hliðum, því við höfðum nákvæmlega enga sérfræðiþekkingu. Og hér eru ranghugmyndirnar sem fengu okkur til að hugsa um þetta mál enn og aftur.
Misskilningur #1.
Við vonuðumst til að staðallinn myndi veita okkur ítarlegan gátlista, lista yfir stefnur og önnur lögbundin skjöl. Í raun og veru kom í ljós að ISO/IEC 27001 er sett af kröfum fyrir sjálft upplýsingaöryggisstjórnunarkerfið og ferlið sem verið er að byggja upp. Út frá þeim var nauðsynlegt að ákveða sjálfstætt hvað ætti að skrifa/innleiða í fyrirtækinu okkar til að uppfylla kröfur staðalsins.
Misskilningur #2.
Við trúðum því í einlægni að það væri nóg fyrir okkur að kynna okkur eitt skjal og innleiða það á tiltölulega stuttum tíma á eigin spýtur. Í raun og veru, við lestur skjalsins, áttuðum við okkur á því hversu marga skylda staðla okkar „heldur“ við, hversu marga staðla við þurfum að kynnast (að minnsta kosti yfirborðslega séð). „Kirsuberið“ á kökunni var skortur á núverandi staðlatextum í almenningi - þá þurfti að kaupa þá á opinberu ISO vefsíðunni.
Misskilningur #3.
Við vorum fullviss um að við myndum finna allt sem við þyrftum til að undirbúa okkur fyrir vottun í opnum heimildum. Það var að vísu töluvert mikið af efnum um ISO 27001 á netinu, en það vantaði frekar upp á sérstöðu. Það voru nánast engar auðskiljanlegar skref-fyrir-skref leiðbeiningar um undirbúning fyrir vottun, sem og raunveruleg tilvik fyrirtækja sem höfðu innleitt þennan staðal.
Misskilningur #4.
Við munum skrifa stefnur, en þær munu ekki virka! Jæja, það er satt, fyrirtækið okkar hefur nú þegar of margar reglur, enginn mun fara eftir öðrum 3 tugum nýrra reglna. Í raun og veru, sem betur fer, tóku starfsmenn okkar það verkefni að ná tökum á nýju reglunum á ábyrgan hátt og stóðust próf fyrir þekkingu á skjölum upplýsingaöryggisstjórnunarkerfisins með góðum árangri.
Misskilningur #5.
Á þeim tíma gátum við ekki lagt skýrt mat á hvaða ávinning við myndum fá af viðleitni okkar. Á þeim tíma var fjöldi beiðna um þetta skírteini ekki svo mikill og við vorum með okkar lykil og kröfuharðasti viðskiptavin löngu fyrir vottun. Reynslan sýndi að okkur tókst án staðals.
Á einhverjum tímapunkti áttuðum við okkur á því að við vorum að loka á óskipulegan hátt eitt eða annað uppkomið bil vegna krafna viðskiptavinarins. Í hvert sinn komum við með nýjar stefnur eða lausnir. Og loksins komumst við sjálfstætt að þeirri niðurstöðu að það væri miklu auðveldara að skipuleggja ferlið, sem myndi jafnvel spara okkur mikinn launakostnað í framtíðinni. Staðlinum var ætlað að einfalda þetta verkefni.
Nú, tveimur árum síðar, sjáum við aukna þróun í fjölda beiðna og áhuga á þessu málefni frá helstu alþjóðlegum viðskiptavinum.
Endanleg ákvörðun.
Að lokum viljum við segja að leiðtogar iðnaðarins okkar hafa fengið ISO/IEC 27001 vottun, sem hefur neytt alla aðra helstu þjónustuaðila (þar á meðal okkur) til að hugsa um þetta mál. Án efa falleg lína í markaðsefni fyrirtækisins - á vefsíðunni, á samfélagsmiðlum, í auglýsingabæklingum o.s.frv. – getur talist skemmtilegur bónus, en er það þess virði að eyða svo miklu fjármagni í það? Við ákváðum sjálf að fyrir okkur væri þetta meira en bara falleg lína og tókum þátt í þessu verkefni.
Heimild: www.habr.com