ISO/IEC 5認証の必然性の27001段階。 うつ

変化に対する感情反応の第 27001 段階はうつ病です。 この記事では、ISO XNUMX 規格への準拠を達成するために会社のビジネス プロセスを変更するという、最も長く不快な段階を経験した私たちの経験についてお話します。

待っている

認証機関とコンサルタントを選択した後、私たちが最初に自問したのは、必要な変更をすべて行うのに実際にどれくらいの時間が必要かということでした。

当初の作業計画は 3 か月以内に完了するようにスケジュールされていました。

すべてが簡単そうに見えました。数十のポリシーを作成し、内部プロセスをわずかに変更する必要がありました。 次に、変更について同僚をトレーニングし、さらに 3 か月待ちます (「記録」、つまりポリシーが機能している証拠が現れるまで)。 それがすべてのようでした - そして証明書は私たちのポケットの中にありました。

さらに、私たちはポリシーをゼロから作成するつもりはありませんでした。結局のところ、私たちが考えていたように、すべての「正しい」テンプレートを提供してくれるコンサルタントがいました。

これらの結論の結果、各ポリシーの準備に 3 日間を割り当てました。

技術的な変更も難しいものではありませんでした。イベントの収集と保存を設定し、バックアップが私たちが作成したポリシーに準拠しているかどうかを確認し、必要に応じてオフィスにアクセス制御システムを導入し、その他いくつかの小さな作業が必要でした。 。
認定に必要なものをすべて準備するチームは 1,5 人で構成されていました。 私たちは、彼らが主な責任と並行して実装に関与することを計画しており、これには各人が 2 日あたり最大 XNUMX ～ XNUMX 時間かかることになります。
要約すると、今後の作業範囲に対する私たちの見解は非常に楽観的であったと言えます。

現実

実際には、すべてが当然異なっていました。コンサルタントが提供したポリシーのテンプレートは、当社にはほとんど適用できないことが判明しました。 何をどのようにすればよいかについて、インターネット上にはほとんど明確な情報がありませんでした。 ご想像のとおり、「3 日で XNUMX つのポリシーを作成する」という計画は無残に失敗しました。 そのため、プロジェクトの開始直後から私たちは締め切りを守らなくなり、私たちの気分は徐々に落ち込んでいきました。

チームの専門知識は壊滅的に少なく、コンサルタントに適切な質問をするだけでも十分ではありませんでした（ちなみに、コンサルタントはあまり積極性を示しませんでした）。 実装開始から 3 か月後 (つまり、すべての準備が整ったはずの時点) で、主要な参加者 XNUMX 人のうちの XNUMX 人がチームを離れてから、物事はさらにゆっくりと進み始めました。 彼の後任には、IT サービスの新しい責任者が就任しました。彼は実装プロセスを迅速に完了し、技術的な観点から最も必要なものをすべて情報セキュリティ管理システムに提供する必要がありました。 作業は難しそうだった…担当者たちは憂鬱になり始めた。

さらに、この問題の技術的な側面にも「ニュアンス」があることが判明しました。 私たちは、ワークステーションとサーバー機器の両方で、グローバルなソフトウェアの最新化という課題に直面しています。 イベント (ログ) を収集するようにシステムをセットアップしているときに、システムが通常に機能するのに十分なハードウェア リソースがないことが判明しました。 また、バックアップ ソフトウェアも最新化する必要がありました。

ネタバレ: その結果、ISMS は 6 か月で英雄的に実装されました。 そして誰も死ななかったのです！

最も変わったことは何ですか?

もちろん、標準の実装中に、企業のプロセスに多数の小さな変更が発生しました。 最も重要な変更点を強調表示しました。

• リスク評価プロセスの正式化

以前、同社には正式なリスク評価プロセスはなく、全体的な戦略計画の一部として一時的にのみ行われていました。 認証の一環として解決された最も重要なタスクの XNUMX つは、このプロセスのすべての段階と各段階の責任者を説明する会社のリスク評価ポリシーの実施でした。

• リムーバブルストレージメディアの制御

ビジネスにとっての重大なリスクの XNUMX つは、暗号化されていない USB フラッシュ ドライブの使用でした。実際、従業員は誰でも、入手可能なあらゆる情報をフラッシュ ドライブに書き込むことができ、せいぜい紛失する可能性があります。 認定の一環として、すべての従業員のワークステーションでフラッシュ ドライブに情報をダウンロードする機能が無効になり、情報の記録は IT 部門への申請を通じてのみ可能になりました。

• スーパーユーザーコントロール

主な問題の XNUMX つは、IT 部門の従業員全員が会社のすべてのシステムに対して絶対的な権限を持っており、すべての情報にアクセスできるという事実でした。 同時に、実際にそれらを制御する人は誰もいませんでした。

当社はデータ損失防止 (DLP) システムを導入しました。これは、危険で非生産的な活動を分析、ブロックし、警告する従業員の行動を監視するプログラムです。 IT 部門の従業員の行動に関するアラートが、会社の運用ディレクターの電子メール アドレスに送信されるようになりました。

• 情報インフラ整備の考え方

認証には世界的な変化とアプローチが必要でした。 はい、負荷が増加したため、いくつかのサーバー機器をアップグレードする必要がありました。 特に、イベント収集システム専用の別のサーバーを用意しました。 サーバーには大規模で高速な SSD ドライブが搭載されていました。 私たちはバックアップ ソフトウェアを放棄し、必要な機能をすべて備えた、すぐに使えるストレージ システムを選択しました。 私たちは「コードとしてのインフラストラクチャ」の概念に向けていくつかの大きな一歩を踏み出しました。これにより、多数のサーバーのバックアップが不要になり、ディスク容量を大幅に節約できるようになりました。 可能な限り短い時間 (1 週間) で、ワークステーション上のすべてのソフトウェアが Win10 にアップグレードされました。 最新化によって解決された問題の XNUMX つは、(Pro バージョンで) 暗号化を有効にする機能でした。

• 紙文書の管理

同社は紙の文書の使用に関連する重大なリスクを抱えていました。文書が紛失したり、間違った場所に放置されたり、不適切に破棄されたりする可能性があります。 このリスクを最小限に抑えるために、当社では機密性のレベルに応じてすべての紙文書にマークを付け、さまざまな種類の文書を破棄する手順を開発しました。 現在、従業員はフォルダーを開いたり、文書を取得したりするときに、その情報がどのカテゴリに分類されるのか、またどのように処理すればよいのかを正確に理解できます。

• バックアップデータセンターのレンタル

以前は、すべての企業情報はサードパーティの安全なデータ センターにあるサーバーに保存されていました。 しかし、このデータセンターでは緊急時の手順が講じられていませんでした。 解決策は、バックアップ用のクラウド データ センターをレンタルし、そこに最も重要な情報をバックアップすることでした。 現在、同社の情報は地理的に離れた XNUMX つのデータセンターに保管されており、紛失のリスクが最小限に抑えられています。

• 事業継続テスト

当社では数年前から事業継続方針 (BCP) を策定しており、さまざまなマイナスのシナリオ (オフィスへのアクセスの喪失、感染症の流行、停電など) において従業員が何をすべきかを説明しています。 しかし、私たちは継続性テストを実施したことはありません。つまり、これらの各状況でビジネスを復旧するのにどれくらいの時間がかかるかを測定したことはありません。 認証監査の準備として、私たちはこれを行うだけでなく、来年の事業継続テスト計画も作成しました。 XNUMX 年後、完全にリモートワークに切り替える必要に迫られたとき、このタスクを XNUMX 日で完了したことは注目に値します。

注目すべき重要、認定の準備をしているすべての企業は異なる開始条件を持っているため、あなたの場合はまったく異なる変更が必要になる可能性があります。

変化に対する従業員の反応

奇妙なことに、ここでは最悪の事態を予想していましたが、それほど悪くはなかったことが判明しました。 同僚が認定の知らせを熱意を持って受け取ったとは言えませんが、次のことは明らかでした。

• すべての主要な従業員は、このイベントの重要性と必然性を理解していました。
• 他の従業員は全員、主要な従業員を尊敬していました。

もちろん、私たちの業界の特性、つまり会計機能のアウトソーシングが非常に役に立ちました。 当社の従業員の大多数は、ロシアの法律の絶え間ない変化にうまく対応しています。 したがって、現在遵守しなければならない数十の新しいルールの導入は、彼らにとって特別なことではありませんでした。

当社では、全従業員を対象とした新しい必須の ISO 27001 トレーニングとテストを準備しました。 全員が素直にモニターからパスワードが書かれた付箋を剥がし、書類が散乱した机の上を片付けた。 大きな不満は見られませんでした。一般的に、私たちは従業員にとても恵まれていました。

このようにして、私たちはビジネスプロセスの変化に伴う最も苦痛な段階「不況」を乗り越えました。 大変で大変でしたが、最終的には私たちのあらゆる予想を超える結果が得られました。

シリーズの以前の資料を読む:

ISO/IEC 5認証の必然性の27001段階。 否認: ISO 27001:2013 認証、認証取得の妥当性に関する誤解。

ISO/IEC 5認証の必然性の27001段階。 怒り：どこから始めればよいでしょうか？ 初期データ。 経費。 プロバイダーの選択。

ISO/IEC 5認証の必然性の27001段階。 交渉: 実施計画の準備、リスク評価、ポリシーの作成。

ISO/IEC 5認証の必然性の27001段階。 うつ。

ISO/IEC 5認証の必然性の27001段階。 可決。

出所： habr.com