ISO/IEC 5認証の必然性の27001段階。 否定

会社にとって戦略的に重要な決定を下すとき、従業員は変化への対応の 5 段階としてよく知られる基本的な防御メカニズムを通過します (E. キューブラー・ロス著)。 著名な心理学者はかつて感情反応について説明し、感情反応の 5 つの主要な段階を強調しました。 否定, 怒り, 交渉, うつ病 そして最後に、 受け入れ。 ISO 27001 認証に特化した一連の記事を用意し、各段階について説明します。 今日はその最初の否定について話します。

ISO 27001 認証を「見せるため」に取得することは、時間と費用のかかる準備が必要なため、非常に疑わしい喜びです。 さらに、それが示すように、 統計、この規格はロシア連邦では非常に不人気であり、現在までに 70 社のみが準拠を認定されています。 同時に、これは海外で最も人気のある規格の XNUMX つであり、情報セキュリティ分野におけるビジネスの需要の高まりに応えています。

当社は、会計・税務会計、給与計算、人事管理など、会計業務のあらゆるアウトソーシングサービスを提供しております。 当社は、特にロシアに支店を持つ外国企業が機密情報に関して当社を信頼しているという事実により、市場で主要な地位を占めています。 これは、クライアントの財務プロセスだけでなく、私たちが日常的に扱う個人データにも当てはまります。 この点において、情報セキュリティの問題は当社の優先事項の XNUMX つです。

多くの場合、ロシア部門のすべてのビジネスプロセスは外国企業の本社によって管理および宣言されているため、グループ全体の内部基準に準拠する必要があります。 最近、当社の主要クライアントの一部がセキュリティ ポリシーを強化する方向で改訂し始めています。 もちろん、これはサイバー攻撃や情報セキュリティ侵害インシデントに関連する損失の増加という世界的な傾向によるものであり、企業の情報セキュリティを強化することを目的とした保護対策、ポリシー、手順を実装する必要がある場合は、ISO がなくても対応できます。 /IEC 27001 認証により、多くのお金、時間、神経を節約できます。

現在、社内の既存の情報セキュリティに対する要件が、外国の顧客からの入札に現れ始めています。 検証を簡素化し、アプローチを統一するために、ISO/IEC 27001 認証の有無という必須の評価基準を設定している企業もあります。

私たちがこれまでに目にしたことは次のとおりです。この規格の認定を受けた当社の主要な国際クライアントの 3 社は、グローバル情報セキュリティ チームを大幅に強化したようです。 このことをどのようにして知りましたか? 彼らは、当社が会計サービスと人事管理を彼らに提供しているため、当社の情報セキュリティ管理システムを監査することを決定しました。したがって、当社の情報システムのセキュリティは彼らにとって非常に重要です。 前回の監査は XNUMX 年前に行われましたが、その時はすべてがまったく問題なく進みました。

今回は、友好的なインド人のチームが私たちを攻撃し、私たちのセキュリティ管理システムの数十の欠陥を巧みに暴き出しました。 監査プロセスはサムサラの車輪に似ていました。原則として、監査の一環として最終地点に到達するという目標はないようでした。 それは、クライアントの IT セキュリティ チームのアクセントを認識しようとする際限のない一連の質問、コメント、私たちのコメントとその現実の証拠、電話会議、そして長い哲学的な会話でした。 ところで、監査は今日に至るまでさまざまな程度の強度で継続されていますが、時間が経つにつれて、私たちはこれに同意するようになりました。 したがって、認証の必要性が独自に生じています。

ISO 9001 でなんとかなるでしょうか？

ISO 規格に従った認証の問題に多かれ少なかれ精通している人なら誰でも、それぞれの規格の基礎が ISO 9001「品質マネジメント システム」認証であることを理解しています。 これはおそらく、ISO 規格全体の中で現在最も人気のある証明書です。 私たちはそれを持っていませんでした - そして私たちはそれを手に入れないことに決めました。 これにはいくつかの理由がありました。

• この証明書を持っている企業の経済性に疑問がある。
• 私たちの内部プロセスの大部分は、すでにこの標準に近づきました。
• この証明書を取得するには、追加の時間と費用が必要になります。

そこで、「より軽量な」27001 から始めるのではなく、直ちに ISO 9001 を導入することにしました。

それともまだ必要ないのでしょうか？

将来を見据えて、私たちはそれを取得することが得策であるかどうかという問題に何度も戻ってきました。 私たちは専門知識をまったく持っていなかったので、この問題をあらゆる面から研究し始めました。 そして、この問題についてもう一度考えさせられた誤解は次のとおりです。

誤解その1。
私たちは、この規格によって詳細なチェックリスト、ポリシーのリスト、その他の法的文書が提供されることを期待していました。 実際には、ISO/IEC 27001 は情報セキュリティ管理システム自体と構築されるプロセスに対する一連の要件であることが判明しました。 それらを踏まえて、規格の要件を満たすために自社で何を書く/実装するかを独自に決定する必要がありました。

誤解その2。
私たちは、XNUMX つのドキュメントを検討し、比較的短期間でそれを自分たちで実装するだけで十分であると心から信じていました。 実際、この文書を読んでいるうちに、私たちの標準がどれほど多くの関連標準に「固執」しているか、(少なくとも表面的には) どれだけの標準に慣れる必要があるかがわかりました。 残念な点は、現在の規格テキストがパブリックドメインに存在しないことであり、ISO の公式 Web サイトから購入する必要がありました。

誤解その3。
私たちは、認証の準備に必要なものはすべてオープンソースで見つかると確信していました。 ISO 27001 に関する資料は確かにインターネット上に数多くありましたが、詳細がやや不足していました。 認証の準備に関する分かりやすい段階的な説明や、この規格を導入した企業の実例はほとんどありませんでした。

誤解その4。
ポリシーを作成しますが、機能しません。 確かに、私たちの会社にはすでにルールが多すぎて、あと 3 件の新しいポリシーに従う人は誰もいません。 実際、幸いなことに、当社の従業員は責任を持って新しいルールを習得するという課題に取り組み、情報セキュリティ管理システム文書の知識に関するテストに合格しました。

誤解その5。
当時、私たちは自分たちの取り組みからどのようなメリットが得られるのかを明確に評価することができませんでした。 当時、この証明書に対するリクエストの数はそれほど多くはなく、私たちは認証のかなり前に主要で最も要求の厳しいクライアントを獲得していました。 経験上、標準なしでもなんとかやっていけることがわかりました。

ある時点で、私たちはクライアントの要件により、新たに生じたギャップを無秩序に埋めていることに気づきました。 そのたびに、私たちはいくつかの新しい政策や解決策を考え出しました。 そして私たちは最終的に、プロセスをシステム化する方がはるかに簡単で、将来的には人件費を大幅に節約できるという独自の結論に達しました。 この標準は、このタスクを簡素化することを目的としていました。

XNUMX 年が経過した現在、主要な国際クライアントからのこの問題に対するリクエストと関心の数は増加傾向にあります。

最終決定。

結論として、当社の業界リーダーが ISO/IEC 27001 認証を取得したことにより、他のすべての主要プロバイダー (当社を含む) がこの問題について検討する必要に迫られたと言いたいと思います。 ウェブサイト、ソーシャルネットワーク、広告パンフレットなどの会社のマーケティング資料には、間違いなく美しいラインがあります。 – これは嬉しいボーナスと考えられますが、そのためにそれほど多くのリソースを費やす価値があるでしょうか? 私たちにとって、これは単なる美しいラインではないと判断し、このプロジェクトに参加しました。

出所： habr.com