Tahap kaping papat respon emosional kanggo owah-owahan yaiku depresi. Ing artikel iki, kita bakal nyritakake babagan pengalaman ngalami tahap sing paling dawa lan ora nyenengake - babagan owah-owahan ing proses bisnis perusahaan supaya bisa selaras karo standar ISO 27001.
Ngenteni
Pitakonan pisanan sing kita takoni sawise milih badan sertifikasi lan konsultan yaiku sepira wektu sing dibutuhake kanggo nindakake kabeh owah-owahan sing dibutuhake?
Rencana kerja awal dijadwalake kanthi cara sing kudu ditindakake sajrone 3 wulan.
Kabeh katon prasaja: perlu kanggo nulis sawetara rolas kawicaksanan lan rada ngganti proses internal kita; banjur nglatih kolega babagan owah-owahan lan ngenteni 3 sasi liyane (supaya "cathetan" katon, yaiku, bukti tumindake kebijakan kasebut). Iku ketoke sing kabeh - lan certificate ana ing kanthong kita.
Kajaba iku, kita ora bakal nulis kabijakan saka awal - sawise kabeh, kita duwe konsultan sing, kaya sing kita pikirake, mesthine menehi kabeh template "bener".
Minangka asil saka kesimpulan kasebut, kita nyedhiyakake 3 dina kanggo nyiapake saben kabijakan.
Owah-owahan teknis uga ora katon nggegirisi: kudu nyiyapake koleksi lan panyimpenan acara, priksa manawa serep tundhuk karo kabijakan sing kita tulis, ngowahi kantor kanthi sistem kontrol akses yen perlu, lan sawetara perkara cilik liyane. .
Tim nyiapake kabeh sing perlu kanggo sertifikasi kalebu rong wong. We ngrancang sing padha bakal melu ing implementasine ing podo karo tanggung jawab utama, lan iki bakal njupuk saben maksimum 1,5-2 jam dina.
Kanggo ngringkes, kita bisa ujar manawa tampilan kita babagan ruang lingkup kerja sing bakal teka cukup optimis.
Kasunyatan
Ing kasunyatan, kabeh iku alamiah beda: Cithakan kawicaksanan sing diwenehake dening konsultan dadi umume ora bisa ditrapake kanggo perusahaan kita; Meh ora ana informasi sing jelas ing Internet babagan apa lan kepiye carane. Minangka sampeyan bisa mbayangno, rencana kanggo "nulis siji kabijakan ing 3 dina" gagal banget. Dadi, kita mandheg ngrampungake tenggat wektu meh wiwit wiwitan proyek, lan swasana ati wiwit mudhun alon-alon.
Keahlian tim kasebut cilik banget - saengga ora cukup kanggo takon pitakon sing tepat marang konsultan (sing, kanthi cara, ora nuduhake akeh inisiatif). Iku wiwit mindhah malah luwih alon, wiwit 3 sasi sawise wiwitan implementasine (yaiku, nalika kabeh kudu wis siap), salah siji saka loro peserta tombol ninggalake tim. Dheweke diganti dening kepala layanan IT anyar, sing kudu ngrampungake proses implementasine kanthi cepet lan nyedhiyakake sistem manajemen keamanan informasi kanthi kabeh sing paling perlu saka sudut pandang teknis. Tugas kasebut katon angel ... Sing tanggung jawab wiwit depresi.
Kajaba iku, sisih teknis saka masalah kasebut uga duwe "nuansa". Kita ngadhepi tugas modernisasi piranti lunak global ing stasiun kerja lan peralatan server. Nalika nyetel sistem kanggo ngumpulake acara (log), ternyata kita ora duwe sumber daya hardware sing cukup kanggo fungsi normal sistem kasebut. Lan piranti lunak serep uga mbutuhake modernisasi.
Spoiler: AkibatΓ©, ISMS ditindakake kanthi heroik sajrone 6 sasi. Lan ora ana sing mati!
Apa sing paling owah?
Mesthine, sajrone implementasine standar kasebut, akeh owah-owahan cilik sing kedadeyan ing proses perusahaan. Kita wis nyorot owah-owahan sing paling penting kanggo sampeyan:
- Formalisasi proses penilaian risiko
Sadurunge, perusahaan ora duwe proses pambiji risiko resmi - mung ditindakake minangka bagean saka perencanaan strategis sakabèhé. Salah sawijining tugas sing paling penting sing ditanggulangi minangka bagéan saka sertifikasi yaiku implementasine Kabijakan Penilaian Risiko perusahaan, sing nggambarake kabeh tahapan proses iki lan wong sing tanggung jawab kanggo saben tahapan.
- Ngontrol media panyimpenan sing bisa dicopot
Salah sawijining risiko penting kanggo bisnis yaiku nggunakake USB flash drive sing ora dienkripsi: nyatane, karyawan bisa nulis informasi sing kasedhiya kanggo dheweke ing flash drive lan, paling apik, ilang. Minangka bagΓ©an saka sertifikasi, kemampuan kanggo ndownload informasi apa wae menyang flash drive dipateni ing kabeh stasiun kerja karyawan - informasi rekaman mung bisa ditindakake liwat aplikasi menyang departemen IT.
- Kontrol Pangguna Super
Salah sawijining masalah utama yaiku kasunyatan manawa kabeh karyawan departemen IT duwe hak mutlak ing kabeh sistem perusahaan - dheweke duwe akses menyang kabeh informasi. Ing wektu sing padha, ora ana sing bener-bener ngontrol.
Kita wis ngetrapake sistem Pencegahan Kehilangan Data (DLP) - program kanggo ngawasi tumindak karyawan sing nganalisa, pamblokiran lan tandha babagan kegiatan sing mbebayani lan ora produktif. Saiki tandha babagan tumindak karyawan departemen IT dikirim menyang alamat email Direktur Operasi perusahaan.
- Pendekatan kanggo ngatur infrastruktur informasi
Sertifikasi mbutuhake owah-owahan lan pendekatan global. Ya, kita kudu nganyarke sawetara peralatan server amarga beban tambah. Ing tartamtu, kita wis darmabakti server kapisah kanggo sistem koleksi acara. Server dilengkapi drive SSD gedhe lan cepet. Kita nilar piranti lunak serep lan milih sistem panyimpenan sing duwe kabeh fungsi sing dibutuhake. Kita nggawe sawetara langkah gedhe menyang konsep "infrastruktur minangka kode", sing ngidini kita ngirit akeh ruang disk kanthi ngilangi serep sawetara server. Ing wektu paling cendhak (1 minggu), kabeh piranti lunak ing workstation wis nganyari kanggo Win10. Salah sawijining masalah sing ditanggulangi modernisasi yaiku kemampuan kanggo ngaktifake enkripsi (ing versi Pro).
- Kontrol liwat dokumen kertas
Perusahaan kasebut duwe risiko signifikan sing ana gandhengane karo panggunaan dokumen kertas: bisa ilang, ditinggal ing papan sing salah, utawa dirusak kanthi ora bener. Kanggo nyuda resiko iki, kita wis menehi tandha kabeh dokumen kertas miturut tingkat rahasia lan ngembangake prosedur kanggo ngrusak macem-macem jinis dokumen. Saiki, nalika karyawan mbukak folder utawa njupuk dokumen, dheweke ngerti persis apa kategori informasi iki lan cara nangani.
- Nyewa pusat data serep
Sadurunge, kabeh informasi perusahaan disimpen ing server sing ana ing pusat data aman pihak katelu. Nanging, ora ana prosedur darurat ing pusat data iki. Solusi kasebut yaiku nyewa pusat data awan serep lan gawe serep informasi sing paling penting ing kana. Saiki, informasi perusahaan disimpen ing rong pusat data remot geografis, sing nyuda resiko mundhut.
- Pengujian kesinambungan bisnis
Perusahaan kita wis duwe Business Continuity Policy (BCP) sajrone sawetara taun, sing nggambarake apa sing kudu ditindakake karyawan ing macem-macem skenario negatif (kehilangan akses menyang kantor, epidemi, pemadaman listrik, lsp.). Nanging, kita durung nate nganakake tes kontinuitas - yaiku, kita durung nate ngukur suwene wektu kanggo mulihake bisnis ing saben kahanan kasebut. Kanggo nyiapake audit sertifikasi, kita ora mung nindakake iki, nanging uga ngembangake rencana tes kesinambungan bisnis kanggo taun sing bakal teka. Wigati dicathet yen setaun sabanjure, nalika kita kudu ngalih menyang karya remot, kita ngrampungake tugas iki sajrone telung dina.
Penting kanggo dicathet, yen kabeh perusahaan sing nyiapake sertifikasi duwe kahanan wiwitan sing beda - mula, ing kasus sampeyan, owah-owahan sing beda-beda bisa uga dibutuhake.
Reaksi karyawan kanggo owah-owahan
Cukup aneh - ing kene kita ngarepake sing paling awon - ternyata ora dadi ala. Ora bisa dikandhakake manawa kolega nampa kabar sertifikasi kanthi semangat banget, nanging ing ngisor iki jelas:
- Kabeh karyawan kunci mangertos pentinge lan ora bisa ditindakake acara iki;
- Kabeh karyawan liyane nyawang karyawan utama.
Mesthine, spesifik industri kita mbantu akeh - outsourcing of accounting functions. Akèh-akèhé saka karyawan kita ngrampungake uga karo owah-owahan pancet ing aturan Russian. Mulane, introduksi saka sawetara rolas aturan anyar sing saiki kudu diamati ora soko metu saka biasa kanggo wong-wong mau.
Kita wis nyiapake latihan lan tes ISO 27001 wajib anyar kanggo kabeh karyawan. Saben uwong manut nyopot cathetan tempel karo sandhi saka monitor lan ngresiki meja sing kebak dokumen. Ora ana rasa ora puas sing dirasakake - umume, kita seneng banget karo karyawan.
Mangkono, kita wis ngliwati tahap sing paling lara - "depresi" - sing ana gandhengane karo owah-owahan ing proses bisnis kita. Iku angel lan angel, nanging asil ing pungkasan ngluwihi kabeh pangarepan wildest kita.
Waca materi sadurunge saka seri:
5 tahapan sing ora bisa dihindari saka sertifikasi ISO/IEC 27001. Depresi.
5 tahapan sing ora bisa dihindari saka sertifikasi ISO/IEC 27001. Adoption.
Source: www.habr.com