Nalika nggawe keputusan strategis penting kanggo perusahaan, karyawan ngliwati mekanisme pertahanan dhasar, sing dikenal minangka 5 tahapan respon kanggo owah-owahan (penulis E. Kübler-Ross). Psikolog sing misuwur kasebut nate nerangake reaksi emosional, nyoroti 5 tahap utama respon emosional: penolakan, nesu, tawar menawar, depresi lan pungkasane Adoption. Kita wis nyiapake seri artikel khusus kanggo sertifikasi ISO 27001, ing ngendi kita bakal nimbang saben tahapan. Dina iki kita bakal ngomong babagan sing pisanan - penolakan.
Entuk sertifikasi ISO 27001 "kanggo kepentingane" minangka kesenengan sing diragukan, amarga mbutuhake persiapan sing dawa lan larang. Menapa malih, minangka ditampilake , standar iki arang banget populer ing Federasi Rusia: nganti saiki, mung 70 perusahaan sing wis disertifikasi kanggo kepatuhan. Ing wektu sing padha, ing luar negeri, iki minangka salah sawijining standar sing paling populer sing nyukupi panjaluk bisnis sing saya tambah akeh ing bidang keamanan informasi.
Perusahaan kita nyedhiyakake macem-macem layanan outsourcing fungsi akuntansi: akuntansi lan akuntansi pajak, gaji lan administrasi personel. We Occupy siji saka posisi anjog ing pasar, utamané amarga kasunyatan sing perusahaan manca karo divisi ing Rusia dipercaya kita karo informasi rahasia. Iki ora mung babagan proses finansial para klien, nanging uga data pribadhi sing digarap saben dinane. Ing babagan iki, masalah keamanan informasi minangka salah sawijining prioritas kanggo kita.
Asring, kabeh proses bisnis divisi Rusia dikontrol lan diumumake dening kantor pusat perusahaan manca, lan mulane kudu tundhuk karo standar grup internal. Bubar, sawetara klien utama kita wis miwiti maneh kabijakan keamanan kanggo ngencengi. Mesthine, iki amarga tren global ing tuwuhing serangan cyber lan kerugian sing ana gandhengane karo kedadeyan keamanan informasi. Yen perlu kanggo ngetrapake alat, kabijakan lan prosedur proteksi kanggo ningkatake keamanan informasi perusahaan, sampeyan bisa nindakake tanpa sertifikasi ISO / IEC 27001, saéngga ngirit dhuwit, wektu lan saraf.
Saiki, syarat kanggo keamanan informasi sing ana ing perusahaan wis wiwit katon ing tender pelanggan manca. Sawetara, kanggo nyederhanakake verifikasi lan nyawiji pendekatan, nyetel kriteria evaluasi wajib - anané sertifikasi ISO/IEC 27001.
Iki kedadeyan karo kita: salah sawijining klien internasional utama sing disertifikasi kanggo standar iki, ketoke, kanthi serius nguatake tim keamanan informasi global. Kepiye carane kita ngerteni babagan iki? Dheweke mutusake kanggo mriksa sistem manajemen keamanan informasi kita, amarga kita nyedhiyakake layanan akuntansi lan administrasi SDM - lan, kanthi mangkono, keamanan sistem informasi kita kritis kanggo dheweke. Audit sadurunge njupuk Panggonan 3 taun kepungkur - wektu iku kabeh dadi cukup painlessly.
Wektu iki, tim wong India sing ramah nyerang kita, kanthi trampil ngeduk pirang-pirang kekurangan ing sistem manajemen keamanan kita. Proses audit meh podo setir Samsara - ketoke sing padha ora goal ing asas kanggo teka sawetara titik final ing audit. Iki minangka serangkaian pitakon, komentar, komentar lan bukti kasunyatane, telpon konferensi lan obrolan filosofis sing dawa kanggo nyoba ngerteni aksen tim keamanan IT klien. Miturut cara, audit terus kanthi tingkat intensitas sing beda-beda nganti saiki - suwene wektu, kita wis ngerti babagan iki. Mangkono, kabutuhan kanggo sertifikasi diwasa dhewe.
Mungkin kita bisa entuk ISO 9001?
Sapa wae sing luwih utawa kurang ngerti babagan sertifikasi miturut standar ISO mangertos manawa dhasar kanggo saben kasebut yaiku sertifikat ISO 9001 "Sistem Manajemen Kualitas". Iki bisa uga minangka sertifikat sing paling populer ing kabeh baris standar ISO saiki. Kita ora duwe - lan kita mutusake ora entuk. Ana sawetara alasan kanggo iki:
- efisiensi ekonomi sing diragukan saka perusahaan sing duwe sertifikat iki;
- pangolahan internal kita wis, kanggo sisih paling, cedhak standar iki;
- Entuk sertifikat iki mbutuhake wektu lan dhuwit tambahan.
Mula, kita mutusake kanggo langsung ngetrapake ISO 27001, tanpa miwiti 9001 "luwih gampang".
Utawa Mungkin iku ora perlu sawise kabeh?
Looking ahead, kita wis bali kaping pirang-pirang kanggo pitakonan apa iku saranake kanggo njupuk. Kita wiwit nyinaoni masalah kasebut saka kabeh pihak, amarga kita pancen ora duwe keahlian. Lan ing kene ana misconceptions sing nggawe kita mikir babagan masalah iki maneh.
Misconception #1.
Kita ngarep-arep manawa standar kasebut bakal menehi dhaptar priksa sing rinci, dhaptar kabijakan lan dokumen hukum liyane. Ing kasunyatan, ternyata ISO / IEC 27001 minangka set syarat kanggo sistem manajemen keamanan informasi dhewe lan proses sing dibangun. Adhedhasar kasebut, kudu mutusake kanthi mandiri apa sing bakal ditulis / dileksanakake ing perusahaan kita kanggo tundhuk karo syarat standar kasebut.
Misconception #2.
Kita kanthi tulus percaya yen bakal cukup kanggo sinau siji dokumen lan ngetrapake ing wektu sing cendhak. Kasunyatane, nalika maca dokumen kasebut, kita nyadari pira standar sing ana gandhengane karo standar "clings", pira standar sing kudu kita kenal (paling ora entheng). "Cherry" ing kue yaiku kekurangan teks standar saiki ing domain umum - kudu dituku ing situs web ISO resmi.
Misconception #3.
Kita yakin manawa bakal nemokake kabeh sing dibutuhake kanggo nyiapake sertifikasi ing sumber terbuka. Pancen akeh materi babagan ISO 27001 ing Internet, nanging kurang spesifik. Ora ana instruksi langkah-langkah sing bisa dingerteni kanggo nyiapake sertifikasi, uga kasus nyata perusahaan sing wis ngetrapake standar kasebut.
Misconception #4.
Kita bakal nulis kabijakan, nanging ora bakal bisa! Ya, tenan, perusahaan kita wis akeh banget aturan, ora ana sing bakal ngetutake 3 lusin kabijakan anyar. Ing kasunyatan, untunge, karyawan kita nindakake tugas nguwasani aturan anyar kanthi tanggung jawab lan kasil lulus tes kanggo kawruh babagan dokumen sistem manajemen keamanan informasi.
Misconception #5.
Ing wektu iku, kita ora bisa nemtokake kanthi jelas apa keuntungan sing bakal ditampa saka biaya tenaga kerja. Ing wektu kasebut, jumlah panjalukan kanggo sertifikat iki ora patiya gedhe, lan klien kunci lan paling nuntut muncul sadurunge sertifikasi. Pengalaman nuduhake yen kita bisa tanpa standar.
Ing sawetara titik, kita nyadari yen kita nutup celah kasebut kanthi cara sing kacau amarga syarat klien. Saben wektu, kita teka karo sawetara kabijakan utawa solusi anyar. Lan kita pungkasanipun independen teka menyang kesimpulan sing bakal luwih gampang kanggo systematize proses, kang bakal malah nyimpen kita akèh biaya pegawe. Standar kasebut dimaksudake kanggo nyederhanakake tugas iki.
Saiki, rong taun sabanjure, kita ndeleng tren nambah panjaluk lan kapentingan ing masalah iki saka klien internasional utama.
Kaputusan pungkasan.
Kesimpulane, kita pengin ujar manawa pimpinan industri kita wis nampa sertifikasi ISO / IEC 27001, sing nggawe kabeh panyedhiya utama liyane (kalebu kita) mikir babagan masalah iki. Mesthine, garis sing apik ing bahan pemasaran perusahaan - ing situs web, ing jaringan sosial, ing brosur iklan, lan liya-liyane - bisa dianggep minangka bonus sing nyenengake, nanging apa sampeyan kudu mbuwang akeh sumber daya? Kita mutusaké dhéwé sing kanggo kita iki luwih saka garis ayu, lan melu proyek iki.
Source: www.habr.com
