Nalika nggawe keputusan strategis penting kanggo perusahaan, karyawan ngliwati mekanisme pertahanan dhasar, sing dikenal minangka tahap 5 nanggapi owah-owahan (dening E. KΓΌbler-Ross). Psikolog sing misuwur nate nerangake reaksi emosional, nyoroti 5 tahap utama respon emosional: penolakan, nesu, ngenyang, depresi lan pungkasane Adoption. Kita wis nyiapake seri artikel sing darmabakti kanggo sertifikasi ISO 27001, ing ngendi kita bakal ndeleng saben tahapan. Dina iki kita bakal ngomong babagan sing pisanan - penolakan.
Entuk sertifikat ISO 27001 "kanggo pertunjukan" minangka rasa seneng banget, amarga mbutuhake persiapan sing dawa lan larang. Menapa malih, minangka nuduhake , standar iki arang banget populer ing Federasi Rusia: nganti saiki, mung 70 perusahaan sing wis disertifikasi kanggo kepatuhan. Ing wektu sing padha, iki minangka salah sawijining standar sing paling populer ing luar negeri, nyukupi panjaluk bisnis sing saya tambah akeh ing bidang keamanan informasi.
Perusahaan kita nyedhiyakake macem-macem layanan outsourcing kanggo fungsi akuntansi: akuntansi lan akuntansi pajak, gaji lan administrasi personel. We Occupy siji saka posisi pasar anjog, utamanΓ© amarga kasunyatan sing perusahaan manca karo cabang ing Rusia dipercaya kita karo informasi rahasia. Iki ditrapake ora mung kanggo proses finansial klien kita, nanging uga kanggo data pribadhi sing digunakake saben dina. Ing babagan iki, masalah keamanan informasi minangka salah sawijining prioritas.
Asring, kabeh proses bisnis divisi Rusia dikontrol lan diumumake dening kantor pusat perusahaan manca, lan mulane kudu tundhuk karo standar internal grup. Bubar, sawetara klien utama kita wis wiwit ngowahi kabijakan keamanan kanggo ngencengi. Mesthine, iki amarga tren global ing tambah akeh serangan cyber lan kerugian sing ana gandhengane karo kedadeyan pelanggaran keamanan informasi. Sertifikasi / IEC 27001, ngirit dhuwit, wektu lan saraf.
Saiki, syarat kanggo keamanan informasi sing ana ing perusahaan wis wiwit katon ing tender saka pelanggan manca. Sawetara, kanggo nyederhanakake verifikasi lan nyawiji pendekatan kasebut, nyetel kriteria evaluasi wajib - ananΓ© sertifikasi ISO/IEC 27001.
Mangkene apa sing wis dideleng: Salah sawijining klien internasional utama sing disertifikasi kanggo standar iki katon banget nguatake tim keamanan informasi global. Kepiye carane kita ngerti babagan iki? Dheweke mutusake kanggo mriksa sistem manajemen keamanan informasi kita, amarga kita nyedhiyakake layanan akuntansi lan administrasi personel - lan, kanthi mangkono, keamanan sistem informasi kita penting banget kanggo dheweke. Audit sadurunge ditindakake 3 taun kepungkur - wektu iku kabeh ora krasa lara.
Wektu iki, tim India sing ramah nyerang kita, kanthi cepet nemokake sawetara lusin kekurangan ing sistem manajemen keamanan kita. Proses audit meh podho setir Samsara - misale jek sing ing asas padha ora goal tekan sembarang titik final minangka bagΓ©an saka audit. Iki minangka serangkaian pitakon, komentar, komentar lan bukti kasunyatane, telpon konferensi lan obrolan filosofis sing dawa kanggo nyoba ngenali aksen tim keamanan IT klien. Miturut cara, audit terus kanthi intensitas sing beda-beda nganti saiki - suwene wektu, kita wis ngerti babagan iki. Mangkono, perlu kanggo sertifikasi wis muncul dhewe.
Mungkin kita bisa nggawe karo ISO 9001?
Saben uwong sing luwih ngerti babagan masalah sertifikasi miturut standar ISO mangertos manawa dhasar kanggo saben kasebut yaiku sertifikat "Sistem Manajemen Kualitas" ISO 9001. Iki bisa uga minangka sertifikat sing paling populer saiki ing kabeh standar ISO. Kita ora duwe - lan kita mutusake ora entuk. Ana sawetara alasan kanggo iki:
- efisiensi ekonomi sing dipertanyakan saka perusahaan sing duwe sertifikat iki;
- pangolahan internal kita, umume, wis cedhak karo standar iki;
- Entuk sertifikat iki mbutuhake wektu lan dhuwit tambahan.
Mula, kita mutusake kanggo langsung ngetrapake ISO 27001, tanpa miwiti "korek" 9001.
Utawa mungkin isih ora perlu?
Looking ahead, kita wis bali kaping pirang-pirang kanggo pitakonan apa iku saranake kanggo njupuk. Kita wiwit nyinaoni masalah kasebut saka kabeh pihak, amarga kita pancen ora duwe keahlian. Lan ing kene ana misconceptions sing nggawe kita mikir babagan masalah iki maneh.
Misconception #1.
Kita ngarep-arep manawa standar kasebut bakal menehi dhaptar priksa sing rinci, dhaptar kabijakan lan dokumen hukum liyane. Ing kasunyatan, ternyata ISO / IEC 27001 minangka set syarat kanggo sistem manajemen keamanan informasi dhewe lan proses sing dibangun. Adhedhasar kasebut, kudu mutusake kanthi mandiri apa sing bakal ditulis / dileksanakake ing perusahaan kita kanggo tundhuk karo syarat standar kasebut.
Misconception #2.
Kita kanthi tulus percaya yen cukup kanggo sinau siji dokumen lan ngetrapake ing wektu sing cendhak. Ing kasunyatan, nalika maca document, kita temen maujud carane akeh standar sing gegandhengan karo standar kita "clings", carane akeh standar kita kudu dadi menowo (paling superficially). "Cherry" ing kue yaiku kekurangan teks standar saiki ing domain umum - kudu dituku ing situs web ISO resmi.
Misconception #3.
Kita yakin manawa bakal nemokake kabeh sing dibutuhake kanggo nyiapake sertifikasi ing sumber terbuka. Pancen akeh materi babagan ISO 27001 ing Internet, nanging kurang spesifik. Ora ana instruksi langkah-langkah sing gampang dingerteni kanggo nyiapake sertifikasi, uga kasus nyata perusahaan sing wis ngetrapake standar kasebut.
Misconception #4.
Kita bakal nulis kabijakan, nanging ora bakal bisa! Inggih, bener, perusahaan kita wis akeh banget aturan, ora ana sing bakal tundhuk karo liyane 3 rolas kawicaksanan anyar. Ing kasunyatan, untunge, karyawan kita nindakake tugas kanggo nguwasani aturan anyar kanthi tanggung jawab lan kasil lulus tes kanggo kawruh babagan dokumen sistem manajemen keamanan informasi.
Misconception #5.
Ing wektu iku, kita ora bisa nemtokake kanthi jelas apa keuntungan sing bakal kita entuk saka usaha kita. Ing wektu iku, jumlah panjalukan kanggo sertifikat iki ora dadi gedhe, lan kita duwe kunci lan klien paling nuntut dawa sadurunge sertifikasi. Pengalaman nuduhake yen kita ngatur tanpa standar.
Ing sawetara titik, kita temen maujud sing kita chaotically nutup siji utawa liyane kesenjangan muncul amarga syarat klien. Saben-saben kita teka karo sawetara kabijakan utawa solusi anyar. Lan kita pungkasanipun independen teka menyang kesimpulan sing bakal luwih gampang kanggo systematize proses, kang malah bakal nyimpen akeh biaya pegawe ing mangsa. Standar kasebut dimaksudake kanggo nyederhanakake tugas iki.
Saiki, rong taun sabanjure, kita ndeleng tren sing tambah akeh ing jumlah panjaluk lan kapentingan ing masalah iki saka klien internasional utama.
Kaputusan pungkasan.
Kesimpulane, kita pengin ujar manawa pimpinan industri kita wis nampa sertifikasi ISO / IEC 27001, sing meksa kabeh panyedhiya utama liyane (kalebu kita) mikir babagan masalah iki. Mesthine, garis sing apik ing materi pemasaran perusahaan - ing situs web, ing jaringan sosial, ing brosur pariwara, lsp. β bisa dianggep bonus penake, nanging iku worth nglampahi akeh sumber daya kanggo? Kita mutusakΓ© kanggo awake dhewe sing kanggo kita iki luwih saka garis ayu, lan kita melu proyek iki.
Source: www.habr.com