Компания үшін кез келген стратегиялық маңызды шешім қабылдау кезінде қызметкерлер өзгерістерге әрекет етудің 5 кезеңі ретінде белгілі негізгі қорғаныс механизмінен өтеді (Э. Кюблер-Росс бойынша). Бірде көрнекті психолог эмоционалдық реакцияларды сипаттап, эмоционалдық жауаптың 5 негізгі кезеңін атап өтті: терістеу, ашу, сауда-саттық, депрессия ақыр соңында, Бала асырап алу. Біз ISO 27001 сертификаттауға арналған мақалалар сериясын дайындадық, онда біз кезеңдердің әрқайсысын қарастырамыз. Бүгін біз олардың біріншісі – бас тарту туралы сөйлесетін боламыз.
ISO 27001 сертификатын «көрсету үшін» алу - бұл өте күмәнді ләззат, өйткені ол ұзақ және қымбат дайындықты қажет етеді. Оның үстіне, ол көрсеткендей , бұл стандарт Ресей Федерациясында өте танымал емес: бүгінгі күні тек 70 компания сәйкестікке сертификатталған. Сонымен қатар, бұл ақпараттық қауіпсіздік саласындағы бизнестің өсіп келе жатқан талаптарын қанағаттандыратын шетелдегі ең танымал стандарттардың бірі.
Біздің компания бухгалтерлік есеп функциялары бойынша аутсорсинг қызметтерінің толық спектрін ұсынады: бухгалтерлік және салықтық есеп, жалақы мен персоналды басқару. Біз нарықтағы жетекші орындардың бірін иеленеміз, атап айтқанда, Ресейде филиалдары бар шетелдік компаниялар өздерінің құпия ақпараттарымен бізге сенеді. Бұл біздің клиенттеріміздің қаржылық процестеріне ғана емес, сонымен қатар біз күнделікті жұмыс істейтін жеке деректерге де қатысты. Осыған байланысты ақпараттық қауіпсіздік мәселесі біздің басымдылықтарымыздың бірі болып табылады.
Көбінесе ресейлік бөлімшелердің барлық бизнес-процестері шетелдік компаниялардың бас кеңселерімен бақыланады және жарияланады, сондықтан олар ішкі топтық стандарттарға сәйкес келуі керек. Жақында біздің кейбір негізгі клиенттеріміз қауіпсіздік саясаттарын күшейту бағытында қайта қарай бастады. Әрине, бұл ақпараттық қауіпсіздікті бұзу оқиғаларымен байланысты кибершабуылдар мен шығындар санының өсуінің жаһандық тенденцияларына байланысты.Егер компанияның ақпараттық қауіпсіздігін арттыруға бағытталған қорғау шараларын, саясаттар мен процедураларды жүзеге асыру қажет болса, сіз ISOсыз жасай аласыз. /IEC 27001 сертификаты, осылайша көп ақшаны, уақытты және жүйкені үнемдейді.
Бүгінгі таңда компанияда бар ақпараттық қауіпсіздік талаптары шетелдік тапсырыс берушілерден тендерлерде көріне бастады. Кейбіреулер тексеруді жеңілдету және тәсілді біріздендіру үшін міндетті бағалау критерийін – ISO/IEC 27001 сертификатының болуын белгілейді.
Біз мынаны көрдік: осы стандарт бойынша сертификатталған негізгі халықаралық клиенттеріміздің бірі өзінің жаһандық ақпараттық қауіпсіздік командасын айтарлықтай күшейткен сияқты. Біз бұл туралы қайдан білдік? Олар біздің ақпараттық қауіпсіздікті басқару жүйемізді тексеруді ұйғарды, өйткені біз оларға бухгалтерлік қызметтер мен персоналды басқаруды қамтамасыз етеміз - және сәйкесінше, біздің ақпараттық жүйелеріміздің қауіпсіздігі олар үшін өте маңызды. Алдыңғы аудит 3 жыл бұрын өтті - ол кезде бәрі ауыртпалықсыз өтті.
Бұл жолы үндістандықтардың достық командасы бізге шабуыл жасап, қауіпсіздікті басқару жүйеміздегі бірнеше ондаған кемшіліктерді анықтады. Аудит процесі Самсараның дөңгелегін еске түсірді - олардың аудиттің бір бөлігі ретінде түпкілікті нүктеге жету мақсаты болмаған сияқты. Бұл сұрақтардың, пікірлердің, біздің түсініктемелеріміздің және олардың шындыққа қатысты дәлелдерінің, конференц-қоңыраулардың және клиенттің АТ-қауіпсіздік командасының екпінін тануға тырысқан ұзақ философиялық әңгімелердің шексіз тізбегі болды. Айтпақшы, бүгінгі күнге дейін аудит әртүрлі қарқындылықпен жалғасуда - уақыт өте келе біз мұнымен келісімге келдік. Осылайша, сертификаттау қажеттілігі өздігінен пайда болды.
Мүмкін біз ISO 9001 стандартын жасай аламыз ба?
ISO 9001 «Сапа менеджменті жүйесі» сертификаты олардың әрқайсысының негізі болып табылатын ISO стандарттарының кез келгені бойынша сертификаттау мәселесін азды-көпті білетін әрбір адам түсінеді. Бұл қазіргі уақытта ISO стандарттарының бүкіл желісіндегі ең танымал сертификат болуы мүмкін. Бізде ол болмады - және біз оны алмауды шештік. Мұның бірнеше себептері болды:
- осы сертификаты бар компанияның күмәнді экономикалық тиімділігі;
- біздің ішкі процестеріміз, негізінен, осы стандартқа жақын болды;
- Бұл сертификатты алу қосымша уақыт пен ақшаны қажет етеді.
Тиісінше, біз ISO 27001 стандартын 9001-ден «жарықтандырудан» бастамай-ақ енгізуді шештік.
Немесе бұл әлі де қажет емес шығар?
Болашаққа қарап, біз оны алу орынды ма деген сұраққа бірнеше рет оралдық. Біз бұл мәселені жан-жақты зерттей бастадық, өйткені біздің тәжірибеміз мүлдем жоқ еді. Міне, осы мәселе төңірегінде тағы да ойлануға мәжбүр еткен қате пікірлер.
Қате түсінік №1.
Біз стандарт бізге егжей-тегжейлі тексеру парағын, саясаттар тізімін және басқа да нормативтік құжаттарды береді деп үміттендік. Шындығында, ISO/IEC 27001 ақпараттық қауіпсіздікті басқару жүйесінің өзіне және салынып жатқан процеске қойылатын талаптар жиынтығы екені белгілі болды. Олардың негізінде стандарт талаптарын сақтау үшін біздің компанияда не жазу/іске асыру керектігін өз бетінше шешу қажет болды.
Қате түсінік №2.
Біз бір құжатты зерттеп, оны салыстырмалы түрде қысқа мерзімде өз күшімізбен жүзеге асыруымыз жеткілікті деп шын жүректен сендік. Шындығында, құжатты оқи отырып, біз стандартымыздың қаншалықты сәйкес стандарттарға «жабысып» тұрғанын, қанша стандарттармен танысу керек екенін түсіндік (кем дегенде үстірт). Торттағы «шие» қоғамдық доменде қолданыстағы стандарт мәтіндерінің болмауы болды - оларды ISO ресми веб-сайтында сатып алу керек болды.
Қате түсінік №3.
Біз сертификаттауға дайындалу үшін қажет нәрсенің барлығын ашық дереккөздерден табатынымызға сенімді едік. Интернетте шынымен де ISO 27001 бойынша материалдар өте көп болды, бірақ оларда ерекшеліктер жетіспеді. Сертификаттауға дайындық бойынша түсінікті қадамдық нұсқаулар, сондай-ақ осы стандартты енгізген компаниялардың нақты жағдайлары іс жүзінде болған жоқ.
Қате түсінік №4.
Біз саясат жазамыз, бірақ олар жұмыс істемейді! Рас, біздің компанияда тым көп ережелер бар, ешкім басқа 3 ондаған жаңа саясатты сақтамайды. Шындығында, бақытымызға орай, біздің қызметкерлер жаңа ережелерді меңгеру міндетін жауапкершілікпен қабылдап, ақпараттық қауіпсіздікті басқару жүйесінің құжаттарын білуге арналған тестілеуден сәтті өтті.
Қате түсінік №5.
Ол кезде күш-жігерімізден қандай пайда алатынымызды нақты бағалай алмадық. Ол кезде бұл сертификатқа сұраныстар саны соншалықты көп емес еді, және біздің негізгі және ең талапшыл клиентіміз сертификаттаудан көп бұрын болған. Тәжірибе көрсеткендей, біз стандартсыз басқардық.
Бір кездері біз клиенттің талаптарына байланысты бір немесе басқа пайда болған олқылықты ретсіз жауып жатқанымызды түсіндік. Әр жолы біз жаңа саясаттар немесе шешімдер ойлап таптық. Ақырында біз бұл процесті жүйелеу әлдеқайда оңай болатыны туралы қорытындыға келдік, бұл болашақта бізге көптеген еңбек шығындарын үнемдеуге мүмкіндік береді. Стандарт бұл тапсырманы жеңілдетуге арналған.
Енді, екі жылдан кейін біз ірі халықаралық клиенттерден осы мәселеге деген сұраныс пен қызығушылықтың өсу үрдісін байқаймыз.
Соңғы шешім.
Қорытындылай келе, біздің сала жетекшілері ISO/IEC 27001 сертификатын алғанын айтқымыз келеді, бұл барлық басқа негізгі провайдерлерді (соның ішінде бізді) осы мәселе туралы ойлануға мәжбүр етті. Әрине, компанияның маркетингтік материалдарында әдемі сызық - веб-сайтта, әлеуметтік желілерде, жарнамалық брошюраларда және т.б. – жағымды бонус деп санауға болады, бірақ ол үшін сонша көп ресурстарды жұмсауға тұрарлық па? Біз өзіміз үшін бұл жай ғана әдемі сызық емес деп шешіп, осы жобаға қатыстық.
Ақпарат көзі: www.habr.com