Компания үчүн кандайдыр бир стратегиялык маанилүү чечимди кабыл алууда кызматкерлер негизги коргонуу механизминен өтүшөт, алар өзгөрүүлөргө жооп кайтаруунун 5 баскычы катары белгилүү (Э. Кюблер-Росс тарабынан). Бир жолу атактуу психолог эмоционалдык реакцияларды сүрөттөп, эмоционалдык реакциянын 5 негизги баскычын бөлүп көрсөткөн: тануу, каары, аукцион, депрессия жана акыр-аягы, Асырап алуу. Биз ISO 27001 сертификациясына арналган бир катар макалаларды даярдадык, анда биз этаптардын ар бирин карап чыгабыз. Бүгүн биз алардын биринчиси - баш тартуу жөнүндө сүйлөшөбүз.
ISO 27001 сертификатын "көрсөтүү үчүн" алуу - бул өтө шектүү ырахат, анткени ал узак жана кымбат даярдыкты талап кылат. Анын үстүнө, ал көрсөткөндөй , бул стандарт Россия Федерациясында өтө популярдуу эмес: бүгүнкү күнгө чейин 70 гана компания шайкештигин тастыктаган. Ошол эле учурда бул маалыматтык коопсуздук чөйрөсүндөгү бизнестин өсүп жаткан талаптарын канааттандырган чет өлкөлөрдө эң популярдуу стандарттардын бири.
Биздин компания бухгалтердик эсеп функциялары үчүн аутсорсинг кызматтарынын толук спектрин сунуштайт: бухгалтердик эсеп жана салыктык эсеп, эмгек акы жана персоналды башкаруу. Биз рыноктун алдыңкы орундарынын бирин ээлейбиз, атап айтканда, Россияда филиалдары бар чет элдик компаниялар өздөрүнүн купуя маалыматы менен бизге ишенет. Бул биздин кардарлардын каржылык процесстерине гана эмес, биз күн сайын иштеген жеке маалыматтарга да тиешелүү. Ушуга байланыштуу маалыматтык коопсуздук маселеси биздин артыкчылыктуу багыттардын бири болуп саналат.
Көбүнчө, орус бөлүмдөрүнүн бардык бизнес-процесстери чет өлкөлүк компаниялардын башкы кеңселери тарабынан көзөмөлдөнөт жана декларацияланат, ошондуктан алар жалпы топтун ички стандарттарына ылайык келиши керек. Акыркы убакта биздин негизги кардарларыбыздын айрымдары коопсуздук саясатын күчөтүү багытында кайра карап чыга башташты. Албетте, бул киберчабуулдардын жана маалымат коопсуздугун бузуу инциденттери менен байланышкан жоготуулардын санынын өсүшүнүн глобалдык тенденциялары менен шартталган.Эгер компаниянын маалыматтык коопсуздугун жогорулатууга багытталган коргоо чараларын, саясатын жана жол-жоболорун ишке ашыруу зарыл болсо, анда ISO жок кыла аласыз. /IEC 27001 сертификациясы, ошону менен көп акчаны, убакытты жана нервдерди үнөмдөө.
Бүгүнкү күндө компаниянын учурдагы маалыматтык коопсуздугуна талаптар чет элдик кардарлардын тендерлеринде чыга баштады. Кээ бирлери текшерүүнү жөнөкөйлөтүү жана мамилени унификациялоо үчүн милдеттүү баалоо критерийин - ISO/IEC 27001 сертификатынын болушун белгилешет.
Бул жерде биз көрдүк: Бул стандартка сертификатталган негизги эл аралык кардарларыбыздын бири өзүнүн глобалдык маалыматтык коопсуздук командасын олуттуу түрдө бекемдеди окшойт. Бул тууралуу биз кайдан билдик? Алар биздин маалыматтык коопсуздукту башкаруу тутумубузду текшерүүнү чечишти, анткени биз аларга бухгалтердик кызматтарды жана персоналды башкарууну камсыздайбыз – демек, биздин маалыматтык системалардын коопсуздугу алар үчүн өтө маанилүү. Мурунку аудит 3 жыл мурун болгон - ал убакта баары абдан кыйналбай өткөн.
Бул жолу индиялыктардын ынтымактуу командасы бизге кол салышып, коопсуздукту башкаруу системабыздагы бир нече ондогон кемчиликтерди билгичтик менен ачышты. Аудит процесси Самсаранын дөңгөлөгүн элестетти – аларда аудиттин бир бөлүгү катары акыркы чекитке жетүү максаты жоктой сезилди. Бул чексиз суроолордун, комментарийлердин, биздин комментарийлерибиздин жана алардын чындыгынын далилдеринин, конференц-чалуулардын жана кардардын IT коопсуздук командасынын акцентин таануу аракетиндеги узак философиялык баарлашуулар болду. Айтмакчы, аудит ар кандай деңгээлдеги интенсивдүүлүк менен ушул күнгө чейин уланууда – убакыттын өтүшү менен биз муну менен келиштик. Ошентип, сертификациянын зарылдыгы өзүнөн-өзү пайда болду.
Балким, биз ISO 9001 менен кыла алабыз?
ISO стандарттарынын кайсынысы болбосун сертификаттоо маселесинде аздыр-көптүр түшүнгөн ар бир адам, алардын ар бири үчүн негиз ISO 9001 “Сапатты башкаруу системасы” сертификаты экенин түшүнөт. Бул, балким, азыркы учурда ISO стандарттарынын бардык линиясында эң популярдуу сертификат. Бизде жок болчу – жана биз аны албай коюуну чечтик. Мунун бир нече себептери бар болчу:
- бул сертификатка ээ компаниянын шектүү экономикалык натыйжалуулугу;
- биздин ички процесстерибиз көбүнчө ушул стандартка жакын болгон;
- Бул сертификатты алуу үчүн кошумча убакыт жана акча талап кылынат.
Ошого ылайык, биз дароо ISO 27001ди “зажигалка” 9001ден баштабастан ишке киргизүүнү чечтик.
Же балким ал дагы деле керек эместир?
Алдыга карап, биз аны алуу максатка ылайыктуубу деген суроого көп жолу кайрылдык. Бизде такыр экспертиза жок болгондуктан, маселени ар тараптан изилдей баштадык. Мына, бул маселе боюнча бизди дагы бир жолу ойлондурган жаңылыш ойлор.
Жаңылыш түшүнүк №1.
Биз стандарт бизге деталдуу текшерүү баракчасын, саясаттын тизмесин жана башка мыйзамдык документтерди берет деп үмүттөндүк. Чындыгында, ISO/IEC 27001 маалыматтык коопсуздукту башкаруу системасынын өзүнө жана курулуп жаткан процесске коюлган талаптардын жыйындысы экени белгилүү болду. Алардын негизинде, стандарттын талаптарын аткаруу үчүн биздин компанияда эмне жазуу/ишке ашырууну өз алдынча чечиш керек болчу.
Жаңылыш түшүнүк №2.
Биз бир документти изилдеп, аны салыштырмалуу кыска мөөнөттүн ичинде өзүбүздүн күчүбүз менен ишке ашыруу жетиштүү болот деп чын жүрөктөн ишенгенбиз. Чындыгында, документти окуп жатып, биз өзүбүздүн стандартыбыз канча тиешелүү стандарттарга “жабышканын”, канча стандарттар менен тааныш болушубуз керектигин түшүндүк (жок дегенде үстүртөн). Торттогу "алча" коомдук доменде учурдагы стандарттардын тексттеринин жоктугу болду - аларды ISO расмий сайтынан сатып алуу керек болчу.
Жаңылыш түшүнүк №3.
Биз ачык булактардан аттестацияга даярдануу үчүн керектүү нерселердин баарын табабыз деп ишенчүбүз. Чынында эле Интернетте ISO 27001 боюнча материалдар абдан көп болчу, бирок аларда конкреттүү маалыматтар жок болчу. Бул стандартты ишке ашырган компаниялардын реалдуу учурлары сыяктуу эле, сертификацияга даярдануу боюнча эч кандай түшүнүктүү кадам-кадам көрсөтмөлөрү дээрлик болгон эмес.
Жаңылыш түшүнүк №4.
Биз саясат жазабыз, бирок алар иштебейт! Ооба, бул чын, биздин компания буга чейин өтө көп эрежелер бар, эч ким дагы 3 ондогон жаңы саясаттарга баш ийбейт. Чындыгында, бактыга жараша, биздин кызматкерлер жаңы эрежелерди өздөштүрүүгө жоопкерчиликтүү мамиле жасап, маалыматтык коопсуздукту башкаруу системасынын документтерин билүү боюнча тестирлөөдөн ийгиликтүү өтүштү.
Жаңылыш түшүнүк №5.
Ошол учурда биз аракетибизден кандай пайда ала турганыбызды так баалай алган жокпуз. Ал кезде бул сертификатка болгон кайрылуулардын саны анчалык деле көп эмес болчу, биздин негизги жана эң талаптуу кардарыбыз сертификациядан алда канча мурун болгон. Тажрыйба көрсөткөндөй, биз стандартсыз башкарганбыз.
Кайсы бир учурда, биз кардардын талаптарынан улам тигил же бул пайда болгон боштукту башаламан жаап жатканыбызды түшүндүк. Ар бир жолу биз кандайдыр бир жаңы саясаттарды же чечимдерди ойлоп таптык. Анан акырында биз өз алдынча бул процессти системалаштыруу алда канча жеңил болот деген тыянакка келдик, ал тургай келечекте бизге көп эмгек чыгымдарын үнөмдөйт. Стандарт бул милдетти жөнөкөйлөтүү үчүн арналган.
Эми, эки жылдан кийин, биз ири эл аралык кардарлардан бул маселеге суроо-талаптардын жана кызыгуулардын санынын өсүү тенденциясын көрүп жатабыз.
Акыркы чечим.
Жыйынтыктап айтканда, биздин тармактын лидерлери ISO/IEC 27001 сертификатын алышты, бул башка бардык негизги провайдерлерди (анын ичинде бизди да) бул маселе боюнча ойлонууга мажбурлады деп айткыбыз келет. Албетте, компаниянын маркетинг материалдарында кооз сызык - веб-сайтта, социалдык тармактарда, жарнамалык брошюраларда ж.б. – жагымдуу бонус деп эсептесе болот, бирок ал үчүн мынчалык көп ресурстарды коротуунун кереги барбы? Биз өзүбүз үчүн бул жөн гана кооз сызык эмес деп чечтик жана бул долбоорго катыштык.
Source: www.habr.com