Wann Dir eng strategesch wichteg Entscheedung fir d'Firma maacht, ginn d'Mataarbechter duerch e Basisverteidegungsmechanismus, bekannt als de 5 Etappe vun der Reaktioun op d'Verännerung (vum E. Kübler-Ross). En eminente Psycholog huet eng Kéier emotional Reaktiounen beschriwwen, 5 Schlësselstadien vun emotionaler Äntwert beliicht: Negatioun, Roserei, Tariflechkeet, Depressioun an, endlech, Adoptioun. Mir hunn eng Serie vun Artikelen virbereet fir ISO 27001 Zertifizéierung, wou mir all Etapp kucken. Haut wäerte mir iwwer déi éischt vun hinnen schwätzen - Verweigerung.
En ISO 27001 Zertifika "fir Show" ze kréien ass e ganz zweifelhafte Genoss, well et laang an deier Virbereedung erfuerdert. Ausserdeem, wéi et weist , Dëse Standard ass extrem onpopulär an der russescher Federatioun: bis elo sinn nëmmen 70 Firmen fir d'Konformitéit zertifizéiert ginn. Zur selwechter Zäit ass dëst ee vun de populäerste Standarden am Ausland, entsprécht de wuessende Fuerderunge vum Geschäft am Beräich vun der Informatiounssécherheet.
Eis Firma bitt eng ganz Palette vun Outsourcing Servicer fir Comptablesmethod Funktiounen: Comptablesmethod a Steier Comptablesmethod, Paieziedel a Personal Administratioun. Mir besetzen ee vun de féierende Maartpositiounen, besonnesch wéinst der Tatsaach, datt auslännesch Firmen mat Filialen a Russland eis mat hirer vertraulecher Informatioun vertrauen. Dëst gëllt net nëmme fir d'Finanzprozesser vun eise Clienten, awer och fir déi perséinlech Donnéeën, mat deenen mir all Dag schaffen. An deem Sënn ass d’Fro vun der Informatiounssécherheet eng vun eise Prioritéite.
Oft sinn all Geschäftsprozesser vu russesche Divisiounen kontrolléiert an deklaréiert vun de Sëtz vun auslännesche Firmen, an dofir musse se intern Grupp-breet Standarden respektéieren. Viru kuerzem hunn e puer vun eise Schlësselclienten ugefaang hir Sécherheetspolitik ze iwwerschaffen an d'Richtung vun hinnen ze verschäerfen. Natierlech ass dëst wéinst globalen Trends an der wuessender Zuel vun Cyberattacken a Verloschter verbonne mat Informatiounssécherheetsbroch Tëschefäll. Wann et néideg ass Schutzmoossnamen, Politiken a Prozeduren ëmzesetzen, déi d'Informatiounssécherheet vun der Firma erhéijen, kënnt Dir ouni ISO maachen /IEC 27001 Zertifizéierung, spuert doduerch vill Suen, Zäit an Nerven.
Haut hunn Ufuerderunge fir existent Informatiounssécherheet an der Firma ugefaang an Ausschreiwungen vun auslännesche Clienten ze erschéngen. E puer, fir hir Verifizéierung ze vereinfachen an d'Approche ze vereenegen, setzen en obligatoresche Evaluatiounskriterium - d'Präsenz vun der ISO/IEC 27001 Zertifizéierung.
Hei ass wat mir gesinn hunn: Ee vun eise wichtegste internationalen Clienten, déi no dësem Standard zertifizéiert sinn, schéngt seng global Informatiounssécherheetsteam wesentlech gestäerkt ze hunn. Wéi wosste mir iwwer dëst? Si hunn decidéiert eisen Informatiounssécherheetsmanagementsystem z'iwwerpréiwen, well mir hinnen Comptabilitéitsservicer a Personalverwaltung ubidden - an deementspriechend ass d'Sécherheet vun eisen Informatiounssystemer fir si kritesch wichteg. Virun 3 Joer war dee viregten Audit - deemools ass alles zimlech schmerzlos gaangen.
Dës Kéier huet e frëndlecht Team vun Indianer eis attackéiert, an huet e puer Dosen Defiziter an eisem Sécherheetsmanagementsystem geréckelt. Den Auditprozess huet d'Rad vu Samsara ausgesinn - et huet geschéngt datt se am Prinzip keen Zil haten, all Finale Punkt am Kader vum Audit z'erreechen. Et war eng endlos String vu Froen, Kommentaren, eis Kommentaren a Beweiser vun hirer Realitéit, Konferenzappellen a laange philosophesche Gespréicher a Versuche fir den Akzent vum IT Sécherheetsteam vum Client ze erkennen. Den Audit geet iwwregens bis haut mat variabelen Intensitéit weider - mat der Zäit hu mir eis domat befaasst. Sou ass de Besoin fir d'Zertifizéierung eleng entstanen.
Vläicht kënne mir eis mat ISO 9001 maachen?
Jiddereen dee méi oder manner erfuerscht ass an der Fro vun der Zertifizéierung no engem vun den ISO Standarden versteet datt d'Basis fir jiddereng vun hinnen den ISO 9001 "Quality Management System" Zertifika ass. Dëst ass vläicht de populärste Zertifika deen de Moment an der ganzer Linn vun ISO Standarden ass. Mir haten et net - a mir hu beschloss et net ze kréien. Et waren e puer Grënn dofir:
- déi zweifelhaft wirtschaftlech Effizienz vun der Firma mat dësem Zertifika;
- eis intern Prozesser ware gréisstendeels schonn no bei dësem Standard;
- Dëse Certificat ze kréien géif zousätzlech Zäit a Suen erfuerderen.
Deementspriechend hu mir décidéiert den ISO 27001 direkt ëmzesetzen, ouni mam "liichter" 9001 unzefänken.
Oder vläicht ass et nach ëmmer net néideg?
Wa mir no vir kucken, si mir vill Mol zréck op d'Fro, ob et ubruecht ass et ze kréien. Mir hunn ugefaang d'Thema vun alle Säiten ze studéieren, well mir absolut keng Expertise haten. An hei sinn déi Mëssverständnisser, déi eis nach eng Kéier iwwer dëst Thema nodenken hunn.
Mëssverständnis #1.
Mir hunn gehofft datt de Standard eis eng detailléiert Checklëscht, eng Lëscht vu Politiken an aner gesetzlech Dokumenter géif ginn. A Wierklechkeet huet sech erausgestallt datt den ISO/IEC 27001 eng Rei Ufuerderunge fir den Informatiounssécherheetsmanagementsystem selwer an de Prozess ass, deen gebaut gëtt. Baséierend op hinnen war et néideg onofhängeg ze entscheeden wat an eiser Gesellschaft ze schreiwen / ëmsetzen fir den Ufuerderunge vum Standard ze respektéieren.
Mëssverständnis #2.
Mir hunn oprecht gegleeft datt et genuch wier fir eis een Dokument ze studéieren an et a relativ kuerzer Zäit eleng ëmzesetzen. A Wierklechkeet, wärend mir d'Dokument gelies hunn, hu mir gemierkt wéi vill verbonne Standarden eise Standard "kleeft" un, wéi vill Standarde mir musse vertraut ginn (op d'mannst iwwerflächlech). D'"Kiischt" um Kuch war de Mangel un aktuell Standarden Texter am Domaine public - si hu missen op der offizieller ISO Websäit kaaft ginn.
Mëssverständnis #3.
Mir waren zouversiichtlech datt mir alles fannen wat mir brauche fir d'Zertifizéierung an Open Sources virzebereeden. Et waren zwar zimmlech vill Materialien um ISO 27001 um Internet, awer si feelen éischter u Spezifizitéiten. Et waren praktesch keng einfach ze verstoen Schrëtt-fir-Schrëtt Instruktioune fir d'Zertifizéierung virzebereeden, wéi och richteg Fäll vu Firmen déi dëse Standard ëmgesat hunn.
Mëssverständnis #4.
Mir wäerte Politik schreiwen, awer déi funktionnéieren net! Gutt, et stëmmt, eis Firma huet schonn ze vill Reegelen, keen wäert aner 3 Dosen nei Politik respektéieren. A Wierklechkeet, glécklecherweis, hunn eis Mataarbechter d'Aufgab geholl fir déi nei Reegele verantwortlech ze beherrschen an erfollegräich Tester fir Wëssen iwwer Informatiounssécherheetsmanagement System Dokumenter iwwerholl.
Mëssverständnis #5.
Mir konnten deemools net kloer beurteelen, wéi eng Virdeeler mir vun eisen Efforte géife kréien. Zu där Zäit war d'Zuel vun den Ufroe fir dësen Zertifika net sou grouss, a mir haten eise Schlëssel an de exigentste Client laang virun der Zertifizéierung. D'Erfahrung huet gewisen datt mir et ouni Standard gepackt hunn.
Irgendwann hu mir gemierkt datt mir chaotesch eng oder aner entstanen Lück zoumaachen wéinst Ufuerderunge vum Client. All Kéier hu mer e puer nei Politiken oder Léisungen ukomm. A mir sinn endlech onofhängeg zur Conclusioun komm, datt et vill méi einfach wier, de Prozess ze systematiséieren, wat eis an Zukunft souguer vill Aarbechtskäschte spuere géif. De Standard war geduecht fir dës Aufgab ze vereinfachen.
Elo, zwee Joer méi spéit, gesi mir e wuessenden Trend an der Unzuel vun Ufroen an Interessi un dësem Thema vu groussen internationale Clienten.
Finale Decisioun.
Als Conclusioun wëlle mir soen datt eis Industrieleit ISO/IEC 27001 Zertifizéierung kritt hunn, wat all aner grouss Ubidder (inklusiv eis) gezwongen huet iwwer dëst Thema ze denken. Sécherlech eng schéin Linn am Marketing Material vun der Firma - op der Websäit, op sozialen Netzwierker, Reklammen Broschüren, etc. - kann als agreabel Bonus considéréiert ginn, mä ass et derwäert esou vill Ressourcen ze verbréngen? Mir hu selwer décidéiert, datt dat fir eis méi ass wéi nëmmen eng schéi Linn, a mir hunn eis an dësem Projet bedeelegt.
Source: will.com