Wann Dir eng strategesch wichteg Entscheedung fir d'Firma maacht, ginn d'Mataarbechter duerch e Basisverteidegungsmechanismus, bekannt als de 5 Etappe vun der Reaktioun op d'VerĂ€nnerung (vum E. KĂŒbler-Ross). En eminente Psycholog huet eng KĂ©ier emotional Reaktiounen beschriwwen, 5 SchlĂ«sselstadien vun emotionaler Ăntwert beliicht: Negatioun, Roserei, Tariflechkeet, Depressioun an, endlech, Adoptioun. Mir hunn eng Serie vun Artikelen virbereet fir ISO 27001 ZertifizĂ©ierung, wou mir all Etapp kucken. Haut wĂ€erte mir iwwer dĂ©i Ă©ischt vun hinnen schwĂ€tzen - Verweigerung.
En ISO 27001 Zertifika "fir Show" ze kréien ass e ganz zweifelhafte Genoss, well et laang an deier Virbereedung erfuerdert. Ausserdeem, wéi et weist , Dëse Standard ass extrem onpopulÀr an der russescher Federatioun: bis elo sinn nëmmen 70 Firmen fir d'Konformitéit zertifizéiert ginn. Zur selwechter ZÀit ass dëst ee vun de populÀerste Standarden am Ausland, entsprécht de wuessende Fuerderunge vum GeschÀft am BerÀich vun der Informatiounssécherheet.
Eis Firma bitt eng ganz Palette vun Outsourcing Servicer fir Comptablesmethod Funktiounen: Comptablesmethod a Steier Comptablesmethod, Paieziedel a Personal Administratioun. Mir besetzen ee vun de fĂ©ierende Maartpositiounen, besonnesch wĂ©inst der Tatsaach, datt auslĂ€nnesch Firmen mat Filialen a Russland eis mat hirer vertraulecher Informatioun vertrauen. DĂ«st gĂ«llt net nĂ«mme fir d'Finanzprozesser vun eise Clienten, awer och fir dĂ©i persĂ©inlech DonnĂ©eĂ«n, mat deenen mir all Dag schaffen. An deem SĂ«nn ass dâFro vun der InformatiounssĂ©cherheet eng vun eise PrioritĂ©ite.
Oft sinn all GeschÀftsprozesser vu russesche Divisiounen kontrolléiert an deklaréiert vun de Sëtz vun auslÀnnesche Firmen, an dofir musse se intern Grupp-breet Standarden respektéieren. Viru kuerzem hunn e puer vun eise Schlësselclienten ugefaang hir Sécherheetspolitik ze iwwerschaffen an d'Richtung vun hinnen ze verschÀerfen. Natierlech ass dëst wéinst globalen Trends an der wuessender Zuel vun Cyberattacken a Verloschter verbonne mat Informatiounssécherheetsbroch TëschefÀll. Wann et néideg ass Schutzmoossnamen, Politiken a Prozeduren ëmzesetzen, déi d'Informatiounssécherheet vun der Firma erhéijen, kënnt Dir ouni ISO maachen /IEC 27001 Zertifizéierung, spuert doduerch vill Suen, ZÀit an Nerven.
Haut hunn Ufuerderunge fir existent Informatiounssécherheet an der Firma ugefaang an Ausschreiwungen vun auslÀnnesche Clienten ze erschéngen. E puer, fir hir Verifizéierung ze vereinfachen an d'Approche ze vereenegen, setzen en obligatoresche Evaluatiounskriterium - d'PrÀsenz vun der ISO/IEC 27001 Zertifizéierung.
Hei ass wat mir gesinn hunn: Ee vun eise wichtegste internationalen Clienten, déi no dësem Standard zertifizéiert sinn, schéngt seng global Informatiounssécherheetsteam wesentlech gestÀerkt ze hunn. Wéi wosste mir iwwer dëst? Si hunn decidéiert eisen Informatiounssécherheetsmanagementsystem z'iwwerpréiwen, well mir hinnen Comptabilitéitsservicer a Personalverwaltung ubidden - an deementspriechend ass d'Sécherheet vun eisen Informatiounssystemer fir si kritesch wichteg. Virun 3 Joer war dee viregten Audit - deemools ass alles zimlech schmerzlos gaangen.
Dës Kéier huet e frëndlecht Team vun Indianer eis attackéiert, an huet e puer Dosen Defiziter an eisem Sécherheetsmanagementsystem geréckelt. Den Auditprozess huet d'Rad vu Samsara ausgesinn - et huet geschéngt datt se am Prinzip keen Zil haten, all Finale Punkt am Kader vum Audit z'erreechen. Et war eng endlos String vu Froen, Kommentaren, eis Kommentaren a Beweiser vun hirer Realitéit, Konferenzappellen a laange philosophesche Gespréicher a Versuche fir den Akzent vum IT Sécherheetsteam vum Client ze erkennen. Den Audit geet iwwregens bis haut mat variabelen Intensitéit weider - mat der ZÀit hu mir eis domat befaasst. Sou ass de Besoin fir d'Zertifizéierung eleng entstanen.
VlÀicht kënne mir eis mat ISO 9001 maachen?
Jiddereen dee méi oder manner erfuerscht ass an der Fro vun der Zertifizéierung no engem vun den ISO Standarden versteet datt d'Basis fir jiddereng vun hinnen den ISO 9001 "Quality Management System" Zertifika ass. Dëst ass vlÀicht de populÀrste Zertifika deen de Moment an der ganzer Linn vun ISO Standarden ass. Mir haten et net - a mir hu beschloss et net ze kréien. Et waren e puer Grënn dofir:
- déi zweifelhaft wirtschaftlech Effizienz vun der Firma mat dësem Zertifika;
- eis intern Prozesser ware gréisstendeels schonn no bei dësem Standard;
- Dëse Certificat ze kréien géif zousÀtzlech ZÀit a Suen erfuerderen.
Deementspriechend hu mir décidéiert den ISO 27001 direkt ëmzesetzen, ouni mam "liichter" 9001 unzefÀnken.
Oder vlÀicht ass et nach ëmmer net néideg?
Wa mir no vir kucken, si mir vill Mol zréck op d'Fro, ob et ubruecht ass et ze kréien. Mir hunn ugefaang d'Thema vun alle SÀiten ze studéieren, well mir absolut keng Expertise haten. An hei sinn déi MëssverstÀndnisser, déi eis nach eng Kéier iwwer dëst Thema nodenken hunn.
MëssverstÀndnis #1.
Mir hunn gehofft datt de Standard eis eng detailléiert Checklëscht, eng Lëscht vu Politiken an aner gesetzlech Dokumenter géif ginn. A Wierklechkeet huet sech erausgestallt datt den ISO/IEC 27001 eng Rei Ufuerderunge fir den Informatiounssécherheetsmanagementsystem selwer an de Prozess ass, deen gebaut gëtt. Baséierend op hinnen war et néideg onofhÀngeg ze entscheeden wat an eiser Gesellschaft ze schreiwen / ëmsetzen fir den Ufuerderunge vum Standard ze respektéieren.
MëssverstÀndnis #2.
Mir hunn oprecht gegleeft datt et genuch wier fir eis een Dokument ze studéieren an et a relativ kuerzer ZÀit eleng ëmzesetzen. A Wierklechkeet, wÀrend mir d'Dokument gelies hunn, hu mir gemierkt wéi vill verbonne Standarden eise Standard "kleeft" un, wéi vill Standarde mir musse vertraut ginn (op d'mannst iwwerflÀchlech). D'"Kiischt" um Kuch war de Mangel un aktuell Standarden Texter am Domaine public - si hu missen op der offizieller ISO WebsÀit kaaft ginn.
MëssverstÀndnis #3.
Mir waren zouversiichtlech datt mir alles fannen wat mir brauche fir d'Zertifizéierung an Open Sources virzebereeden. Et waren zwar zimmlech vill Materialien um ISO 27001 um Internet, awer si feelen éischter u Spezifizitéiten. Et waren praktesch keng einfach ze verstoen Schrëtt-fir-Schrëtt Instruktioune fir d'Zertifizéierung virzebereeden, wéi och richteg FÀll vu Firmen déi dëse Standard ëmgesat hunn.
MëssverstÀndnis #4.
Mir wÀerte Politik schreiwen, awer déi funktionnéieren net! Gutt, et stëmmt, eis Firma huet schonn ze vill Reegelen, keen wÀert aner 3 Dosen nei Politik respektéieren. A Wierklechkeet, glécklecherweis, hunn eis Mataarbechter d'Aufgab geholl fir déi nei Reegele verantwortlech ze beherrschen an erfollegrÀich Tester fir Wëssen iwwer Informatiounssécherheetsmanagement System Dokumenter iwwerholl.
MëssverstÀndnis #5.
Mir konnten deemools net kloer beurteelen, wéi eng Virdeeler mir vun eisen Efforte géife kréien. Zu dÀr ZÀit war d'Zuel vun den Ufroe fir dësen Zertifika net sou grouss, a mir haten eise Schlëssel an de exigentste Client laang virun der Zertifizéierung. D'Erfahrung huet gewisen datt mir et ouni Standard gepackt hunn.
Irgendwann hu mir gemierkt datt mir chaotesch eng oder aner entstanen LĂŒck zoumaachen wĂ©inst Ufuerderunge vum Client. All KĂ©ier hu mer e puer nei Politiken oder LĂ©isungen ukomm. A mir sinn endlech onofhĂ€ngeg zur Conclusioun komm, datt et vill mĂ©i einfach wier, de Prozess ze systematisĂ©ieren, wat eis an Zukunft souguer vill AarbechtskĂ€schte spuere gĂ©if. De Standard war geduecht fir dĂ«s Aufgab ze vereinfachen.
Elo, zwee Joer méi spéit, gesi mir e wuessenden Trend an der Unzuel vun Ufroen an Interessi un dësem Thema vu groussen internationale Clienten.
Finale Decisioun.
Als Conclusioun wĂ«lle mir soen datt eis Industrieleit ISO/IEC 27001 ZertifizĂ©ierung kritt hunn, wat all aner grouss Ubidder (inklusiv eis) gezwongen huet iwwer dĂ«st Thema ze denken. SĂ©cherlech eng schĂ©in Linn am Marketing Material vun der Firma - op der WebsĂ€it, op sozialen Netzwierker, Reklammen BroschĂŒren, etc. - kann als agreabel Bonus considĂ©rĂ©iert ginn, mĂ€ ass et derwĂ€ert esou vill Ressourcen ze verbrĂ©ngen? Mir hu selwer dĂ©cidĂ©iert, datt dat fir eis mĂ©i ass wĂ©i nĂ«mmen eng schĂ©i Linn, a mir hunn eis an dĂ«sem Projet bedeelegt.
Source: will.com
