Priimdami bet kokį strategiškai svarbų įmonei sprendimą, darbuotojai pereina pagrindinį gynybos mechanizmą, gerai žinomą kaip 5 reagavimo į pokyčius etapai (E. Kübler-Ross). Žymus psichologas kartą aprašė emocines reakcijas, pabrėždamas 5 pagrindinius emocinio atsako etapus: negacija, pyktis, derybos, depresija ir galiausiai Įvaikinimas. Parengėme straipsnių seriją, skirtą ISO 27001 sertifikavimui, kuriame apžvelgsime kiekvieną etapą. Šiandien kalbėsime apie pirmąjį iš jų – neigimą.
Gauti ISO 27001 sertifikatą „parodai“ yra labai abejotinas malonumas, nes tam reikia ilgai ir brangiai ruoštis. Be to, kaip rodo , šis standartas itin nepopuliarus Rusijos Federacijoje: iki šiol tik 70 įmonių buvo sertifikuotos, kad atitiktų atitiktį. Kartu tai vienas populiariausių standartų užsienyje, atitinkantis augančius verslo poreikius informacijos saugumo srityje.
Mūsų įmonė teikia pilną buhalterinės apskaitos funkcijų užsakomųjų paslaugų spektrą: buhalterinė apskaita ir mokesčių apskaita, darbo užmokestis ir personalo administravimas. Užimame vieną iš pirmaujančių rinkos pozicijų, ypač dėl to, kad užsienio įmonės, turinčios filialus Rusijoje, patiki mums savo konfidencialią informaciją. Tai taikoma ne tik mūsų klientų finansiniams procesams, bet ir asmens duomenims, su kuriais dirbame kasdien. Šiuo atžvilgiu informacijos saugumo klausimas yra vienas iš mūsų prioritetų.
Dažnai visus Rusijos padalinių verslo procesus kontroliuoja ir deklaruoja užsienio įmonių pagrindinės buveinės, todėl jie turi atitikti vidinius visos grupės standartus. Neseniai kai kurie pagrindiniai mūsų klientai pradėjo peržiūrėti savo saugumo politiką, siekdami jas griežtinti. Žinoma, tai lemia pasaulinės tendencijos, kai didėja kibernetinių atakų ir nuostolių, susijusių su informacijos saugumo pažeidimo incidentais, skaičius.Jei reikia diegti apsaugos priemones, politiką ir procedūras, skirtas įmonės informacijos saugumui didinti, galima apsieiti ir be ISO. /IEC 27001 sertifikatas, todėl sutaupoma daug pinigų, laiko ir nervų.
Šiandien užsienio klientų konkursuose pradėjo atsirasti reikalavimai įmonėje esamam informacijos saugumui. Kai kurie, norėdami supaprastinti patikrinimą ir suvienodinti požiūrį, nustato privalomą vertinimo kriterijų – ISO/IEC 27001 sertifikato buvimą.
Štai ką matėme: vienas iš mūsų pagrindinių tarptautinių klientų, sertifikuotų pagal šį standartą, gerokai sustiprino savo pasaulinę informacijos saugos komandą. Kaip mes apie tai sužinojome? Jie nusprendė atlikti mūsų informacijos saugumo valdymo sistemos auditą, nes mes jiems teikiame buhalterinės apskaitos ir personalo administravimo paslaugas – atitinkamai mūsų informacinių sistemų saugumas jiems yra itin svarbus. Ankstesnis auditas vyko prieš 3 metus – tąkart viskas vyko gana neskausmingai.
Šį kartą mus užpuolė draugiška indėnų komanda, mikliai atkasusi kelias dešimtis mūsų saugumo valdymo sistemos trūkumų. Audito procesas priminė „Samsaros“ ratą – atrodė, kad iš esmės jie neturėjo tikslo pasiekti kokį nors galutinį audito tašką. Tai buvo begalinė virtinė klausimų, komentarų, mūsų komentarų ir jų tikroviškumo įrodymų, konferencijų skambučiai ir ilgi filosofiniai pokalbiai, bandant atpažinti kliento IT saugumo komandos akcentą. Beje, auditas skirtingu intensyvumu tęsiasi iki šiol – laikui bėgant su tuo susitaikėme. Taigi sertifikavimo poreikis atsirado savaime.
Gal išsiversime su ISO 9001?
Kiekvienas, daugiau ar mažiau išmanantis sertifikavimo pagal kurį nors ISO standartą, supranta, kad kiekvieno iš jų pagrindas yra ISO 9001 „Kokybės vadybos sistemos“ sertifikatas. Tai bene populiariausias sertifikatas šiuo metu visoje ISO standartų linijoje. Neturėjome – ir nusprendėme negauti. Tam buvo keletas priežasčių:
- abejotinas šį sertifikatą turinčios įmonės ekonominis efektyvumas;
- mūsų vidiniai procesai didžiąja dalimi jau buvo artimi šiam standartui;
- Šio sertifikato gavimas pareikalautų papildomo laiko ir pinigų.
Atitinkamai nusprendėme nedelsiant įdiegti ISO 27001, nepradėdami nuo „žiebtuvėlio“ 9001.
O gal vis tiek nereikia?
Žvelgdami į ateitį, daug kartų grįžome prie klausimo, ar patartina jį gauti. Pradėjome nagrinėti klausimą iš visų pusių, nes neturėjome visiškai jokios kompetencijos. Ir štai klaidingos nuomonės privertė mus dar kartą susimąstyti apie šią problemą.
Klaidingas supratimas #1.
Tikėjomės, kad standartas pateiks mums išsamų kontrolinį sąrašą, politikos sąrašą ir kitus teisės aktų nustatytus dokumentus. Realiai paaiškėjo, kad ISO/IEC 27001 yra reikalavimų rinkinys pačiai informacijos saugumo valdymo sistemai ir kuriamam procesui. Remiantis jais, reikėjo savarankiškai nuspręsti, ką rašyti/diegti mūsų įmonėje, kad atitiktų standarto reikalavimus.
Klaidingas supratimas #2.
Nuoširdžiai tikėjome, kad mums užteks išstudijuoti vieną dokumentą ir per gana trumpą laiką jį įgyvendinti patiems. Realiai, skaitydami dokumentą, supratome, prie kiek susijusių standartų „prisikabina“ mūsų standartas, su kiek standartų mums reikia susipažinti (bent jau paviršutiniškai). „Vyšnia“ ant torto buvo dabartinių standartų tekstų trūkumas viešoje erdvėje - juos reikėjo įsigyti oficialioje ISO svetainėje.
Klaidingas supratimas #3.
Buvome įsitikinę, kad rasime viską, ko reikia norint pasiruošti sertifikavimui atviruose šaltiniuose. Internete išties buvo nemažai medžiagos apie ISO 27001, tačiau joms trūko specifikos. Praktiškai nebuvo lengvai suprantamų žingsnis po žingsnio instrukcijų, kaip pasiruošti atestacijai, kaip ir realių įmonių, įdiegusių šį standartą, atvejų.
Klaidingas supratimas #4.
Rašysime politiką, bet jos neveiks! Na, tiesa, mūsų įmonėje jau yra per daug taisyklių, niekas nesilaikys dar 3 dešimčių naujų taisyklių. Realiai, laimei, mūsų darbuotojai ėmėsi atsakingai įsisavinti naujas taisykles ir sėkmingai išlaikė informacijos saugos valdymo sistemos dokumentų žinių patikrinimą.
Klaidingas supratimas #5.
Tuo metu negalėjome aiškiai įvertinti, kokią naudą gausime iš savo pastangų. Tuo metu prašymų gauti šį sertifikatą skaičius nebuvo toks didelis, o raktinį ir reikliausią klientą turėjome dar gerokai prieš sertifikavimą. Patirtis parodė, kad susitvarkėme be standarto.
Kažkuriuo momentu supratome, kad dėl kliento reikalavimų chaotiškai uždarome vieną ar kitą atsirandančią spragą. Kiekvieną kartą sugalvodavome kokią nors naują politiką ar sprendimus. Ir galiausiai savarankiškai priėjome išvados, kad procesą būtų daug lengviau susisteminti, o tai ateityje net sutaupytų daug darbo sąnaudų. Standartas buvo skirtas supaprastinti šią užduotį.
Dabar, praėjus dvejiems metams, matome didėjančią stambių tarptautinių klientų užklausų ir susidomėjimo šiuo klausimu tendenciją.
Paskutinis sprendimas.
Baigdami norime pasakyti, kad mūsų pramonės lyderiai gavo ISO/IEC 27001 sertifikatą, kuris privertė visus kitus pagrindinius tiekėjus (taip pat ir mus) susimąstyti apie šią problemą. Be abejo, graži eilutė įmonės rinkodaros medžiagoje - svetainėje, socialiniuose tinkluose, reklaminėse brošiūrose ir kt. – galima laikyti malonia premija, bet ar verta tam išleisti tiek resursų? Patys nusprendėme, kad mums tai daugiau nei tik graži linija, ir įsitraukėme į šį projektą.
Šaltinis: www.habr.com