PieÅemot jebkuru uzÅÄmumam stratÄÄ£iski svarÄ«gu lÄmumu, darbinieki iziet cauri pamata aizsardzÄ«bas mehÄnismam, kas ir labi pazÄ«stams kÄ 5 reakcijas uz pÄrmaiÅÄm posmi (autors E. KÅ«blers-Ross). KÄds izcils psihologs reiz aprakstÄ«ja emocionÄlÄs reakcijas, izceļot 5 galvenos emocionÄlÄs reakcijas posmus: noliegums, dusmas, kaulÄties, depresija un, visbeidzot Adopcija. Esam sagatavojuÅ”i ISO 27001 sertifikÄcijai veltÄ«tu rakstu sÄriju, kurÄ apskatÄ«sim katru no posmiem. Å odien parunÄsim par pirmo no tiem ā noliegumu.
ISO 27001 sertifikÄta iegÅ«Å”ana āizstÄdÄā ir ļoti apÅ”aubÄms prieks, jo prasa ilgu un dÄrgu sagatavoÅ”anos. TurklÄt, kÄ tas liecina
MÅ«su uzÅÄmums sniedz pilnu Ärpakalpojumu klÄstu grÄmatvedÄ«bas funkciju veikÅ”anai: grÄmatvedÄ«ba un nodokļu uzskaite, algas un personÄla administrÄÅ”ana. MÄs ieÅemam vienu no vadoÅ”ajÄm tirgus pozÄ«cijÄm, jo āāÄ«paÅ”i tÄpÄc, ka Ärvalstu uzÅÄmumi ar filiÄlÄm KrievijÄ uztic mums savu konfidenciÄlo informÄciju. Tas attiecas ne tikai uz mÅ«su klientu finanÅ”u procesiem, bet arÄ« uz personas datiem, ar kuriem mÄs strÄdÄjam ikdienÄ. Å ajÄ sakarÄ informÄcijas droŔības jautÄjums ir viena no mÅ«su prioritÄtÄm.
Bieži vien visus Krievijas nodaļu biznesa procesus kontrolÄ un deklarÄ Ärvalstu uzÅÄmumu galvenie biroji, un tÄpÄc tiem ir jÄatbilst iekÅ”Äjiem grupas standartiem. Nesen daži no mÅ«su galvenajiem klientiem ir sÄkuÅ”i pÄrskatÄ«t savas droŔības politikas, lai tÄs padarÄ«tu stingrÄkas. Protams, tas ir saistÄ«ts ar globÄlajÄm tendencÄm pieaugoÅ”ajos kiberuzbrukumos un zaudÄjumos, kas saistÄ«ti ar informÄcijas droŔības pÄrkÄpumu incidentiem.Ja nepiecieÅ”ams ieviest aizsardzÄ«bas pasÄkumus, politikas un procedÅ«ras, kuru mÄrÄ·is ir palielinÄt uzÅÄmuma informÄcijas droŔību, var iztikt bez ISO /IEC 27001 sertifikÄcija, tÄdÄjÄdi ietaupot daudz naudas, laika un nervu.
Å odien Ärvalstu klientu konkursos ir sÄkuÅ”as parÄdÄ«ties prasÄ«bas par esoÅ”o informÄcijas droŔību uzÅÄmumÄ. Daži, lai vienkÄrÅ”otu savu pÄrbaudi un vienotu pieeju, nosaka obligÄtu vÄrtÄÅ”anas kritÄriju - ISO/IEC 27001 sertifikÄta esamÄ«bu.
LÅ«k, ko mÄs esam redzÄjuÅ”i. Å Ä·iet, ka viens no mÅ«su galvenajiem starptautiskajiem klientiem, kas sertificÄts atbilstoÅ”i Å”im standartam, ir ievÄrojami pastiprinÄjis savu globÄlo informÄcijas droŔības komandu. KÄ mÄs par to uzzinÄjÄm? ViÅi nolÄma auditÄt mÅ«su informÄcijas droŔības vadÄ«bas sistÄmu, jo mÄs viÅiem sniedzam grÄmatvedÄ«bas pakalpojumus un personÄla administrÄÅ”anu - un attiecÄ«gi mÅ«su informÄcijas sistÄmu droŔība viÅiem ir ļoti svarÄ«ga. IepriekÅ”Äjais audits notika pirms 3 gadiem - toreiz viss noritÄja diezgan nesÄpÄ«gi.
Å oreiz mums uzbruka draudzÄ«ga indieÅ”u komanda, veikli atklÄjot vairÄkus desmitus trÅ«kumu mÅ«su droŔības vadÄ«bas sistÄmÄ. Audita process atgÄdinÄja Samsaras ratu ā Ŕķita, ka principÄ viÅiem nebija mÄrÄ·a sasniegt kÄdu pÄdÄjo punktu audita ietvaros. TÄ bija bezgalÄ«ga jautÄjumu, komentÄru, mÅ«su komentÄru un to realitÄtes pierÄdÄ«jumu virkne, konferences zvani un garas filozofiskas sarunas, mÄÄ£inot atpazÄ«t klienta IT droŔības komandas akcentu. Starp citu, audits ar dažÄdu intensitÄti turpinÄs lÄ«dz pat Å”ai dienai - laika gaitÄ esam ar to samierinÄjuÅ”ies. TÄdÄjÄdi nepiecieÅ”amÄ«ba pÄc sertifikÄcijas ir radusies pati no sevis.
Varbūt varam iztikt ar ISO 9001?
Ikviens, kurÅ” ir vairÄk vai mazÄk gudrs sertifikÄcijas jautÄjumÄ pÄc kÄda no ISO standartiem, saprot, ka katra pamatÄ ir ISO 9001 āKvalitÄtes vadÄ«bas sistÄmasā sertifikÄts. Å is, iespÄjams, Å”obrÄ«d ir vispopulÄrÄkais sertifikÄts visÄ ISO standartu rindÄ. Mums tÄ nebija ā un mÄs nolÄmÄm to nedabÅ«t. Tam bija vairÄki iemesli:
- uzÅÄmuma, kuram ir Å”is sertifikÄts, apÅ”aubÄma ekonomiskÄ efektivitÄte;
- mÅ«su iekÅ”Äjie procesi lielÄkoties jau bija tuvu Å”im standartam;
- Å Ä« sertifikÄta iegÅ«Å”ana prasÄ«s papildu laiku un naudu.
AttiecÄ«gi mÄs nolÄmÄm nekavÄjoties ieviest ISO 27001, nesÄkot ar āŔķiltavuā 9001.
Vai varbÅ«t tas joprojÄm nav nepiecieÅ”ams?
Raugoties nÄkotnÄ, mÄs daudzkÄrt esam atgriezuÅ”ies pie jautÄjuma, vai ir ieteicams to iegÅ«t. MÄs sÄkÄm pÄtÄ«t Å”o jautÄjumu no visÄm pusÄm, jo āāmums nebija pilnÄ«gi nekÄdas zinÄÅ”anas. Un Å”eit ir maldÄ«gi priekÅ”stati, kas lika mums vÄlreiz aizdomÄties par Å”o jautÄjumu.
Nepareizs priekŔstats #1.
MÄs cerÄjÄm, ka standarts nodroÅ”inÄs mums detalizÄtu kontrolsarakstu, politiku sarakstu un citus likumÄ noteiktos dokumentus. RealitÄtÄ izrÄdÄ«jÄs, ka ISO/IEC 27001 ir prasÄ«bu kopums paÅ”ai informÄcijas droŔības pÄrvaldÄ«bas sistÄmai un veidojamajam procesam. Pamatojoties uz tiem, bija patstÄvÄ«gi jÄizlemj, ko rakstÄ«t/ieviest mÅ«su uzÅÄmumÄ, lai atbilstu standarta prasÄ«bÄm.
Nepareizs priekŔstats #2.
MÄs patiesi ticÄjÄm, ka mums pietiks ar vienu dokumentu izpÄti un salÄ«dzinoÅ”i Ä«sÄ laikÄ to ievieÅ”anu paÅ”u spÄkiem. RealitÄtÄ, lasot dokumentu, mÄs sapratÄm, cik daudziem saistÄ«tiem standartiem mÅ«su standarts āpieÄ·erasā, cik standartus mums ir jÄiepazÄ«st (vismaz virspusÄji). "Ķirsis" uz kÅ«kas bija paÅ”reizÄjo standartu tekstu trÅ«kums publiskajÄ domÄnÄ - tie bija jÄiegÄdÄjas oficiÄlajÄ ISO vietnÄ.
Nepareizs priekŔstats #3.
MÄs bijÄm pÄrliecinÄti, ka visu nepiecieÅ”amo, lai sagatavotos sertifikÄcijai, atradÄ«sim atklÄtajos avotos. InternetÄ patieÅ”Äm bija diezgan daudz materiÄlu par ISO 27001, taÄu tiem drÄ«zÄk pietrÅ«ka specifikas. Praktiski nebija viegli saprotamu soli pa solim instrukciju, kÄ sagatavoties sertifikÄcijai, kÄ arÄ« reÄlu gadÄ«jumu, kad uzÅÄmumi bija ieviesuÅ”i Å”o standartu.
Nepareizs priekŔstats #4.
MÄs rakstÄ«sim politikas, bet tÄs nedarbosies! TÄ ir taisnÄ«ba, mÅ«su uzÅÄmumam jau ir pÄrÄk daudz noteikumu, neviens vairs neievÄros vÄl trÄ«s desmitus jaunu politiku. RealitÄtÄ, par laimi, mÅ«su darbinieki jauno noteikumu apguvi uzÅÄmÄs atbildÄ«gi un veiksmÄ«gi nokÄrtoja informÄcijas droŔības vadÄ«bas sistÄmas dokumentu zinÄÅ”anu pÄrbaudi.
Nepareizs priekŔstats #5.
Toreiz mÄs nevarÄjÄm skaidri novÄrtÄt, kÄdu labumu gÅ«sim no saviem centieniem. Toreiz Ŕī sertifikÄta pieprasÄ«jumu skaits nebija tik liels, un mÅ«su galvenais un prasÄ«gÄkais klients mums bija ilgi pirms sertifikÄcijas. Pieredze rÄda, ka iztikÄm bez standarta.
KÄdÄ brÄ«dÄ« sapratÄm, ka klienta prasÄ«bu dÄļ haotiski likvidÄjam vienu vai otru raduÅ”os plaisu. Katru reizi mÄs nÄcÄm klajÄ ar kÄdu jaunu politiku vai risinÄjumu. Un mÄs beidzot patstÄvÄ«gi nonÄcÄm pie slÄdziena, ka procesu bÅ«tu daudz vieglÄk sistematizÄt, kas nÄkotnÄ pat ļautu mums ietaupÄ«t daudz darbaspÄka izmaksu. Standarts bija paredzÄts, lai vienkÄrÅ”otu Å”o uzdevumu.
Tagad, divus gadus vÄlÄk, mÄs redzam pieaugoÅ”u tendenci pieprasÄ«jumu skaitam un lielÄkajiem starptautiskiem klientiem interesei par Å”o jautÄjumu.
Gala lÄmums.
NobeigumÄ vÄlamies teikt, ka mÅ«su nozares lÄ«deri ir saÅÄmuÅ”i ISO/IEC 27001 sertifikÄtu, kas licis par Å”o jautÄjumu aizdomÄties visiem citiem lielÄkajiem pakalpojumu sniedzÄjiem (arÄ« mums). NeapÅ”aubÄmi, skaista lÄ«nija uzÅÄmuma mÄrketinga materiÄlos - vietnÄ, sociÄlajos tÄ«klos, reklÄmas broŔūrÄs utt. ā var uzskatÄ«t par patÄ«kamu bonusu, bet vai ir vÄrts par to tÄrÄt tik daudz lÄ«dzekļu? MÄs paÅ”i nolÄmÄm, ka mums Ŕī ir kas vairÄk nekÄ tikai skaista lÄ«nija, un iesaistÄ«jÄmies Å”ajÄ projektÄ.
Avots: www.habr.com