ProHoster > Blogs > Administrācija > 5 ISO/IEC 27001 sertifikācijas neizbēgamības posmi. Negācija

5 ISO/IEC 27001 sertifikācijas neizbēgamības posmi. Negācija

Pieņemot jebkuru uzņēmumam stratēģiski svarÄ«gu lēmumu, darbinieki iziet cauri pamata aizsardzÄ«bas mehānismam, kas ir labi pazÄ«stams kā 5 reakcijas uz pārmaiņām posmi (autors E. KÅ«blers-Ross). Kāds izcils psihologs reiz aprakstÄ«ja emocionālās reakcijas, izceļot 5 galvenos emocionālās reakcijas posmus: noliegums, dusmas, kaulēties, depresija un, visbeidzot Adopcija. Esam sagatavojuÅ”i ISO 27001 sertifikācijai veltÄ«tu rakstu sēriju, kurā apskatÄ«sim katru no posmiem. Å odien parunāsim par pirmo no tiem ā€“ noliegumu.

5 ISO/IEC 27001 sertifikācijas neizbēgamības posmi. Negācija

ISO 27001 sertifikāta iegÅ«Å”ana ā€œizstādēā€ ir ļoti apÅ”aubāms prieks, jo prasa ilgu un dārgu sagatavoÅ”anos. Turklāt, kā tas liecina statistika, Å”is standarts Krievijas Federācijā ir ārkārtÄ«gi nepopulārs: lÄ«dz Å”im tikai 70 uzņēmumi ir sertificēti atbilstÄ«bai. Vienlaikus Å”is ir viens no populārākajiem standartiem ārvalstÄ«s, kas atbilst biznesa augoÅ”ajām prasÄ«bām informācijas droŔības jomā.

MÅ«su uzņēmums sniedz pilnu ārpakalpojumu klāstu grāmatvedÄ«bas funkciju veikÅ”anai: grāmatvedÄ«ba un nodokļu uzskaite, algas un personāla administrÄ“Å”ana. Mēs ieņemam vienu no vadoÅ”ajām tirgus pozÄ«cijām, jo ā€‹ā€‹Ä«paÅ”i tāpēc, ka ārvalstu uzņēmumi ar filiālēm Krievijā uztic mums savu konfidenciālo informāciju. Tas attiecas ne tikai uz mÅ«su klientu finanÅ”u procesiem, bet arÄ« uz personas datiem, ar kuriem mēs strādājam ikdienā. Å ajā sakarā informācijas droŔības jautājums ir viena no mÅ«su prioritātēm.

Bieži vien visus Krievijas nodaļu biznesa procesus kontrolē un deklarē ārvalstu uzņēmumu galvenie biroji, un tāpēc tiem ir jāatbilst iekŔējiem grupas standartiem. Nesen daži no mÅ«su galvenajiem klientiem ir sākuÅ”i pārskatÄ«t savas droŔības politikas, lai tās padarÄ«tu stingrākas. Protams, tas ir saistÄ«ts ar globālajām tendencēm pieaugoÅ”ajos kiberuzbrukumos un zaudējumos, kas saistÄ«ti ar informācijas droŔības pārkāpumu incidentiem.Ja nepiecieÅ”ams ieviest aizsardzÄ«bas pasākumus, politikas un procedÅ«ras, kuru mērÄ·is ir palielināt uzņēmuma informācijas droŔību, var iztikt bez ISO /IEC 27001 sertifikācija, tādējādi ietaupot daudz naudas, laika un nervu.

5 ISO/IEC 27001 sertifikācijas neizbēgamības posmi. Negācija

Å odien ārvalstu klientu konkursos ir sākuÅ”as parādÄ«ties prasÄ«bas par esoÅ”o informācijas droŔību uzņēmumā. Daži, lai vienkārÅ”otu savu pārbaudi un vienotu pieeju, nosaka obligātu vērtÄ“Å”anas kritēriju - ISO/IEC 27001 sertifikāta esamÄ«bu.

LÅ«k, ko mēs esam redzējuÅ”i. Å Ä·iet, ka viens no mÅ«su galvenajiem starptautiskajiem klientiem, kas sertificēts atbilstoÅ”i Å”im standartam, ir ievērojami pastiprinājis savu globālo informācijas droŔības komandu. Kā mēs par to uzzinājām? Viņi nolēma auditēt mÅ«su informācijas droŔības vadÄ«bas sistēmu, jo mēs viņiem sniedzam grāmatvedÄ«bas pakalpojumus un personāla administrÄ“Å”anu - un attiecÄ«gi mÅ«su informācijas sistēmu droŔība viņiem ir ļoti svarÄ«ga. IepriekŔējais audits notika pirms 3 gadiem - toreiz viss noritēja diezgan nesāpÄ«gi.

Å oreiz mums uzbruka draudzÄ«ga indieÅ”u komanda, veikli atklājot vairākus desmitus trÅ«kumu mÅ«su droŔības vadÄ«bas sistēmā. Audita process atgādināja Samsaras ratu ā€“ Ŕķita, ka principā viņiem nebija mērÄ·a sasniegt kādu pēdējo punktu audita ietvaros. Tā bija bezgalÄ«ga jautājumu, komentāru, mÅ«su komentāru un to realitātes pierādÄ«jumu virkne, konferences zvani un garas filozofiskas sarunas, mēģinot atpazÄ«t klienta IT droŔības komandas akcentu. Starp citu, audits ar dažādu intensitāti turpinās lÄ«dz pat Å”ai dienai - laika gaitā esam ar to samierinājuÅ”ies. Tādējādi nepiecieÅ”amÄ«ba pēc sertifikācijas ir radusies pati no sevis.

Varbūt varam iztikt ar ISO 9001?

Ikviens, kurÅ” ir vairāk vai mazāk gudrs sertifikācijas jautājumā pēc kāda no ISO standartiem, saprot, ka katra pamatā ir ISO 9001 ā€œKvalitātes vadÄ«bas sistēmasā€ sertifikāts. Å is, iespējams, Å”obrÄ«d ir vispopulārākais sertifikāts visā ISO standartu rindā. Mums tā nebija ā€“ un mēs nolēmām to nedabÅ«t. Tam bija vairāki iemesli:

  • uzņēmuma, kuram ir Å”is sertifikāts, apÅ”aubāma ekonomiskā efektivitāte;
  • mÅ«su iekŔējie procesi lielākoties jau bija tuvu Å”im standartam;
  • Å Ä« sertifikāta iegÅ«Å”ana prasÄ«s papildu laiku un naudu.

AttiecÄ«gi mēs nolēmām nekavējoties ieviest ISO 27001, nesākot ar ā€œÅ”Ä·iltavuā€ 9001.

Vai varbūt tas joprojām nav nepiecieŔams?

Raugoties nākotnē, mēs daudzkārt esam atgriezuÅ”ies pie jautājuma, vai ir ieteicams to iegÅ«t. Mēs sākām pētÄ«t Å”o jautājumu no visām pusēm, jo ā€‹ā€‹mums nebija pilnÄ«gi nekādas zināŔanas. Un Å”eit ir maldÄ«gi priekÅ”stati, kas lika mums vēlreiz aizdomāties par Å”o jautājumu.

Nepareizs priekŔstats #1.
Mēs cerējām, ka standarts nodroÅ”inās mums detalizētu kontrolsarakstu, politiku sarakstu un citus likumā noteiktos dokumentus. Realitātē izrādÄ«jās, ka ISO/IEC 27001 ir prasÄ«bu kopums paÅ”ai informācijas droŔības pārvaldÄ«bas sistēmai un veidojamajam procesam. Pamatojoties uz tiem, bija patstāvÄ«gi jāizlemj, ko rakstÄ«t/ieviest mÅ«su uzņēmumā, lai atbilstu standarta prasÄ«bām.

Nepareizs priekŔstats #2.
Mēs patiesi ticējām, ka mums pietiks ar vienu dokumentu izpēti un salÄ«dzinoÅ”i Ä«sā laikā to ievieÅ”anu paÅ”u spēkiem. Realitātē, lasot dokumentu, mēs sapratām, cik daudziem saistÄ«tiem standartiem mÅ«su standarts ā€œpieÄ·erasā€, cik standartus mums ir jāiepazÄ«st (vismaz virspusēji). "Ķirsis" uz kÅ«kas bija paÅ”reizējo standartu tekstu trÅ«kums publiskajā domēnā - tie bija jāiegādājas oficiālajā ISO vietnē.

Nepareizs priekŔstats #3.
Mēs bijām pārliecināti, ka visu nepiecieÅ”amo, lai sagatavotos sertifikācijai, atradÄ«sim atklātajos avotos. Internetā patieŔām bija diezgan daudz materiālu par ISO 27001, taču tiem drÄ«zāk pietrÅ«ka specifikas. Praktiski nebija viegli saprotamu soli pa solim instrukciju, kā sagatavoties sertifikācijai, kā arÄ« reālu gadÄ«jumu, kad uzņēmumi bija ieviesuÅ”i Å”o standartu.

Nepareizs priekŔstats #4.
Mēs rakstÄ«sim politikas, bet tās nedarbosies! Tā ir taisnÄ«ba, mÅ«su uzņēmumam jau ir pārāk daudz noteikumu, neviens vairs neievēros vēl trÄ«s desmitus jaunu politiku. Realitātē, par laimi, mÅ«su darbinieki jauno noteikumu apguvi uzņēmās atbildÄ«gi un veiksmÄ«gi nokārtoja informācijas droŔības vadÄ«bas sistēmas dokumentu zināŔanu pārbaudi.

Nepareizs priekŔstats #5.
Toreiz mēs nevarējām skaidri novērtēt, kādu labumu gÅ«sim no saviem centieniem. Toreiz Ŕī sertifikāta pieprasÄ«jumu skaits nebija tik liels, un mÅ«su galvenais un prasÄ«gākais klients mums bija ilgi pirms sertifikācijas. Pieredze rāda, ka iztikām bez standarta.

Kādā brÄ«dÄ« sapratām, ka klienta prasÄ«bu dēļ haotiski likvidējam vienu vai otru raduÅ”os plaisu. Katru reizi mēs nācām klajā ar kādu jaunu politiku vai risinājumu. Un mēs beidzot patstāvÄ«gi nonācām pie slēdziena, ka procesu bÅ«tu daudz vieglāk sistematizēt, kas nākotnē pat ļautu mums ietaupÄ«t daudz darbaspēka izmaksu. Standarts bija paredzēts, lai vienkārÅ”otu Å”o uzdevumu.

Tagad, divus gadus vēlāk, mēs redzam pieaugoÅ”u tendenci pieprasÄ«jumu skaitam un lielākajiem starptautiskiem klientiem interesei par Å”o jautājumu.

Gala lēmums.

Nobeigumā vēlamies teikt, ka mÅ«su nozares lÄ«deri ir saņēmuÅ”i ISO/IEC 27001 sertifikātu, kas licis par Å”o jautājumu aizdomāties visiem citiem lielākajiem pakalpojumu sniedzējiem (arÄ« mums). NeapÅ”aubāmi, skaista lÄ«nija uzņēmuma mārketinga materiālos - vietnē, sociālajos tÄ«klos, reklāmas broŔūrās utt. ā€“ var uzskatÄ«t par patÄ«kamu bonusu, bet vai ir vērts par to tērēt tik daudz lÄ«dzekļu? Mēs paÅ”i nolēmām, ka mums Ŕī ir kas vairāk nekā tikai skaista lÄ«nija, un iesaistÄ«jāmies Å”ajā projektā.

Avots: www.habr.com

Pievieno komentāru