Компанийн хувьд стратегийн чухал шийдвэр гаргахдаа ажилтнууд өөрчлөлтөд хариу үйлдэл үзүүлэх 5 үе шат гэж нэрлэгддэг хамгаалалтын үндсэн механизмаар дамждаг (Э.Кюблер-Росс). Нэр хүндтэй сэтгэл судлаач сэтгэл хөдлөлийн хариу урвалын 5 үндсэн үе шатыг онцлон тэмдэглэсэн байдаг. үгүйсгэх, уур хилэн, наймаа хийх, сэтгэл гутрал ба эцэст нь Үрчлэлт. Бид ISO 27001 гэрчилгээжүүлэхэд зориулсан цуврал нийтлэлүүдийг бэлтгэсэн бөгөөд үе шат бүрийг авч үзэх болно. Өнөөдөр бид тэдгээрийн эхнийх нь тухай ярих болно - үгүйсгэх.
ISO 27001 гэрчилгээг "үзүүлэхийн тулд" авах нь маш эргэлзээтэй таашаал юм, учир нь энэ нь урт бөгөөд үнэтэй бэлтгэл шаарддаг. Түүнээс гадна, үүнийг харуулж байна , энэ стандарт нь ОХУ-д маш түгээмэл биш юм: Өнөөдрийг хүртэл зөвхөн 70 компани дагаж мөрдөх гэрчилгээ авсан байна. Үүний зэрэгцээ, энэ нь мэдээллийн аюулгүй байдлын чиглэлээр бизнесийн өсөн нэмэгдэж буй эрэлт хэрэгцээг хангаж буй гадаадад хамгийн түгээмэл стандартуудын нэг юм.
Манай компани нягтлан бодох бүртгэлийн чиг үүргийн аутсорсингийн үйлчилгээг үзүүлдэг: нягтлан бодох бүртгэл, татварын нягтлан бодох бүртгэл, цалин хөлс, боловсон хүчний удирдлага. Орос улсад салбартай гадаадын компаниуд нууц мэдээллээр бидэнд итгэдэг учраас бид зах зээлд тэргүүлэгч байр суурийг эзэлдэг. Энэ нь зөвхөн манай үйлчлүүлэгчдийн санхүүгийн үйл явц төдийгүй бидний өдөр тутам хамтран ажилладаг хувийн мэдээлэлд ч хамаатай. Үүнтэй холбогдуулан мэдээллийн аюулгүй байдлын асуудал бидний тэргүүлэх чиглэлийн нэг юм.
Ихэнхдээ Оросын салбаруудын бизнесийн бүх үйл явцыг гадаадын компаниудын төв оффисууд хянаж, зарладаг тул тэд бүлгийн хэмжээнд мөрдөгдөж буй дотоод стандартыг дагаж мөрдөх ёстой. Сүүлийн үед манай гол үйлчлүүлэгчид аюулгүй байдлын бодлогоо чангатгах чиглэлээр шинэчлэн боловсруулж эхэлсэн. Мэдээжийн хэрэг, энэ нь мэдээллийн аюулгүй байдлын зөрчлөөс үүдэлтэй кибер халдлага, хохирлын тоо өсөх дэлхийн чиг хандлагатай холбоотой юм.Хэрэв компанийн мэдээллийн аюулгүй байдлыг нэмэгдүүлэхэд чиглэсэн хамгаалалтын арга хэмжээ, бодлого, журмыг хэрэгжүүлэх шаардлагатай бол та ISOгүйгээр хийж болно. /IEC 27001 гэрчилгээтэй болсноор маш их мөнгө, цаг, мэдрэл хэмнэнэ.
Өнөөдөр компанид байгаа мэдээллийн аюулгүй байдалд тавигдах шаардлагууд гадаадын үйлчлүүлэгчдээс тендерт гарч эхэлсэн. Зарим нь баталгаажуулалтыг хялбарчлах, арга барилыг нэгтгэхийн тулд заавал үнэлгээний шалгуурыг тавьдаг - ISO/IEC 27001 гэрчилгээтэй байх.
Бидний харсан зүйл бол: Энэхүү стандартын дагуу баталгаажсан олон улсын гол үйлчлүүлэгчдийн нэг нь дэлхийн мэдээллийн аюулгүй байдлын багаа нэлээд хүчирхэгжүүлсэн бололтой. Бид энэ талаар яаж мэдсэн бэ? Тэд манай мэдээллийн аюулгүй байдлын удирдлагын системд аудит хийхээр шийдсэн, учир нь бид тэднийг нягтлан бодох бүртгэлийн үйлчилгээ, боловсон хүчний удирдлагаар хангадаг бөгөөд үүний дагуу мэдээллийн системийн аюулгүй байдал тэдний хувьд маш чухал юм. Өмнөх аудит 3 жилийн өмнө болсон - тэр үед бүх зүйл нэлээд өвдөлтгүй болсон.
Энэ удаад индианчуудын найрсаг баг бидэн рүү дайрч, манай аюулгүй байдлын удирдлагын тогтолцооны хэдэн арван дутагдлыг овсгоотойгоор илрүүлэв. Аудитын үйл явц нь Самсарагийн дугуйтай төстэй байсан - зарчмын хувьд тэд аудитын нэг хэсэг болох эцсийн цэгт хүрэх зорилгогүй байсан бололтой. Энэ бол үйлчлүүлэгчийн мэдээллийн технологийн аюулгүй байдлын багийн өргөлтийг таних оролдлого бүхий эцэс төгсгөлгүй асуулт, сэтгэгдэл, бидний тайлбар, тэдгээрийн бодит байдлын нотолгоо, хурлын дуудлага, гүн ухааны урт яриа байсан. Дашрамд хэлэхэд, аудит өнөөдрийг хүртэл янз бүрийн эрчимтэй үргэлжилж байна - цаг хугацаа өнгөрөхөд бид үүнтэй тохиролцсон. Тиймээс гэрчилгээжүүлэх хэрэгцээ өөрөө бий болсон.
Магадгүй бид ISO 9001-тэй таарч болох уу?
ISO 9001 "Чанарын удирдлагын тогтолцоо" гэрчилгээ нь ISO стандартын аль нэгнийх нь дагуу гэрчилгээ олгох талаар бага эсвэл бага мэдлэгтэй хүн бүр ойлгодог. Энэ нь магадгүй ISO стандартын бүх шугамд байгаа хамгийн алдартай гэрчилгээ юм. Бидэнд байхгүй байсан - бид үүнийг авахгүй гэж шийдсэн. Үүнд хэд хэдэн шалтгаан байсан:
- Энэхүү гэрчилгээтэй компанийн эдийн засгийн үр ашиг эргэлзээтэй байх;
- бидний дотоод үйл явц ихэнх тохиолдолд энэ стандартад аль хэдийн ойр байсан;
- Энэхүү гэрчилгээг авахад нэмэлт цаг хугацаа, мөнгө шаардлагатай болно.
Үүний дагуу бид "асаагуур" 27001-ээс эхлэхгүйгээр ISO 9001 стандартыг нэн даруй хэрэгжүүлэхээр шийдсэн.
Эсвэл энэ нь шаардлагагүй хэвээр байна уу?
Цаашид бид үүнийг авах нь зүйтэй болов уу гэсэн асуултад олон удаа эргэж ирсэн. Бидэнд ямар ч туршлага байхгүй тул бүх талаас нь судалж эхэлсэн. Мөн энэ асуудлын талаар дахин нэг удаа бодоход хүргэсэн буруу ойлголтууд энд байна.
Буруу ойлголт №1.
Энэхүү стандарт нь бидэнд нарийвчилсан хяналтын хуудас, бодлогын жагсаалт болон бусад хууль тогтоомжийн баримт бичгүүдийг өгөх болно гэж найдаж байсан. Бодит байдал дээр ISO/IEC 27001 нь мэдээллийн аюулгүй байдлын удирдлагын систем болон баригдаж буй процесст тавигдах шаардлагуудын багц болох нь тогтоогдсон. Тэдгээрийн үндсэн дээр стандартын шаардлагыг дагаж мөрдөхийн тулд манай компанид юу бичих / хэрэгжүүлэхээ бие даан шийдэх шаардлагатай болсон.
Буруу ойлголт №2.
Ганц баримт бичгийг судалж үзээд харьцангуй богино хугацаанд бие даан хэрэгжүүлэхэд хангалттай гэж бид чин сэтгэлээсээ итгэсэн. Бодит байдал дээр бид баримт бичгийг уншиж байхдаа манай стандарт хэчнээн холбогдох стандарттай "наалддаг", хэчнээн олон стандарттай танилцах шаардлагатай байгааг (ядаж өнгөцхөн) ойлгосон. Бялуу дээрх "интоор" нь олон нийтийн эзэмшилд одоогийн стандартын текст байхгүй байсан - тэдгээрийг ISO-ийн албан ёсны вэбсайтаас худалдаж авах шаардлагатай байв.
Буруу ойлголт №3.
Баталгаажуулалтад бэлтгэхэд шаардлагатай бүх зүйлийг нээлттэй эх сурвалжаас олж авна гэдэгт бид итгэлтэй байсан. Интернет дээр ISO 27001-ийн талаар маш олон материал байсан боловч тэдгээрт тодорхой мэдээлэл дутмаг байв. Баталгаажуулалтад бэлтгэхэд ойлгоход хялбар алхам алхмаар зааварчилгаа, мөн энэ стандартыг хэрэгжүүлсэн компаниудын бодит тохиолдол бараг байдаггүй.
Буруу ойлголт №4.
Бид бодлого бичих болно, гэхдээ тэдгээр нь ажиллахгүй! За, үнэн, манай компанид хэтэрхий олон дүрэм бий, хэн ч өөр гурван арван шинэ бодлогыг дагаж мөрдөхгүй. Бодит байдал дээр аз болоход манай ажилчид шинэ дүрмийг эзэмших даалгаврыг хариуцлагатай авч, мэдээллийн аюулгүй байдлын удирдлагын системийн баримт бичгийн мэдлэгийн шалгалтыг амжилттай давлаа.
Буруу ойлголт №5.
Тэр үед бидний хичээл зүтгэлээс ямар үр өгөөж хүртэх вэ гэдгээ тодорхой дүгнэж чадаагүй. Тухайн үед энэ гэрчилгээг авах хүсэлтийн тоо тийм ч их биш байсан бөгөөд бид гэрчилгээжүүлэхээс өмнө гол бөгөөд хамгийн эрэлт хэрэгцээтэй үйлчлүүлэгчтэй байсан. Туршлагаас харахад бид стандартгүйгээр удирдаж байсан.
Хэзээ нэгэн цагт бид үйлчлүүлэгчийн шаардлагын улмаас үүссэн цоорхойг эмх замбараагүй хааж байгаагаа ойлгосон. Тэр болгондоо бид шинэ бодлого, шийдлүүдийг гаргаж ирдэг. Эцэст нь бид үйл явцыг системчлэх нь илүү хялбар байх болно гэсэн дүгнэлтэд хүрсэн бөгөөд энэ нь ирээдүйд маш их хөдөлмөрийн зардлыг хэмнэх болно. Энэхүү стандарт нь энэ ажлыг хялбарчлах зорилготой байв.
Одоо, хоёр жилийн дараа бид олон улсын томоохон үйлчлүүлэгчдээс энэ асуудлыг сонирхож буй хүсэлт, хүсэлтийн тоо өсөх хандлагатай байгааг харж байна.
Эцсийн шийдвэр.
Эцэст нь хэлэхэд, манай салбарын тэргүүлэгчид ISO/IEC 27001 гэрчилгээ авсан нь бусад бүх томоохон үйлчилгээ үзүүлэгчдийг (биднийг оролцуулаад) энэ асуудлын талаар бодоход хүргэсэн гэдгийг хэлмээр байна. Компанийн маркетингийн материалууд - вэбсайт, нийгмийн сүлжээ, сурталчилгааны товхимол гэх мэт сайхан шугамууд нь эргэлзээгүй. - Таатай урамшуулал гэж үзэж болох ч үүнд маш их хөрөнгө зарцуулах нь зүйтэй болов уу? Бидний хувьд энэ бол зүгээр нэг сайхан шугамаас илүү зүйл гэж бид өөрсдөө шийдэж, энэ төсөлд хамрагдсан.
Эх сурвалж: www.habr.com