Peringkat keempat tindak balas emosi terhadap perubahan ialah kemurungan. Dalam artikel ini, kami akan memberitahu anda tentang pengalaman kami melalui peringkat yang paling berlarutan dan tidak menyenangkan - tentang perubahan dalam proses perniagaan syarikat untuk mencapai pematuhannya dengan piawaian ISO 27001.
Menunggu
Soalan pertama yang kami tanyakan kepada diri sendiri selepas memilih badan persijilan dan perunding ialah berapa banyak masa yang kami perlukan untuk membuat semua perubahan yang diperlukan?
Pelan kerja awal telah dijadualkan sedemikian rupa sehingga kami terpaksa menyiapkannya dalam masa 3 bulan.
Segala-galanya kelihatan mudah: adalah perlu untuk menulis beberapa dozen dasar dan sedikit mengubah proses dalaman kami; kemudian latih rakan sekerja tentang perubahan dan tunggu 3 bulan lagi (supaya "rekod" muncul, iaitu bukti fungsi dasar). Nampaknya itu sahaja - dan sijil itu ada di dalam poket kami.
Di samping itu, kami tidak akan menulis dasar dari awal - lagipun, kami mempunyai perunding yang, seperti yang kami fikirkan, sepatutnya memberi kami semua templat "betul".
Hasil daripada kesimpulan ini, kami memperuntukkan 3 hari untuk menyediakan setiap polisi.
Perubahan teknikal juga tidak kelihatan menakutkan: adalah perlu untuk menyediakan pengumpulan dan penyimpanan acara, periksa sama ada sandaran mematuhi dasar yang kami tulis, pasang semula pejabat dengan sistem kawalan akses jika perlu, dan beberapa perkara kecil lain .
Pasukan yang menyediakan segala yang diperlukan untuk pensijilan terdiri daripada dua orang. Kami merancang bahawa mereka akan terlibat dalam pelaksanaan selari dengan tanggungjawab utama mereka, dan ini akan mengambil setiap daripada mereka maksimum 1,5-2 jam sehari.
Untuk meringkaskan, kita boleh mengatakan bahawa pandangan kita tentang skop kerja yang akan datang agak optimistik.
Realiti
Pada hakikatnya, semuanya berbeza secara semula jadi: templat dasar yang disediakan oleh perunding ternyata kebanyakannya tidak terpakai kepada syarikat kami; Hampir tiada maklumat yang jelas di Internet tentang apa dan bagaimana untuk dilakukan. Seperti yang anda boleh bayangkan, rancangan untuk "menulis satu dasar dalam 3 hari" gagal dengan teruk. Jadi kami berhenti memenuhi tarikh akhir hampir dari awal projek, dan mood kami mula perlahan-lahan jatuh.
Kepakaran pasukan adalah sangat kecil - sehingga tidak cukup untuk bertanya soalan yang betul kepada perunding (yang, dengan cara itu, tidak menunjukkan banyak inisiatif). Perkara mula bergerak lebih perlahan, sejak 3 bulan selepas permulaan pelaksanaan (iaitu, pada masa ini apabila segala-galanya sepatutnya sudah siap), salah seorang daripada dua peserta utama meninggalkan pasukan. Dia digantikan oleh ketua perkhidmatan IT yang baharu, yang perlu menyelesaikan proses pelaksanaan dengan cepat dan menyediakan sistem pengurusan keselamatan maklumat dengan segala yang paling diperlukan dari sudut teknikal. Tugas itu kelihatan sukar... Pihak yang bertanggungjawab mula tertekan.
Di samping itu, bahagian teknikal isu itu juga ternyata mempunyai "nuansa". Kami berhadapan dengan tugas pemodenan perisian global pada stesen kerja dan pada peralatan pelayan. Semasa menyediakan sistem untuk mengumpul peristiwa (log), ternyata kami tidak mempunyai sumber perkakasan yang mencukupi untuk fungsi normal sistem. Dan perisian sandaran juga memerlukan pemodenan.
Spoiler: Akibatnya, ISMS telah dilaksanakan secara heroik dalam masa 6 bulan. Dan tiada seorang pun yang mati!
Apa yang paling berubah?
Sudah tentu, semasa pelaksanaan piawaian, sejumlah besar perubahan kecil berlaku dalam proses syarikat. Kami telah menyerlahkan perubahan paling ketara untuk anda:
- Memformalkan proses penilaian risiko
Sebelum ini, syarikat tidak mempunyai proses penilaian risiko formal - ia hanya dilakukan secara sepintas lalu sebagai sebahagian daripada perancangan strategik keseluruhan. Salah satu tugas paling penting yang diselesaikan sebagai sebahagian daripada pensijilan ialah pelaksanaan Dasar Penilaian Risiko syarikat, yang menerangkan semua peringkat proses ini dan orang yang bertanggungjawab untuk setiap peringkat.
- Kawalan ke atas media storan boleh tanggal
Salah satu risiko penting untuk perniagaan ialah penggunaan pemacu kilat USB yang tidak disulitkan: sebenarnya, mana-mana pekerja boleh menulis sebarang maklumat yang tersedia untuknya pada pemacu kilat dan, paling baik, kehilangannya. Sebagai sebahagian daripada pensijilan, keupayaan untuk memuat turun sebarang maklumat ke pemacu kilat telah dilumpuhkan pada semua stesen kerja pekerja - maklumat rakaman hanya boleh dilakukan melalui aplikasi kepada jabatan IT.
- Kawalan Pengguna Super
Salah satu masalah utama ialah hakikat bahawa semua pekerja jabatan IT mempunyai hak mutlak dalam semua sistem syarikat - mereka mempunyai akses kepada semua maklumat. Pada masa yang sama, tiada siapa yang benar-benar mengawal mereka.
Kami telah melaksanakan sistem Pencegahan Kehilangan Data (DLP) - program untuk memantau tindakan pekerja yang menganalisis, menyekat dan memberi amaran tentang aktiviti berbahaya dan tidak produktif. Kini makluman mengenai tindakan kakitangan jabatan IT dihantar ke alamat e-mel Pengarah Operasi syarikat.
- Pendekatan untuk mengatur infrastruktur maklumat
Pensijilan memerlukan perubahan dan pendekatan global. Ya, kami terpaksa menaik taraf beberapa peralatan pelayan kerana beban yang meningkat. Khususnya, kami telah mendedikasikan pelayan yang berasingan untuk sistem pengumpulan acara. Pelayan dilengkapi dengan pemacu SSD yang besar dan pantas. Kami meninggalkan perisian sandaran dan memilih sistem storan yang mempunyai semua fungsi yang diperlukan di luar kotak. Kami membuat beberapa langkah besar ke arah konsep "infrastruktur sebagai kod", yang membolehkan kami menjimatkan banyak ruang cakera dengan menghapuskan sandaran beberapa pelayan. Dalam masa yang sesingkat mungkin (1 minggu), semua perisian pada stesen kerja telah dinaik taraf kepada Win10. Salah satu isu yang diselesaikan oleh pemodenan ialah keupayaan untuk mendayakan penyulitan (dalam versi Pro).
- Kawalan ke atas dokumen kertas
Syarikat itu mempunyai risiko besar yang berkaitan dengan penggunaan dokumen kertas: mereka boleh hilang, ditinggalkan di tempat yang salah, atau dimusnahkan secara tidak wajar. Untuk meminimumkan risiko ini, kami telah menanda semua dokumen kertas mengikut tahap kerahsiaan dan membangunkan prosedur untuk memusnahkan pelbagai jenis dokumen. Kini, apabila pekerja membuka folder atau mengambil dokumen, dia tahu dengan tepat dalam kategori apa maklumat ini termasuk dan cara mengendalikannya.
- Menyewa pusat data sandaran
Sebelum ini, semua maklumat syarikat disimpan pada pelayan yang terletak di pusat data selamat pihak ketiga. Walau bagaimanapun, tiada prosedur kecemasan dilaksanakan di pusat data ini. Penyelesaiannya adalah dengan menyewa pusat data awan sandaran dan menyandarkan maklumat yang paling penting di sana. Pada masa ini, maklumat syarikat disimpan di dua pusat data terpencil secara geografi, yang meminimumkan risiko kehilangannya.
- Ujian kesinambungan perniagaan
Syarikat kami telah melaksanakan Dasar Kesinambungan Perniagaan (BCP) selama beberapa tahun, yang menerangkan perkara yang perlu dilakukan oleh pekerja dalam pelbagai senario negatif (kehilangan akses ke pejabat, wabak, gangguan bekalan elektrik, dll.). Walau bagaimanapun, kami tidak pernah menjalankan ujian kesinambungan - iaitu, kami tidak pernah mengukur tempoh masa yang diperlukan untuk memulihkan perniagaan dalam setiap situasi ini. Sebagai persediaan untuk audit pensijilan, kami bukan sahaja melakukan ini, tetapi juga membangunkan pelan ujian kesinambungan perniagaan untuk tahun akan datang. Perlu diingat bahawa setahun kemudian, apabila kami berhadapan dengan keperluan untuk beralih sepenuhnya ke kerja jauh, kami menyelesaikan tugas ini dalam masa tiga hari.
Penting untuk diperhatikan, bahawa semua syarikat yang membuat persediaan untuk pensijilan mempunyai syarat permulaan yang berbeza - oleh itu, dalam kes anda, perubahan yang sama sekali berbeza mungkin diperlukan.
Reaksi pekerja terhadap perubahan
Anehnya - di sini kami menjangkakan yang paling teruk - ternyata tidak begitu teruk. Tidak boleh dikatakan bahawa rakan sekerja menerima berita pensijilan dengan penuh semangat, tetapi perkara berikut adalah jelas:
- Semua kakitangan utama memahami kepentingan dan tidak dapat dielakkan acara ini;
- Semua pekerja lain memandang tinggi kepada pekerja utama.
Sudah tentu, spesifikasi industri kami banyak membantu kami - penyumberan luar fungsi perakaunan. Sebilangan besar pekerja kami menghadapi perubahan berterusan dalam perundangan Rusia. Sehubungan itu, pengenalan beberapa dozen peraturan baharu yang kini mesti dipatuhi bukanlah sesuatu yang luar biasa bagi mereka.
Kami telah menyediakan latihan dan ujian ISO 27001 mandatori baharu untuk semua pekerja kami. Semua orang patuh mengeluarkan nota melekit dengan kata laluan dari monitor mereka dan membersihkan meja yang bersepah dengan dokumen. Tiada rasa tidak puas hati yang ketara diperhatikan - secara amnya, kami sangat bertuah dengan pekerja kami.
Oleh itu, kami telah melepasi peringkat yang paling menyakitkan - "kemurungan" - dikaitkan dengan perubahan dalam proses perniagaan kami. Ia sukar dan sukar, tetapi hasilnya pada akhirnya melebihi semua jangkaan kami yang paling liar.
Baca bahan sebelumnya dari siri ini:
5 peringkat pensijilan ISO/IEC 27001 yang tidak dapat dielakkan. Kemurungan.
5 peringkat pensijilan ISO/IEC 27001 yang tidak dapat dielakkan. Anak angkat.
Sumber: www.habr.com