Apabila membuat sebarang keputusan penting secara strategik untuk syarikat, pekerja melalui mekanisme pertahanan asas, yang dikenali sebagai 5 peringkat bertindak balas terhadap perubahan (oleh E. KΓΌbler-Ross). Seorang ahli psikologi terkenal pernah menerangkan reaksi emosi, menonjolkan 5 peringkat utama tindak balas emosi: penafian, kemarahan, tawar menawar, kemurungan dan akhirnya, Adopsi. Kami telah menyediakan satu siri artikel khusus untuk pensijilan ISO 27001, di mana kami akan melihat setiap peringkat. Hari ini kita akan bercakap tentang yang pertama daripada mereka - penafian.
Mendapatkan sijil ISO 27001 "untuk pertunjukan" adalah keseronokan yang sangat meragukan, kerana ia memerlukan penyediaan yang panjang dan mahal. Lebih-lebih lagi, seperti yang ditunjukkan , piawaian ini amat tidak popular di Persekutuan Rusia: sehingga kini, hanya 70 syarikat telah disahkan pematuhan. Pada masa yang sama, ini adalah salah satu piawaian paling popular di luar negara, memenuhi permintaan perniagaan yang semakin meningkat dalam bidang keselamatan maklumat.
Syarikat kami menyediakan rangkaian penuh perkhidmatan penyumberan luar untuk fungsi perakaunan: perakaunan perakaunan dan cukai, senarai gaji dan pentadbiran kakitangan. Kami menduduki salah satu kedudukan pasaran terkemuka, khususnya disebabkan fakta bahawa syarikat asing yang mempunyai cawangan di Rusia mempercayai kami dengan maklumat sulit mereka. Ini terpakai bukan sahaja pada proses kewangan pelanggan kami, tetapi juga pada data peribadi yang kami bekerjasama setiap hari. Dalam hal ini, isu keselamatan maklumat adalah salah satu keutamaan kami.
Selalunya, semua proses perniagaan bahagian Rusia dikawal dan diisytiharkan oleh ibu pejabat syarikat asing, dan oleh itu mereka mesti mematuhi piawaian keseluruhan kumpulan dalaman. Baru-baru ini, beberapa pelanggan utama kami telah mula menyemak semula dasar keselamatan mereka ke arah mengetatkan mereka. Sudah tentu, ini disebabkan oleh trend global dalam peningkatan jumlah serangan siber dan kerugian yang berkaitan dengan insiden pelanggaran keselamatan maklumat. Jika perlu untuk melaksanakan langkah perlindungan, dasar dan prosedur yang bertujuan untuk meningkatkan keselamatan maklumat syarikat, anda boleh melakukannya tanpa ISO Pensijilan /IEC 27001, dengan itu menjimatkan banyak wang, masa dan saraf.
Hari ini, keperluan untuk keselamatan maklumat sedia ada dalam syarikat telah mula muncul dalam tender daripada pelanggan asing. Sesetengah, untuk memudahkan pengesahan mereka dan menyatukan pendekatan, menetapkan kriteria penilaian mandatori - kehadiran pensijilan ISO/IEC 27001.
Inilah yang kami lihat: Salah seorang pelanggan antarabangsa utama kami yang diperakui dengan piawaian ini nampaknya telah mengukuhkan pasukan keselamatan maklumat globalnya dengan ketara. Bagaimana kita tahu tentang ini? Mereka memutuskan untuk mengaudit sistem pengurusan keselamatan maklumat kami, kerana kami menyediakan perkhidmatan perakaunan dan pentadbiran kakitangan kepada mereka - dan, oleh itu, keselamatan sistem maklumat kami adalah sangat penting bagi mereka. Pengauditan sebelum ini berlaku 3 tahun yang lalu - masa itu semuanya berjalan dengan agak tidak menyakitkan.
Kali ini, pasukan India yang mesra menyerang kami, dengan cekap mencungkil beberapa dozen kelemahan dalam sistem pengurusan keselamatan kami. Proses audit menyerupai roda Samsara - nampaknya pada dasarnya mereka tidak mempunyai matlamat untuk mencapai sebarang titik akhir sebagai sebahagian daripada audit. Ia adalah rentetan soalan, komen, ulasan kami dan bukti realiti mereka, panggilan persidangan dan perbualan falsafah yang panjang dalam percubaan untuk mengenali loghat pasukan keselamatan IT pelanggan. Ngomong-ngomong, audit diteruskan dengan tahap intensiti yang berbeza-beza hingga ke hari ini - dari masa ke masa, kami telah bersetuju dengan perkara ini. Oleh itu, keperluan untuk pensijilan telah timbul dengan sendirinya.
Mungkin kita boleh buat dengan ISO 9001?
Setiap orang yang lebih atau kurang arif dalam isu pensijilan mengikut mana-mana piawaian ISO memahami bahawa asas bagi setiap daripadanya ialah sijil "Sistem Pengurusan Kualiti" ISO 9001. Ini mungkin sijil paling popular pada masa ini dalam keseluruhan barisan piawaian ISO. Kami tidak memilikinya - dan kami memutuskan untuk tidak mendapatkannya. Terdapat beberapa sebab untuk ini:
- kecekapan ekonomi yang boleh dipersoalkan syarikat yang mempunyai sijil ini;
- proses dalaman kami, sebahagian besarnya, sudah hampir dengan piawaian ini;
- Mendapatkan sijil ini memerlukan masa dan wang tambahan.
Sehubungan itu, kami memutuskan untuk melaksanakan ISO 27001 dengan segera, tanpa bermula dengan "pemetik api" 9001.
Atau mungkin masih tidak perlu?
Memandang ke hadapan, kami telah kembali berkali-kali kepada persoalan sama ada dinasihatkan untuk mendapatkannya. Kami mula mengkaji isu ini dari semua pihak, kerana kami langsung tidak mempunyai kepakaran. Dan inilah salah tanggapan yang membuatkan kita berfikir tentang isu ini sekali lagi.
Salah tanggapan #1.
Kami berharap piawaian itu akan memberikan kami senarai semak terperinci, senarai dasar dan dokumen berkanun lain. Pada hakikatnya, ternyata ISO/IEC 27001 adalah satu set keperluan untuk sistem pengurusan keselamatan maklumat itu sendiri dan proses yang sedang dibina. Berdasarkan mereka, adalah perlu untuk memutuskan secara bebas apa yang perlu ditulis/dilaksanakan dalam syarikat kami untuk mematuhi keperluan piawaian.
Salah tanggapan #2.
Kami benar-benar percaya bahawa sudah cukup untuk kami mengkaji satu dokumen dan melaksanakannya dalam masa yang agak singkat sendiri. Pada hakikatnya, semasa membaca dokumen itu, kami menyedari berapa banyak piawaian yang berkaitan dengan piawaian kami yang "berpaut", berapa banyak piawaian yang perlu kami kenali (sekurang-kurangnya secara cetek). "Ceri" pada kek adalah kekurangan teks piawaian semasa dalam domain awam - mereka perlu dibeli di laman web rasmi ISO.
Salah tanggapan #3.
Kami yakin bahawa kami akan menemui semua yang kami perlukan untuk menyediakan pensijilan dalam sumber terbuka. Sememangnya terdapat banyak bahan mengenai ISO 27001 di Internet, tetapi ia agak kurang spesifik. Hampir tiada arahan langkah demi langkah yang mudah difahami untuk penyediaan pensijilan, serta kes sebenar syarikat yang telah melaksanakan piawaian ini.
Salah tanggapan #4.
Kami akan menulis dasar, tetapi ia tidak akan berfungsi! Memang benar, syarikat kami sudah mempunyai terlalu banyak peraturan, tiada siapa yang akan mematuhi 3 dozen polisi baharu yang lain. Sebenarnya, nasib baik, pekerja kami mengambil tugas untuk menguasai peraturan baharu dengan penuh tanggungjawab dan berjaya lulus ujian untuk pengetahuan tentang dokumen sistem pengurusan keselamatan maklumat.
Salah tanggapan #5.
Pada masa itu, kami tidak dapat menilai dengan jelas apakah faedah yang akan kami perolehi daripada usaha kami. Pada masa itu, bilangan permintaan untuk sijil ini tidak begitu besar, dan kami mempunyai pelanggan utama dan paling menuntut kami lama sebelum pensijilan. Pengalaman menunjukkan bahawa kami berjaya tanpa standard.
Pada satu ketika, kami menyedari bahawa kami menutup satu atau satu lagi jurang yang muncul secara kelam-kabut disebabkan oleh keperluan pelanggan. Setiap kali kami menghasilkan beberapa dasar atau penyelesaian baharu. Dan kami akhirnya secara bebas membuat kesimpulan bahawa lebih mudah untuk mensistematikkan proses, yang bahkan akan menjimatkan banyak kos buruh pada masa hadapan. Standard ini bertujuan untuk memudahkan tugas ini.
Kini, dua tahun kemudian, kami melihat trend yang semakin meningkat dalam bilangan permintaan dan minat dalam isu ini daripada pelanggan antarabangsa utama.
Keputusan terakhir.
Sebagai kesimpulan, kami ingin mengatakan bahawa peneraju industri kami telah menerima pensijilan ISO/IEC 27001, yang telah memaksa semua penyedia utama lain (termasuk kami) untuk memikirkan isu ini. Tidak dinafikan, garis yang indah dalam bahan pemasaran syarikat - di laman web, di rangkaian sosial, dalam risalah pengiklanan, dsb. β boleh dianggap sebagai bonus yang menyenangkan, tetapi adakah ia berbaloi untuk membelanjakan begitu banyak sumber untuknya? Kami memutuskan untuk diri kami sendiri bahawa bagi kami ini lebih daripada sekadar garis yang indah, dan kami terlibat dalam projek ini.
Sumber: www.habr.com