Når de tar en strategisk viktig beslutning for selskapet, går ansatte gjennom en grunnleggende forsvarsmekanisme, kjent som de 5 stadiene for å reagere på endringer (av E. Kübler-Ross). En eminent psykolog beskrev en gang følelsesmessige reaksjoner, og fremhevet 5 viktige stadier av følelsesmessig respons: fornektelse, vrede, handel, depresjon og til slutt Adopsjon. Vi har utarbeidet en serie artikler dedikert til ISO 27001-sertifisering, hvor vi skal se på hvert av stadiene. I dag skal vi snakke om den første av dem - fornektelse.
Å få et ISO 27001-sertifikat "for show" er en svært tvilsom glede, fordi det krever lang og kostbar forberedelse. Dessuten, som det viser , denne standarden er ekstremt upopulær i den russiske føderasjonen: til dags dato har bare 70 selskaper blitt sertifisert for samsvar. Samtidig er dette en av de mest populære standardene i utlandet, og møter de økende kravene fra virksomheten innen informasjonssikkerhet.
Vårt firma tilbyr et komplett spekter av outsourcingtjenester for regnskapsfunksjoner: regnskap og skatteregnskap, lønn og personaladministrasjon. Vi inntar en av de ledende markedsposisjonene, spesielt på grunn av det faktum at utenlandske selskaper med filialer i Russland stoler på oss med deres konfidensielle informasjon. Dette gjelder ikke bare våre kunders økonomiske prosesser, men også personopplysningene vi jobber med til daglig. I denne forbindelse er spørsmålet om informasjonssikkerhet en av våre prioriteringer.
Ofte blir alle forretningsprosesser til russiske divisjoner kontrollert og deklarert av hovedkontorene til utenlandske selskaper, og derfor må de overholde konserninterne standarder. Nylig har noen av våre nøkkelkunder begynt å revidere sikkerhetspolicyene sine i retning av å stramme dem inn. Dette skyldes selvsagt globale trender i økende antall cyberangrep og tap knyttet til hendelser med brudd på informasjonssikkerhet Hvis det er nødvendig å implementere beskyttelsestiltak, policyer og prosedyrer rettet mot å øke selskapets informasjonssikkerhet, kan du klare deg uten ISO /IEC 27001-sertifisering, sparer dermed mye penger, tid og nerver.
I dag har krav til eksisterende informasjonssikkerhet i selskapet begynt å dukke opp i anbud fra utenlandske kunder. Noen, for å forenkle verifiseringen og forene tilnærmingen, setter et obligatorisk evalueringskriterium - tilstedeværelsen av ISO/IEC 27001-sertifisering.
Her er hva vi har sett: En av våre viktigste internasjonale kunder sertifisert etter denne standarden ser ut til å ha styrket sitt globale informasjonssikkerhetsteam betydelig. Hvordan visste vi om dette? De bestemte seg for å revidere vårt styringssystem for informasjonssikkerhet, fordi vi gir dem regnskapstjenester og personaladministrasjon – og følgelig er sikkerheten til informasjonssystemene våre svært viktig for dem. Forrige tilsyn fant sted for 3 år siden - den gang gikk alt ganske smertefritt.
Denne gangen angrep et vennlig team med indianere oss, og avdekket på en behendig måte flere dusin mangler i sikkerhetsstyringssystemet vårt. Tilsynsprosessen lignet på hjulet til Samsara – det så ut til at de i prinsippet ikke hadde noe mål om å nå noe endelig punkt som en del av tilsynet. Det var en endeløs rekke av spørsmål, kommentarer, våre kommentarer og bevis på deres virkelighet, konferansesamtaler og lange filosofiske samtaler i forsøk på å gjenkjenne aksenten til kundens IT-sikkerhetsteam. Tilsynet fortsetter forøvrig med varierende grad av intensitet den dag i dag – over tid har vi kommet over dette. Dermed har behovet for sertifisering oppstått av seg selv.
Kanskje vi kan nøye oss med ISO 9001?
Alle som er mer eller mindre kunnskapsrike i spørsmålet om sertifisering i henhold til noen av ISO-standardene forstår at grunnlaget for hver av dem er ISO 9001 "Quality Management System"-sertifikatet. Dette er kanskje det mest populære sertifikatet for øyeblikket i hele serien av ISO-standarder. Vi hadde det ikke – og vi bestemte oss for ikke å få det. Det var flere årsaker til dette:
- den tvilsomme økonomiske effektiviteten til selskapet som har dette sertifikatet;
- våre interne prosesser, for det meste, var allerede nær denne standarden;
- Å få dette sertifikatet vil kreve ekstra tid og penger.
Derfor bestemte vi oss for å implementere ISO 27001 umiddelbart, uten å begynne med den "lettere" 9001.
Eller kanskje det fortsatt ikke er nødvendig?
Ser vi fremover har vi mange ganger vendt tilbake til spørsmålet om det er lurt å skaffe det. Vi begynte å studere saken fra alle kanter, for vi hadde absolutt ingen kompetanse. Og her er misoppfatningene som fikk oss til å tenke på denne saken igjen.
Misforståelse #1.
Vi håpet at standarden ville gi oss en detaljert sjekkliste, en liste over retningslinjer og andre lovpålagte dokumenter. I realiteten viste det seg at ISO/IEC 27001 er et sett med krav til selve styringssystemet for informasjonssikkerhet og prosessen som bygges. Basert på dem var det nødvendig å selvstendig bestemme hva som skulle skrives/implementeres i vårt selskap for å overholde kravene i standarden.
Misforståelse #2.
Vi trodde oppriktig at det ville være nok for oss å studere ett dokument og implementere det på relativt kort tid på egen hånd. I virkeligheten, mens vi leste dokumentet, innså vi hvor mange relaterte standarder vår standard "klamrer seg til", hvor mange standarder vi trenger å bli kjent med (i det minste overfladisk). "Kirsebæret" på kaken var mangelen på gjeldende standardtekster i det offentlige domene - de måtte kjøpes på det offisielle ISO-nettstedet.
Misforståelse #3.
Vi var sikre på at vi ville finne alt vi trengte for å forberede oss til sertifisering i åpne kilder. Det var faktisk ganske mye materiale om ISO 27001 på Internett, men det manglet heller detaljer. Det var praktisk talt ingen enkle å forstå trinnvise instruksjoner for forberedelse til sertifisering, så vel som reelle tilfeller av selskaper som hadde implementert denne standarden.
Misforståelse #4.
Vi skal skrive retningslinjer, men de vil ikke fungere! Vel, det er sant, selskapet vårt har allerede for mange regler, ingen vil overholde ytterligere 3 dusin nye retningslinjer. I virkeligheten tok heldigvis våre ansatte oppgaven med å mestre de nye reglene på en ansvarlig måte og bestod tester for kunnskap om dokumenter i styringssystem for informasjonssikkerhet.
Misforståelse #5.
På det tidspunktet kunne vi ikke klart vurdere hvilket utbytte vi ville få av vår innsats. På den tiden var ikke antallet forespørsler om dette sertifikatet så stort, og vi hadde vår viktigste og mest krevende klient lenge før sertifiseringen. Erfaring viste at vi klarte oss uten standard.
På et tidspunkt innså vi at vi kaotisk lukket et eller annet nye gap på grunn av kundens krav. Hver gang kom vi opp med noen nye retningslinjer eller løsninger. Og til slutt kom vi uavhengig til den konklusjon at det ville være mye lettere å systematisere prosessen, noe som til og med ville spare oss for mange arbeidskostnader i fremtiden. Standarden var ment å forenkle denne oppgaven.
Nå, to år senere, ser vi en økende trend i antall forespørsler og interesse for denne saken fra store internasjonale kunder.
Siste avgjørelse.
Avslutningsvis vil vi si at våre bransjeledere har mottatt ISO/IEC 27001-sertifisering, som har tvunget alle andre store leverandører (inkludert oss) til å tenke på dette problemet. Utvilsomt en vakker linje i selskapets markedsføringsmateriell - på nettstedet, på sosiale nettverk, i reklamebrosjyrer, etc. – kan betraktes som en hyggelig bonus, men er det verdt å bruke så mye ressurser på det? Vi bestemte selv at for oss er dette mer enn bare en vakker linje, og vi ble involvert i dette prosjektet.
Kilde: www.habr.com