د بدلون لپاره د احساساتي غبرګون څلورم پړاو خپګان دی. پدې مقاله کې به موږ تاسو ته د خورا اوږدې او ناخوښه مرحلې څخه د تیریدو زموږ تجربې په اړه ووایو - د ISO 27001 معیار سره د دوی موافقت ترلاسه کولو لپاره د شرکت سوداګرۍ پروسو کې د بدلونونو په اړه.
انتظار
لومړۍ پوښتنه چې موږ د تصدیق کونکي ادارې او مشاور له ټاکلو وروسته له ځانه وپوښتل دا وه چې موږ به واقعیا څومره وخت ته اړتیا ولرو چې ټول اړین بدلونونه رامینځته کړو؟
لومړني کاري پلان په داسې ډول ترتیب شوی و چې موږ یې باید په دریو میاشتو کې بشپړ کړو.
هرڅه ساده ښکاري: دا اړینه وه چې یو څو درجن پالیسي ولیکو او زموږ داخلي پروسې یو څه بدل کړو؛ بیا د بدلونونو په اړه همکارانو ته روزنه ورکړئ او نور 3 میاشتې انتظار وکړئ (د دې لپاره چې "ریکارډونه" ښکاره شي، دا د پالیسیو د فعالیت ثبوت دی). داسې بریښي چې دا ټول وو - او سند زموږ په جیب کې و.
سربیره پردې، موږ له پیل څخه پالیسي نه لیکو - په هرصورت، موږ یو مشاور درلود، لکه څنګه چې موږ فکر کاوه، باید موږ ته ټول "سمه" ټیمپلیټونه راکړي.
د دې پایلو په پایله کې، موږ د هرې پالیسۍ چمتو کولو لپاره 3 ورځې ځانګړې کړې.
تخنیکي بدلونونه هم ستونزمن نه ښکاري: دا اړینه وه چې د پیښو راټولول او ذخیره کول تنظیم کړئ، وګورئ چې آیا بیک اپ د هغه پالیسۍ سره سمون لري چې موږ یې لیکلي، دفترونه د لاسرسي کنټرول سیسټمونو سره بیا تنظیم کړئ چیرې چې اړتیا وي، او یو څو نور کوچني شیان .
هغه ټیم چې د تصدیق لپاره اړین هرڅه چمتو کوي دوه کسان درلودل. موږ پلان درلود چې دوی به د دوی د اصلي مسؤلیتونو سره په موازي ډول پلي کولو کې ښکیل وي، او دا به هر یو په ورځ کې 1,5-2 ساعته وخت ونیسي.
د لنډیز لپاره، موږ کولی شو ووایو چې د راتلونکي کاري ساحې په اړه زموږ نظر خورا خوشبین و.
حقیقت
په واقعیت کې، هرڅه په طبیعي ډول توپیر درلود: د مشاور لخوا چمتو شوي پالیسي ټیمپلیټونه زموږ شرکت ته د تطبیق وړ ندي؛ په انټرنیټ کې تقریبا هیڅ روښانه معلومات شتون نلري چې څه او څنګه یې وکړي. لکه څنګه چې تاسو تصور کولی شئ، "په 3 ورځو کې د یوې پالیسۍ لیکلو" پالن په بده توګه ناکام شو. نو موږ د پروژې له پیل څخه د نیټې نیټې پوره کول بند کړل، او زموږ مزاج ورو ورو په خرابیدو پیل شو.
د ټیم تخصص په ناورین سره کوچنی و - دومره ډیر چې دا حتی کافي نه و چې مشاور ته سمې پوښتنې وکړي (څوک چې په لاره کې ډیر نوښت نه و ښودلی). کارونه نور هم ورو روان شول، د تطبیق له پیل څخه 3 میاشتې وروسته (دا په داسې حال کې چې هر څه باید چمتو شوي وي)، د دوو کلیدي ګډون کوونکو څخه یو یې ټیم پریښود. هغه د معلوماتي ټکنالوجۍ خدماتو نوي مشر لخوا ځای په ځای شوی و، کوم چې باید ژر تر ژره د پلي کولو پروسه بشپړه کړي او د معلوماتو امنیت مدیریت سیسټم چمتو کړي چې د تخنیکي نظر څخه هرڅه اړین وي. دنده ستونزمنه ښکاریده ... هغه کسان چې په غاړه کې وو خپګان پیل کړ.
برسېره پر دې، د مسلې تخنیکي اړخ هم "نورونه" لري. موږ د نړیوال سافټویر عصري کولو دندې سره مخ یو چې دواړه په کاري سټیشنونو او سرور تجهیزاتو کې. پداسې حال کې چې د پیښو راټولولو لپاره سیسټم تنظیم کول (لاګ)، دا معلومه شوه چې موږ د سیسټم نورمال فعالیت لپاره کافي هارډویر سرچینې نلرو. او د بیک اپ سافټویر هم عصري کولو ته اړتیا لري.
سپوئلر: د پایلې په توګه، ISMS په 6 میاشتو کې په زړورتیا سره پلي شو. او هیڅوک هم مړ نه شو!
څه شی ډیر بدل شوی؟
البته، د معیار پلي کولو په جریان کې، د شرکت په پروسو کې لوی شمیر کوچني بدلونونه رامنځته شوي. موږ ستاسو لپاره خورا مهم بدلونونه روښانه کړي دي:
- د خطر ارزونې پروسې رسمي کول
مخکې، شرکت د خطر ارزونې رسمي پروسه نه درلوده - دا یوازې د عمومي ستراتیژیک پلان کولو برخې په توګه په تیریدو سره ترسره کیده. د تصدیق برخې په توګه حل شوي یو له خورا مهم کارونو څخه د شرکت د خطر ارزونې پالیسي پلي کول و ، کوم چې د دې پروسې ټولې مرحلې او د هرې مرحلې مسؤل اشخاص بیانوي.
- د لرې کولو وړ ذخیره کولو میډیا کنټرول
د سوداګرۍ لپاره یو له پام وړ خطرونو څخه د نه کوډ شوي USB فلش ډرایو کارول و: په حقیقت کې ، هر کارمند کولی شي هغه ته په فلش ډرایو کې موجود معلومات ولیکي او په غوره توګه یې له لاسه ورکړي. د تصدیق د یوې برخې په توګه، په فلش ډرایو کې د هر ډول معلوماتو ډاونلوډ کولو وړتیا د کارمندانو په ټولو کارځایونو کې غیر فعاله شوې وه - د معلوماتو ثبت کول یوازې د معلوماتي ټکنالوجۍ څانګې ته د غوښتنلیک له لارې ممکن شوي.
- د سوپر کارونکي کنټرول
یو له اصلي ستونزو څخه دا حقیقت و چې د آی ټي ډیپارټمنټ ټول کارمندانو د شرکت په ټولو سیسټمونو کې مطلق حق درلود - دوی ټولو معلوماتو ته لاسرسی درلود. په ورته وخت کې، هیڅوک دوی په ریښتیا نه کنټرولوي.
موږ د ډیټا له لاسه ورکولو مخنیوي (DLP) سیسټم پلي کړی - د کارمندانو کړنو نظارت لپاره یو برنامه چې د خطرناکو او غیر تولیدي فعالیتونو په اړه تحلیلونه ، بلاکونه او خبرداری ورکوي. اوس د آی ټي ډیپارټمنټ کارمندانو د کړنو په اړه خبرتیاوې د شرکت عملیاتي رییس بریښنالیک ته لیږل کیږي.
- د معلوماتو زیربنا تنظیم کولو لپاره چلند
تصدیق نړیوال بدلونونه او طریقې ته اړتیا لري. هو، موږ باید د زیاتوالي له امله د سرور یو شمیر تجهیزات لوړ کړو. په ځانګړې توګه، موږ د پیښو راټولولو سیسټمونو لپاره جلا سرور وقف کړی دی. سرور د لوی او ګړندي SSD ډرایو سره مجهز و. موږ د بیک اپ سافټویر پریښود او د ذخیره کولو سیسټمونو لپاره مو غوره کړه چې ټول اړین فعالیت لري د بکس څخه بهر. موږ د "کوډ په توګه زیربنا" مفهوم ته څو لوی ګامونه پورته کړل، کوم چې موږ ته اجازه راکړه چې د ډیری سرورونو بیک اپ له مینځه وړلو سره د ډیسک ډیری ځای خوندي کړو. په لنډ ممکن وخت کې (1 اونۍ)، د کار سټیشنونو ټول سافټویر Win10 ته لوړ شوی. یو له هغه مسلو څخه چې عصري کول یې حل کړي د کوډ کولو وړتیا وه (په پرو نسخه کې).
- د کاغذي اسنادو کنټرول
شرکت د کاغذي اسنادو کارولو سره د پام وړ خطرونه درلودل: دوی کولی شي ورک شي، په غلط ځای کې پاتې شي، یا په ناسم ډول ویجاړ شي. د دې خطر د کمولو لپاره، موږ ټول کاغذي اسناد د محرمیت د کچې سره سم په نښه کړي او د اسنادو د مختلفو ډولونو له منځه وړلو لپاره مو یوه کړنلاره جوړه کړې ده. اوس، کله چې یو کارمند یو فولډر پرانیزي یا یو سند اخلي، هغه دقیقا پوهیږي چې دا معلومات په کوم کټګورۍ کې راځي او څنګه یې اداره کوي.
- د بیک اپ ډیټا مرکز کرایه کول
پخوا، د شرکت ټول معلومات د دریمې ډلې خوندي ډیټا مرکز کې موقعیت لرونکي سرورونو کې زیرمه شوي و. په هرصورت، پدې ډیټا مرکز کې هیڅ بیړني پروسیجرونه شتون نلري. د حل لاره دا وه چې د بیک اپ کلاوډ ډیټا مرکز کرایه کړئ او هلته خورا مهم معلومات بیک اپ کړئ. اوس مهال، د شرکت معلومات په دوو جغرافیایي لیرې پرتو مرکزونو کې زیرمه شوي، کوم چې د ضایع کیدو خطر کموي.
- د سوداګرۍ دوام ازموینه
زموږ شرکت د څو کلونو راهیسې د سوداګرۍ دوام پالیسي (BCP) لري ، کوم چې تشریح کوي چې کارمندان باید په مختلف منفي سناریو ګانو کې څه وکړي (دفتر ته د لاسرسي له لاسه ورکول ، وبا ، د بریښنا بندیدل او داسې نور). په هرصورت، موږ هیڅکله د دوام ازموینه نه ده ترسره کړې - دا دی، موږ هیڅکله دا اندازه نه ده کړې چې په دې هر حالت کې د سوداګرۍ بیرته راګرځولو لپاره څومره وخت نیسي. د تصدیق پلټنې لپاره چمتووالي کې ، موږ نه یوازې دا کار کړی ، بلکه د راتلونکي کال لپاره د سوداګرۍ دوام ازموینې پلان هم رامینځته کړی. د یادولو وړ ده چې یو کال وروسته کله چې موږ په بشپړ ډول لرې پرتو کارونو ته د تګ له اړتیا سره مخ شو، موږ دا کار په دریو ورځو کې بشپړ کړ.
دا مهمه ده چې یادونه وشي، دا چې ټول شرکتونه چې د تصدیق لپاره چمتو کوي مختلف پیل شرایط لري - له همدې امله ، ستاسو په قضیه کې ، ممکن په بشپړ ډول مختلف بدلونونو ته اړتیا وي.
د بدلونونو په اړه د کارمندانو غبرګون
په عجیبه توګه - دلته موږ ترټولو بد تمه درلوده - دا دومره بد نه وګرځید. دا نشي ویل کیدی چې همکارانو په خورا لیوالتیا سره د تصدیق خبر ترلاسه کړی ، مګر لاندې روښانه وو:
- ټول کلیدي کارمندان د دې پیښې په اهمیت او لازميتوب پوهیدل؛
- نور ټول کارمندان کلیدي کارمندانو ته ګوري.
البته، زموږ د صنعت ځانګړتیاوو له موږ سره ډیره مرسته وکړه - د محاسبې د کارونو بهر کول. زموږ د کارمندانو لوی اکثریت د روسیې په قانون کې د دوامداره بدلونونو سره ښه مقابله کوي. په دې اساس، د څو درجن نویو مقرراتو معرفي کول چې اوس باید مشاهده شي د دوی لپاره عادي خبره نه وه.
موږ د خپلو ټولو کارمندانو لپاره نوي لازمي ISO 27001 روزنه او ازموینه چمتو کړې. هر چا په اطاعت سره د خپلو مانیټورونو څخه د پاسورډونو سره چپکشي نوټونه لرې کړل او د اسنادو ډک میزونه یې پاک کړل. هیڅ لوړ نا رضایتی ندی لیدل شوی - په عموم کې، موږ د خپلو کارمندانو سره ډیر خوشحاله وو.
په دې توګه، موږ ترټولو دردناک مرحله تیره کړې - "خپګان" - زموږ د سوداګرۍ پروسو کې د بدلونونو سره تړاو لري. دا سخت او ستونزمن و، مګر په پایله کې پایله زموږ د ټولو وحشي تمو څخه ډیره شوه.
د لړۍ پخواني توکي ولولئ:
د ISO/IEC 5 تصدیق ناگزیر کیدو 27001 مرحلې. خپګان.
د ISO/IEC 5 تصدیق ناگزیر کیدو 27001 مرحلې. د منلو.
سرچینه: www.habr.com