کله چې د شرکت لپاره کومه ستراتیژیکه مهمه پریکړه کوي، کارمندان د یو بنسټیز دفاعي میکانیزم څخه تیریږي، چې د بدلون لپاره د ځواب ورکولو 5 مرحلو په نوم پیژندل کیږي (د E. Kübler-Ross لخوا). یو مشهور ارواپوه یوځل احساساتي غبرګونونه بیان کړل، د احساساتي غبرګون 5 کلیدي مرحلې په ګوته کوي: انکار, غوسه, معامله, خپګان او په نهایت کې د منلو. موږ د ISO 27001 تصدیق لپاره وقف شوي مقالو لړۍ چمتو کړې ، چیرې چې موږ به هر مرحلې وګورو. نن موږ به د دوی د لومړي په اړه خبرې وکړو - انکار.
د "د نندارې لپاره" د ISO 27001 سند ترلاسه کول خورا مشکوک خوښي دي ، ځکه چې دا اوږد او ګران چمتووالي ته اړتیا لري. سربیره پردې، لکه څنګه چې دا ښیي ، دا معیار د روسیې فدراسیون کې خورا مشهور دی: تر نن نیټې پورې ، یوازې 70 شرکتونه د اطاعت لپاره تصدیق شوي. په ورته وخت کې ، دا په بهر کې یو له خورا مشهور معیارونو څخه دی ، د معلوماتو امنیت په برخه کې د سوداګرۍ مخ په ډیریدونکي غوښتنې پوره کوي.
زموږ شرکت د محاسبې دندو لپاره د آوټ سورسنګ خدماتو بشپړ لړۍ چمتو کوي: محاسبه او مالیه محاسبه ، معاش او د پرسونل اداره. موږ د بازار یو له مخکښو پوستونو څخه یو، په ځانګړې توګه د دې حقیقت له امله چې بهرني شرکتونه په روسیه کې څانګې لري د دوی محرم معلوماتو سره موږ باور لري. دا نه یوازې زموږ د پیرودونکو مالي پروسو باندې پلي کیږي ، بلکه هغه شخصي معلوماتو ته هم پلي کیږي چې موږ ورسره هره ورځ کار کوو. په دې برخه کې د معلوماتو د خوندیتوب موضوع زموږ له لومړیتوبونو څخه ده.
ډیری وختونه، د روسیې د ویش ټولې سوداګریزې پروسې د بهرنیو شرکتونو د مرکزي دفترونو لخوا کنټرول او اعلان شوي، او له همدې امله دوی باید د داخلي ګروپ په کچه معیارونو سره مطابقت ولري. په دې وروستیو کې، زموږ ځینو کلیدي پیرودونکو د دوی د ټینګولو په لور د خپلو امنیتي پالیسیو بیاکتنه پیل کړې. البته، دا د سایبر بریدونو په ډیریدونکي شمیر کې د نړیوال رجحاناتو له امله دی او د معلوماتو امنیت سرغړونې پیښو پورې اړوند زیانونه. که چیرې د شرکت د معلوماتو امنیت لوړولو په هدف د محافظت اقداماتو ، پالیسیو او طرزالعملونو پلي کولو ته اړتیا وي ، تاسو کولی شئ پرته له ISO څخه ترسره کړئ. د IEC 27001 تصدیق، په دې توګه ډیرې پیسې، وخت او اعصاب خوندي کوي.
نن ورځ، په شرکت کې د موجوده معلوماتو امنیت اړتیاوې د بهرنیو پیرودونکو په داوطلبۍ کې څرګندیدل پیل شوي. ځینې، د دې لپاره چې د دوی تایید ساده کړي او طریقه متحد کړي، د ارزونې لازمي معیارونه - د ISO/IEC 27001 تصدیق شتون.
دلته هغه څه دي چې موږ لیدلي دي: زموږ یو له کلیدي نړیوالو پیرودونکو څخه چې دې معیار ته تصدیق شوي داسې ښکاري چې د دې نړیوال معلوماتو امنیت ټیم د پام وړ پیاوړی کړی. موږ په دې اړه څنګه پوه شو؟ دوی پریکړه وکړه چې زموږ د معلوماتو امنیت مدیریت سیسټم پلټنه وکړي، ځکه چې موږ دوی ته د محاسبې خدمتونه او د پرسونل اداره چمتو کوو - او په وینا، زموږ د معلوماتو سیسټمونو امنیت د دوی لپاره خورا مهم دی. پخوانۍ پلټنه 3 کاله دمخه ترسره شوې وه - هغه وخت هرڅه په بې دردۍ سره پرمخ تلل.
دا ځل، د هند یوه دوستانه ټیم پر موږ برید وکړ، زموږ د امنیتي مدیریت په سیسټم کې یې څو درجن نیمګړتیاوې رابرسیره کړې. د پلټنې پروسه د سمسارا څرخ سره ورته وه - داسې بریښي چې په اصل کې دوی د پلټنې د یوې برخې په توګه هیڅ وروستي ټکي ته د رسیدو هدف نه درلود. دا د پوښتنو، تبصرو، زموږ نظرونو او د دوی د واقعیت شواهد، د کنفرانس زنګونو او اوږده فلسفي خبرو اترو یو نه ختمیدونکی سلسله وه چې د مراجعینو د معلوماتي ټیکنالوژۍ د امنیت ټیم تلفظ پیژني. په هرصورت، پلټنې تر نن ورځې پورې د مختلفو درجو شدت سره دوام لري - د وخت په تیریدو سره، موږ د دې شرایطو سره مخ شوي یو. پدې توګه ، د تصدیق اړتیا پخپله راپورته شوې.
شاید موږ کولی شو د ISO 9001 سره ترسره کړو؟
هرڅوک چې د ISO معیارونو سره سم د تصدیق کولو په مسله کې لږ یا لږ پوه وي پوهیږي چې د دوی هر یو اساس د ISO 9001 "کیفیت مدیریت سیسټم" سند دی. دا شاید د ISO معیارونو په ټوله لیکه کې دا مهال ترټولو مشهور سند دی. موږ دا نه درلودل - او موږ پریکړه وکړه چې دا ترلاسه نکړو. د دې څو لاملونه وو:
- د دې سند لرونکي شرکت د پوښتنې وړ اقتصادي موثریت؛
- زموږ داخلي پروسې، د ډیری برخې لپاره، دمخه دې معیار ته نږدې وې؛
- د دې سند ترلاسه کول به اضافي وخت او پیسو ته اړتیا ولري.
په دې اساس، موږ پریکړه وکړه چې سمدلاسه ISO 27001 پلي کړو، پرته له دې چې د "لټر" 9001 سره پیل شي.
یا شاید دا لاهم اړین نه وي؟
مخ ته په کتلو سره، موږ ډیری ځله دې پوښتنې ته راستانه شوي یو چې ایا د دې ترلاسه کول مناسب دي. موږ د ټولو اړخونو موضوع مطالعه پیل کړه، ځکه چې موږ په بشپړه توګه هیڅ مهارت نه درلود. او دلته هغه غلط فهمۍ دي چې موږ یې د دې مسلې په اړه یو ځل بیا فکر کولو ته اړ کړل.
غلط فهم #1.
موږ هیله درلوده چې معیار به موږ ته یو مفصل چک لیست، د پالیسیو لیست او نور قانوني اسناد چمتو کړي. په حقیقت کې، دا معلومه شوه چې ISO/IEC 27001 پخپله د معلوماتو امنیت مدیریت سیسټم او پروسې رامینځته کولو لپاره د اړتیاو مجموعه ده. د دوی پراساس ، دا اړینه وه چې په خپلواکه توګه پریکړه وکړو چې زموږ په شرکت کې د معیارونو اړتیاو سره مطابقت لپاره څه ولیکئ / پلي کړئ.
غلط فهم #2.
موږ په صادقانه توګه باور درلود چې دا به زموږ لپاره کافي وي چې یو سند مطالعه کړو او په نسبتا لنډ وخت کې یې پخپله پلي کړو. په حقیقت کې، د سند د لوستلو پر مهال، موږ پوهیږو چې څومره اړوند معیارونه زموږ معیاري "ټینګ" دي، موږ څومره معیارونو ته اړتیا لرو (لږترلږه په سطحي توګه) سره اشنا شو. په کیک کې "چیری" په عامه ډومین کې د اوسني معیاري متنونو نشتوالی و - دوی باید د ISO رسمي ویب پا onه کې وپیرل شي.
غلط فهم #3.
موږ ډاډه یو چې موږ به هرڅه په خلاص سرچینو کې د تصدیق لپاره چمتو کولو ته اړتیا ولرو. په حقیقت کې په انټرنیټ کې په ISO 27001 کې خورا ډیر توکي شتون درلود، مګر دوی د ځانګړتیاوو نشتوالی و. د تصدیق لپاره چمتو کولو لپاره په عملي ډول د پوهیدو لپاره اسانه ګام په ګام لارښوونې شتون نلري ، په بیله بیا د شرکتونو اصلي قضیې چې دا معیار پلي کړي.
غلط فهم #4.
موږ به پالیسي لیکو، مګر دوی به کار ونه کړي! ښه، دا ریښتیا ده، زموږ شرکت لا دمخه ډیر قواعد لري، هیڅوک به د نورو 3 درجن نویو پالیسیو سره مطابقت ونه کړي. په حقیقت کې، خوشبختانه، زموږ کارمندانو په مسؤلیت سره د نوي مقرراتو ماسټر کولو دنده په غاړه اخیستې او په بریالیتوب سره د معلوماتو امنیت مدیریت سیسټم سندونو د پوهې لپاره ازموینه تیره کړه.
غلط فهم #5.
په هغه وخت کې، موږ نشو کولی په روښانه توګه ارزونه وکړو چې موږ به د خپلو هڅو څخه څه ګټه ترلاسه کړو. په هغه وخت کې، د دې سند لپاره د غوښتنو شمیر دومره لوی نه و، او موږ د تصدیق کولو دمخه زموږ کلیدي او خورا غوښتونکي پیرودونکي درلودل. تجربې ښودلې چې موږ له معیار پرته اداره شوي.
په یو وخت کې، موږ پوهیږو چې موږ په ناڅاپي توګه د پیرودونکي اړتیاو له امله یو یا بل راڅرګندیدونکي تشې بندوو. هر ځل چې موږ ځینې نوې پالیسۍ یا حلونه راوړو. او موږ په پای کې په خپلواکه توګه دې پایلې ته ورسیدو چې دا به د پروسې سیسټم کولو لپاره خورا اسانه وي، کوم چې حتی په راتلونکي کې به موږ ته د کار ډیر لګښتونه خوندي کړي. معیار د دې کار ساده کولو لپاره و.
اوس، دوه کاله وروسته، موږ د لویو نړیوالو پیرودونکو څخه د دې مسلې په اړه د غوښتنو او لیوالتیا په شمیر کې زیاتوالی وینو.
وروستۍ پریکړه.
په پایله کې، موږ غواړو ووایو چې زموږ د صنعت مشرانو د ISO/IEC 27001 تصدیق ترلاسه کړی، کوم چې نور ټول لوی چمتو کونکي (زموږ په شمول) د دې مسلې په اړه فکر کولو ته اړ کړي دي. بې له شکه، د شرکت بازار موندنې موادو کې یو ښکلی کرښه - په ویب پاڼه کې، په ټولنیزو شبکو کې، د اعلاناتو بروشرونو کې، او داسې نور. - یو خوندور بونس ګڼل کیدی شي، مګر ایا دا د دې لپاره د ډیری سرچینو مصرف کولو ارزښت لري؟ موږ د ځان لپاره پریکړه وکړه چې زموږ لپاره دا یوازې د یوې ښکلې کرښې څخه ډیر دی، او موږ پدې پروژه کې ښکیل شو.
سرچینه: www.habr.com