تبديلي جي جذباتي ردعمل جو چوٿون مرحلو ڊپريشن آهي. هن آرٽيڪل ۾ اسين توهان کي ٻڌائينداسين ته اسان جي تمام گهڻي ڊگهي ۽ اڻ وڻندڙ مرحلي مان گذرڻ جي تجربي بابت - ڪمپني جي ڪاروباري عملن ۾ تبديلين جي باري ۾ ته جيئن انهن جي ISO 27001 معيار سان تعميل حاصل ڪرڻ لاءِ.
انتظار ڪيو
پهريون سوال جيڪو اسان پاڻ کان پڇيو ته تصديق ڪندڙ اداري ۽ صلاحڪار کي چونڊڻ کان پوءِ اهو هو ته اسان کي تمام ضروري تبديليون ڪرڻ لاءِ ڪيترو وقت گهرجي؟
شروعاتي ڪم جو منصوبو اهڙي طرح ٺهرايو ويو هو ته اسان کي 3 مهينن اندر مڪمل ڪرڻو هو.
هر شيءِ سادو نظر اچي رهي هئي: اهو ضروري هو ته ٻه درجن پاليسيون لکڻ ۽ اسان جي اندروني عملن کي ٿورو تبديل ڪرڻ؛ پوءِ ساٿين کي تبديلين تي تربيت ڏيو ۽ وڌيڪ 3 مهينا انتظار ڪريو (ته جيئن ”ريڪارڊ“ ظاهر ٿين، يعني پاليسين جي ڪارڪردگيءَ جو ثبوت). اهو لڳي رهيو هو ته اهو سڀ ڪجهه هو - ۽ سرٽيفڪيٽ اسان جي کيسي ۾ هو.
ان کان علاوه، اسان شروع کان پاليسين لکڻ وارا نه هئاسين - آخرڪار، اسان وٽ هڪ صلاحڪار هو، جيڪو اسان سوچيو هو، اسان کي سڀني "درست" ٽيمپليٽس ڏيڻو پوندو.
انهن نتيجن جي نتيجي ۾، اسان هر پاليسي تيار ڪرڻ لاءِ 3 ڏينهن مختص ڪيا.
ٽيڪنيڪل تبديليون به مشڪل نظر نه آيون: واقعن کي گڏ ڪرڻ ۽ اسٽوريج کي ترتيب ڏيڻ ضروري هو، چيڪ ڪريو ته ڇا بيڪ اپ پاليسين جي تعميل ڪن ٿا، جيڪو اسان لکيو آهي، آفيسن کي ٻيهر بحال ڪرڻ جي رسائي ڪنٽرول سسٽم سان، جتي ضروري هجي، ۽ ڪجهه ٻيون ننڍيون شيون. .
سرٽيفڪيشن لاءِ ضروري هر شي تيار ڪرڻ واري ٽيم ٻن ماڻهن تي مشتمل هئي. اسان رٿابندي ڪئي هئي ته اهي انهن جي بنيادي ذميوارين سان گڏوگڏ عمل درآمد ۾ شامل هوندا، ۽ اهو انهن مان هر هڪ ڏينهن ۾ وڌ ۾ وڌ 1,5-2 ڪلاڪ وٺندو.
اختصار ڪرڻ لاءِ، اسان اهو چئي سگهون ٿا ته ڪم جي ايندڙ دائري بابت اسان جو نظريو ڪافي پراميد هو.
حقيقت
حقيقت ۾، سڀ ڪجھ قدرتي طور تي مختلف هو: صلاحڪار طرفان مهيا ڪيل پاليسي ٽيمپليٽس اسان جي ڪمپني لاء گهڻو ڪري ناگزير ٿي چڪا آهن؛ انٽرنيٽ تي لڳ ڀڳ ڪا واضح ڄاڻ نه هئي ته ڇا ڪجي ۽ ڪيئن ڪجي. جئين توهان تصور ڪري سگهو ٿا، "3 ڏينهن ۾ هڪ پاليسي لکڻ" جو منصوبو ناڪام ٿي ويو. تنهنڪري اسان منصوبي جي شروعات کان ئي آخري وقت ملڻ بند ڪري ڇڏيا، ۽ اسان جو مزاج آهستي آهستي خراب ٿيڻ لڳو.
ٽيم جي ماهر تباهيءَ سان ننڍي هئي - ايتري قدر جو اهو ڪافي نه هو ته صلاحڪار کان صحيح سوال پڇڻ (جيڪو، رستي ۾، گهڻو اڳڀرائي نه ڏيکاري). شيون اڃا به وڌيڪ سست رفتاري سان هلڻ شروع ٿي ويون، 3 مهينن کان پوء عمل جي شروعات کان پوء (يعني، هن وقت جڏهن سڀ ڪجهه تيار ٿيڻ گهرجي)، ٻن اهم شرڪت ڪندڙن مان هڪ ٽيم کي ڇڏي ڏنو. هن جي جاءِ تي آئي ٽي سروس جو هڪ نئون سربراهه مقرر ڪيو ويو، جنهن کي تڪڙي تڪڙي تڪميل جي عمل کي مڪمل ڪرڻو هو ۽ انفارميشن سيڪيورٽي مئنيجمينٽ سسٽم کي ٽيڪنيڪل نقطه نظر کان سڀ کان وڌيڪ ضروري هر شيءِ فراهم ڪرڻي هئي. ڪم ڏکيو لڳي رهيو هو... انچارج اداس ٿيڻ لڳا.
ان کان سواء، مسئلي جي ٽيڪنيڪل پاسي پڻ "nuances" آهي. اسان کي عالمي سافٽ ويئر ماڊرنائيزيشن جي ڪم سان منهن ڏيڻو پيو آهي ٻنهي ڪم اسٽيشنن ۽ سرور جي سامان تي. واقعن (لاگ) کي گڏ ڪرڻ لاءِ سسٽم کي ترتيب ڏيڻ دوران، اهو ظاهر ٿيو ته اسان وٽ سسٽم جي عام ڪم لاءِ ڪافي هارڊويئر وسيلا نه هئا. ۽ بيڪ اپ سافٽ ويئر کي به جديد ڪرڻ جي ضرورت آهي.
اسپيلر: نتيجي طور، ISMS 6 مهينن ۾ هيرو طور تي لاڳو ڪيو ويو. ۽ ڪو به مري ويو!
ڇا سڀ کان وڌيڪ تبديل ڪيو آهي؟
يقينن، معيار تي عمل ڪرڻ دوران، ڪمپني جي عملن ۾ وڏي تعداد ۾ ننڍيون تبديليون آيون آهن. اسان توهان لاءِ سڀ کان اهم تبديليون نمايان ڪيون آهن:
- خطري جي تشخيص جي عمل کي رسمي ڪرڻ
اڳي، ڪمپني وٽ ڪو به رسمي خطري جي تشخيص جو عمل نه هو - اهو صرف مجموعي اسٽريٽجڪ پلاننگ جي حصي جي طور تي گذري ويو. سرٽيفڪيشن جي حصي جي طور تي حل ڪيل سڀ کان اهم ڪمن مان هڪ ڪمپني جي خطري جي جائزي واري پاليسي تي عمل درآمد هو، جيڪا هن عمل جي سڀني مرحلن کي بيان ڪري ٿي ۽ هر اسٽيج لاءِ ذميوار ماڻهو.
- هٽائڻ واري اسٽوريج ميڊيا تي ڪنٽرول
ڪاروبار لاء اهم خطرن مان هڪ غير انڪرپٽ USB فليش ڊرائيو جو استعمال هو: حقيقت ۾، ڪنهن به ملازم کي فليش ڊرائيو تي موجود ڪا به معلومات لکي سگهي ٿي ۽، بهترين طور تي، ان کي وڃائي ڇڏيو. سرٽيفڪيشن جي حصي جي طور تي، فليش ڊرائيو تي ڪا به معلومات ڊائون لوڊ ڪرڻ جي صلاحيت سڀني ملازمن جي ڪم اسٽيشنن تي بند ڪئي وئي هئي - رڪارڊنگ جي معلومات صرف آئي ٽي ڊپارٽمينٽ کي هڪ درخواست ذريعي ممڪن ٿي.
- سپر يوزر ڪنٽرول
بنيادي مسئلن مان هڪ حقيقت اها هئي ته سڀني آئي ٽي ڊپارٽمينٽ ملازمن کي سڀني ڪمپني سسٽم ۾ مڪمل حق حاصل هئا - انهن سڀني معلومات تائين رسائي هئي. ساڳئي وقت، ڪو به واقعي انهن کي ڪنٽرول نه ڪيو.
اسان هڪ ڊيٽا جي نقصان جي روڪٿام (DLP) سسٽم کي لاڳو ڪيو آهي - ملازمن جي عملن جي نگراني لاءِ هڪ پروگرام جيڪو تجزيو، بلاڪ ۽ خبردار ڪري ٿو خطرناڪ ۽ غير پيداواري سرگرمين بابت. هاڻي آئي ٽي ڊپارٽمينٽ جي ملازمن جي عملن بابت الرٽ ڪمپني جي آپريشنز ڊائريڪٽر جي اي ميل ايڊريس تي موڪليا ويا آهن.
- معلومات جي بنيادي ڍانچي کي منظم ڪرڻ جو طريقو
سرٽيفڪيشن جي ضرورت آهي عالمي تبديليون ۽ طريقا. ها، اسان کي لوڊ وڌائڻ جي ڪري ڪيترن ئي سرور سامان کي اپ گريڊ ڪرڻو پيو. خاص طور تي، اسان وقف ڪيو آهي هڪ الڳ سرور ايونٽ گڏ ڪرڻ واري نظام لاءِ. سرور وڏي ۽ تيز SSD ڊرائيو سان ليس هو. اسان بيڪ اپ سافٽ ويئر کي ڇڏي ڏنو ۽ اسٽوريج سسٽم کي چونڊيو جيڪو دٻي مان تمام ضروري ڪارڪردگي آهي. اسان "بنيادي ڍانچي جي طور تي ڪوڊ" جي تصور جي طرف ڪيترائي وڏا قدم کنيا، جن اسان کي ڪيترن ئي سرورن جي بيڪ اپ کي ختم ڪندي تمام گھڻي ڊسڪ اسپيس کي بچائڻ جي اجازت ڏني. گھٽ ۾ گھٽ وقت ۾ (1 هفتو)، ڪم اسٽيشنن تي سڀني سافٽ ويئر کي اپڊيٽ ڪيو ويو Win10. انهن مسئلن مان هڪ آهي ته جديديت حل ڪيو آهي انڪرپشن کي فعال ڪرڻ جي صلاحيت (پرو ورزن ۾).
- ڪاغذ جي دستاويز تي ڪنٽرول
ڪمپني کي ڪاغذن جي دستاويزن جي استعمال سان لاڳاپيل اهم خطرا هئا: اهي گم ٿي سگهن ٿا، غلط جاء تي ڇڏي، يا غلط طور تي تباهه ٿي سگهن ٿيون. ھن خطري کي گھٽ ڪرڻ لاءِ، اسان سڀني ڪاغذي دستاويزن کي رازداري جي سطح مطابق نشان لڳايو آھي ۽ مختلف قسمن جي دستاويزن کي ناس ڪرڻ لاءِ ھڪ طريقو ٺاھيو آھي. هاڻي، جڏهن هڪ ملازم هڪ فولڊر کوليندو آهي يا هڪ دستاويز وٺندو آهي، هو ڄاڻي ٿو ته اها معلومات ڪهڙي درجي ۾ اچي ٿي ۽ ان کي ڪيئن سنڀالجي.
- هڪ بيڪ اپ ڊيٽا سينٽر ڪرائي تي ڏيڻ
اڳي، سموري ڪمپني جي معلومات ٽين پارٽي محفوظ ڊيٽا سينٽر ۾ واقع سرورز تي محفوظ ڪئي وئي هئي. تنهن هوندي، هن ڊيٽا سينٽر تي ڪو به هنگامي طريقا موجود نه هئا. حل هو هڪ بيڪ اپ ڪلائوڊ ڊيٽا سينٽر ڪرائي تي ڏيڻ ۽ اتي ئي اهم معلومات جو بيڪ اپ ڪرڻ. في الحال، ڪمپني جي معلومات ٻن جغرافيائي طور تي ريموٽ ڊيٽا سينٽرن ۾ ذخيرو ٿيل آهي، جيڪا ان جي نقصان جي خطري کي گھٽائي ٿي.
- ڪاروباري تسلسل جي جاچ
اسان جي ڪمپني وٽ ڪيترن ئي سالن کان ڪاروباري تسلسل واري پاليسي (BCP) موجود آهي، جيڪا بيان ڪري ٿي ته ملازمن کي مختلف ناڪاري حالتن ۾ ڇا ڪرڻ گهرجي (آفيس تائين پهچ جو نقصان، وبا، بجلي جي بندش، وغيره). تنهن هوندي، اسان ڪڏهن به تسلسل جي جاچ نه ڪئي آهي - اهو آهي، اسان ڪڏهن به اندازو نه ڪيو آهي ته انهن مان هر هڪ ۾ ڪاروبار کي بحال ڪرڻ ۾ ڪيترو وقت لڳندو. سرٽيفڪيشن آڊٽ جي تياري ۾، اسان نه رڳو اهو ڪيو، پر ايندڙ سال لاءِ هڪ ڪاروباري تسلسل جاچڻ وارو منصوبو پڻ ٺاهيو. اها ڳالهه قابل ذڪر آهي ته هڪ سال بعد، جڏهن اسان کي مڪمل طور تي ريموٽ ڪم کي تبديل ڪرڻ جي ضرورت هئي، اسان اهو ڪم ٽن ڏينهن ۾ مڪمل ڪيو.
اهو نوٽ ڪرڻ ضروري آهي, ته سڀ ڪمپنيون جيڪي سرٽيفڪيشن جي تياري ڪري رهيون آهن انهن جون شروعاتي حالتون مختلف آهن - تنهن ڪري، توهان جي صورت ۾، مڪمل طور تي مختلف تبديلين جي ضرورت پوندي.
تبديلين تي ملازم جي رد عمل
حيرت انگيز طور تي - هتي اسان کي بدترين توقع هئي - اهو ايترو خراب نه ٿيو. اهو نه ٿو چئي سگهجي ته ساٿين کي وڏي جوش سان تصديق جي خبر ملي، پر هيٺيان واضح هئا:
- سڀني اهم ملازمن هن واقعي جي اهميت ۽ ناگزيريت کي سمجهيو؛
- ٻين سڀني ملازمن کي اهم ملازمن ڏانهن ڏٺو.
يقينن، اسان جي صنعت جي خاصيتن اسان کي تمام گهڻو مدد ڪئي - اڪائونٽنگ افعال جي آئوٽ سورسنگ. اسان جي ملازمن جي وڏي اڪثريت روسي قانون سازي ۾ مسلسل تبديلين سان چڱيء طرح منهن. ان جي مطابق، ٻه درجن نون ضابطن جو تعارف جيڪو هاڻي ڏسڻ گهرجي، انهن لاء ڪجهه عام نه هو.
اسان پنهنجي سڀني ملازمن لاءِ نئون لازمي ISO 27001 ٽريننگ ۽ ٽيسٽ تيار ڪيو آهي. هر ڪو فرمانبرداريءَ سان پنهنجي مانيٽرن مان پاس ورڊز سان چپچپا نوٽس ڪڍي ڇڏيا ۽ ڪاغذن سان ڀريل ميز کي صاف ڪري ڇڏيو. ڪو به وڏو عدم اطمينان محسوس نه ڪيو ويو - عام طور تي، اسان پنهنجن ملازمن سان تمام خوش قسمت هئاسين.
اهڙيء طرح، اسان سڀ کان وڌيڪ دردناڪ مرحلو گذري چڪا آهيون - "ڊپريشن" - اسان جي ڪاروباري عملن ۾ تبديلين سان لاڳاپيل. اهو ڏکيو ۽ ڏکيو هو، پر نتيجو آخر ۾ اسان جي سڀني جهنگلي اميدن کان وڌي ويو.
سيريز مان پوئين مواد پڙهو:
ISO/IEC 5 سرٽيفڪيشن جي ناگزيريت جا 27001 مرحلا. ڊپريشن.
ISO/IEC 5 سرٽيفڪيشن جي ناگزيريت جا 27001 مرحلا. اپنائڻ.
جو ذريعو: www.habr.com