جڏهن ڪمپني لاءِ ڪو به حڪمت عملي اهم فيصلو ڪيو وڃي ٿو، ملازمن کي هڪ بنيادي دفاعي ميکانيزم مان گذرڻو پوي ٿو، جنهن کي 5 مرحلن جي تبديليءَ جو جواب ڏيڻ (E. Kübler-Ross پاران) طور سڃاتو وڃي ٿو. هڪ مشهور نفسياتي ماهر هڪ ڀيرو جذباتي ردعمل کي بيان ڪيو، جذباتي ردعمل جي 5 اهم مرحلن کي اجاگر ڪيو: انڪار ڪيو, ڪاوڙ, سودا, ڊپريشن ۽ نيٺ اپنائڻ. اسان ISO 27001 سرٽيفڪيشن لاءِ وقف ڪيل مضمونن جو هڪ سلسلو تيار ڪيو آهي، جتي اسان هر هڪ مرحلن تي نظر وجهنداسين. اڄ اسان انهن مان پهرين بابت ڳالهائينداسين - انڪار.
هڪ ISO 27001 سرٽيفڪيٽ حاصل ڪرڻ "شو لاءِ" هڪ تمام مشڪوڪ خوشي آهي، ڇاڪاڻ ته ان کي ڊگهي ۽ قيمتي تياري جي ضرورت آهي. ان کان سواء، جيئن اهو ڏيکاري ٿو , هي معيار روسي فيڊريشن ۾ انتهائي غير مقبول آهي: تاريخ تائين، صرف 70 ڪمپنيون تعميل لاء تصديق ڪيا ويا آهن. ساڳئي وقت، هي هڪ آهي سڀ کان وڌيڪ مشهور معيار ٻاهرين ملڪ، معلومات جي حفاظت جي شعبي ۾ ڪاروبار جي وڌندڙ مطالبن کي پورو ڪرڻ.
اسان جي ڪمپني اڪائونٽنگ ڪمن لاءِ آئوٽ سورسنگ سروسز جي مڪمل رينج مهيا ڪري ٿي: اڪائونٽنگ ۽ ٽيڪس اڪائونٽنگ، پگهار ۽ پرسنل ايڊمنسٽريشن. اسان هڪ معروف مارڪيٽ پوزيشن تي قبضو ڪيو، خاص طور تي حقيقت اها آهي ته غير ملڪي ڪمپنيون جيڪي روس ۾ شاخون آهن انهن جي رازداري معلومات سان اسان تي اعتماد ڪن ٿا. اهو لاڳو ٿئي ٿو نه رڳو اسان جي ڪلائنٽ جي مالي عملن تي، پر ان تي پڻ جيڪو اسان ڪم ڪريون ٿا روزاني بنيادن تي. ان سلسلي ۾، معلومات جي حفاظت جو مسئلو اسان جي ترجيحن مان هڪ آهي.
گهڻو ڪري، روسي ڊويزن جي سڀني ڪاروباري عملن کي ڪنٽرول ڪيو ويو آهي ۽ غير ملڪي ڪمپنين جي هيڊ آفيسن طرفان اعلان ڪيو ويو آهي، تنهن ڪري انهن کي لازمي طور تي اندروني گروپ جي معيار سان عمل ڪرڻ گهرجي. تازو، اسان جي ڪجهه اهم گراهڪن انهن کي سخت ڪرڻ جي هدايت ۾ انهن جي حفاظتي پاليسين تي نظرثاني ڪرڻ شروع ڪيو آهي. يقينن، اهو سائبر حملن جي وڌندڙ تعداد ۾ عالمي رجحانات ۽ معلومات جي حفاظت جي ڀڃڪڙي جي واقعن سان لاڳاپيل نقصان جي سبب آهي. جيڪڏهن اهو ضروري آهي ته حفاظتي قدمن، پاليسين ۽ طريقيڪار کي لاڳو ڪرڻ جو مقصد ڪمپني جي معلومات جي حفاظت کي وڌائڻ، توهان ISO کان سواء ڪري سگهو ٿا. /IEC 27001 سرٽيفڪيشن، ان سان گڏ ڪيترائي پئسا، وقت ۽ اعصاب بچائيندو آهي.
اڄ، ڪمپني ۾ موجود معلومات جي حفاظت جي گهرج غير ملڪي گراهڪن کان ٽينڊر ۾ ظاهر ٿيڻ شروع ٿي ويا آهن. ڪجهه، انهن جي تصديق کي آسان ڪرڻ ۽ طريقيڪار کي متحد ڪرڻ لاءِ، هڪ لازمي تشخيصي معيار مقرر ڪريو - ISO/IEC 27001 سرٽيفڪيشن جي موجودگي.
هتي اهو آهي جيڪو اسان ڏٺو آهي: اسان جي اهم بين الاقوامي گراهڪن مان هڪ هن معيار سان تصديق ٿيل آهي، ظاهر ٿئي ٿو ته ان جي عالمي معلومات سيڪيورٽي ٽيم کي مضبوط ڪيو آهي. اسان کي ان بابت ڪيئن خبر پئي؟ انهن اسان جي معلوماتي سيڪيورٽي مينيجمينٽ سسٽم جي آڊٽ ڪرڻ جو فيصلو ڪيو، ڇاڪاڻ ته اسان انهن کي اڪائونٽنگ خدمتون ۽ عملدار انتظاميه مهيا ڪندا آهيون - ۽، مطابق، اسان جي معلوماتي سسٽم جي حفاظت انهن لاء انتهائي اهم آهي. پوئين آڊٽ 3 سال اڳ ٿي چڪو هو - ان وقت هر شيء بلڪل بي دردي سان ٿي وئي.
هن ڀيري، هندستانين جي هڪ دوستي ٽيم اسان تي حملو ڪيو، اسان جي سيڪيورٽي مئنيجمينٽ سسٽم ۾ ڪيترن ئي درجن نقصن کي وڏي مهارت سان ظاهر ڪيو. آڊٽ جو عمل سمسارا جي ڦيٿي سان مشابهت رکي ٿو- لڳي ٿو ته اصولي طور انهن وٽ آڊٽ جي حصي طور ڪنهن به آخري نقطي تائين پهچڻ جو ڪو به مقصد نه هو. اهو سوالن، تبصرن، اسان جي تبصرن ۽ انهن جي حقيقتن جو هڪ لامحدود سلسلو هو، ڪانفرنس ڪالون ۽ ڊگهي فلسفيائي گفتگو، ڪلائنٽ جي آئي ٽي سيڪيورٽي ٽيم جي تلفظ کي سڃاڻڻ جي ڪوشش ۾. رستي ۾، آڊٽ اڄ ڏينهن تائين شدت جي مختلف درجي سان جاري آهي - وقت سان گڏ، اسان هن سان شرطن تي آيا آهيون. ان ڪري، سرٽيفڪيشن جي ضرورت پاڻ تي پيدا ٿي وئي آهي.
ٿي سگهي ٿو اسان ISO 9001 سان ڪري سگهون ٿا؟
هرڪو جيڪو ISO معيارن مان ڪنهن جي مطابق سرٽيفڪيشن جي مسئلي ۾ وڌيڪ يا گهٽ ڄاڻي ٿو سمجهي ٿو ته انهن مان هر هڪ جو بنياد ISO 9001 "ڪوالٽي مئنيجمينٽ سسٽم" سرٽيفڪيٽ آهي. اهو شايد سڀ کان وڌيڪ مشهور سرٽيفڪيٽ آهي جيڪو هن وقت ISO معيار جي پوري لائن ۾ آهي. اسان وٽ اهو نه هو - ۽ اسان اهو نه حاصل ڪرڻ جو فيصلو ڪيو. ان جا ڪيترائي سبب هئا:
- هن سرٽيفڪيٽ سان ڪمپني جي قابل اعتراض معاشي ڪارڪردگي؛
- اسان جا اندروني عمل، گهڻو ڪري، اڳ ۾ ئي هن معيار جي ويجهو هئا؛
- هن سرٽيفڪيٽ حاصل ڪرڻ لاء اضافي وقت ۽ پئسا جي ضرورت پوندي.
ان جي مطابق، اسان "لائيٽ" 27001 سان شروع ڪرڻ کان سواء، فوري طور تي ISO 9001 لاڳو ڪرڻ جو فيصلو ڪيو.
يا شايد اهو اڃا تائين ضروري ناهي؟
اڳتي ڏسي رهيا آهيون، اسان ڪيترائي ڀيرا واپس آيا آهيون سوال ته ڇا اهو حاصل ڪرڻ جي صلاح ڏني وئي آهي. اسان سڀني پاسن کان مسئلي جو مطالعو ڪرڻ شروع ڪيو، ڇاڪاڻ ته اسان وٽ بلڪل ڪا به ماهر نه هئي. ۽ هتي اهي غلط فهميون آهن جن اسان کي هن مسئلي بابت هڪ ڀيرو ٻيهر سوچيو.
غلط فهمي نمبر 1.
اسان اميد ڪئي ته معيار اسان کي تفصيلي چيڪ لسٽ، پاليسين جي هڪ فهرست ۽ ٻين قانوني دستاويز مهيا ڪندو. حقيقت ۾، اهو ظاهر ٿيو ته ISO/IEC 27001 انفارميشن سيڪيورٽي مئنيجمينٽ سسٽم جي ضرورتن جو هڪ سيٽ آهي ۽ پروسيس تعمير ڪيو پيو وڃي. انهن جي بنياد تي، اهو ضروري هو ته آزاديء سان فيصلو ڪيو وڃي ته اسان جي ڪمپني ۾ ڇا لکڻ / لاڳو ڪرڻ لاء معيار جي گهرجن سان عمل ڪرڻ لاء.
غلط فهمي نمبر 2.
اسان خلوص سان يقين ڪيو ته اهو اسان لاء ڪافي هوندو ته هڪ دستاويز جو مطالعو ڪريون ۽ ان کي پاڻ تي نسبتا مختصر وقت ۾ لاڳو ڪريو. حقيقت ۾، دستاويز پڙهڻ دوران، اسان محسوس ڪيو ته ڪيترا لاڳاپيل معيار اسان جي معياري "جڙيل" سان، اسان کي ڪيترا معيار سان واقف ٿيڻ جي ضرورت آهي (گهٽ ۾ گهٽ سطحي طور تي). ڪيڪ تي "چيري" عوامي ڊومين ۾ موجوده معيار جي متن جي کوٽ هئي - انهن کي سرڪاري ISO ويب سائيٽ تي خريد ڪيو وڃي.
غلط فهمي نمبر 3.
اسان کي يقين هو ته اسان هر شي کي ڳوليندا سين جيڪا اسان کي کليل ذريعن ۾ سرٽيفڪيشن لاءِ تيار ڪرڻ جي ضرورت آهي. حقيقت ۾ انٽرنيٽ تي ISO 27001 تي ڪافي مواد موجود هئا، پر انهن جي ڀيٽ ۾ وضاحتن جي کوٽ هئي. سرٽيفڪيشن لاءِ تياري ڪرڻ لاءِ عملي طور تي ڪو به آسان سمجھڻ وارا قدم قدم نه هئا، انهي سان گڏ ڪمپنين جا حقيقي ڪيس جيڪي هن معيار تي عمل ڪيا هئا.
غلط فهمي نمبر 4.
اسان پاليسيون لکنداسين، پر اهي ڪم نه ڪنديون! خير، اهو سچ آهي، اسان جي ڪمپني جا پهريان ئي تمام گهڻا ضابطا آهن، ڪو به ٻيو 3 درجن نون پاليسين جي تعميل نه ڪندو. حقيقت ۾، خوشقسمتيءَ سان، اسان جي ملازمن ذميواريءَ سان نون ضابطن ۾ مهارت حاصل ڪرڻ جو ڪم ورتو ۽ معلوماتي سيڪيورٽي مئنيجمينٽ سسٽم جي دستاويزن جي ڄاڻ لاءِ ڪاميابيءَ سان ٽيسٽ پاس ڪئي.
غلط فهمي نمبر 5.
ان وقت، اسان واضح طور تي اندازو نه ڪري سگهيا آهيون ته اسان جي ڪوششن مان اسان کي ڪهڙو فائدو حاصل ٿيندو. ان وقت، هن سرٽيفڪيشن لاءِ درخواستن جو تعداد ايترو وڏو نه هو، ۽ اسان وٽ سرٽيفڪيشن کان گهڻو اڳ اسان جو اهم ۽ سڀ کان وڌيڪ گهربل ڪلائنٽ هو. تجربو ڏيکاري ٿو ته اسان بغير معيار جي انتظام ڪيو.
ڪجهه نقطي تي، اسان اهو محسوس ڪيو ته اسان ڪلائنٽ جي گهرجن جي ڪري هڪ يا ٻئي پيدا ٿيندڙ خلا کي غير معمولي طور تي بند ڪري رهيا آهيون. هر ڀيري اسان ڪجهه نئين پاليسين يا حل سان آيا آهيون. ۽ اسان آخرڪار آزاديءَ سان ان نتيجي تي پهتاسين ته ان عمل کي منظم ڪرڻ تمام آسان ٿيندو، جيڪو اسان کي مستقبل ۾ مزدورن جي تمام گهڻي قيمت به بچائيندو. معيار هن ڪم کي آسان ڪرڻ جو مقصد هو.
ھاڻي، ٻن سالن کان پوء، اسان وڏين بين الاقوامي مراجعين کان ھن مسئلي ۾ درخواستن ۽ دلچسپي جي تعداد ۾ وڌندڙ رجحان ڏسون ٿا.
آخري فيصلو.
آخر ۾، اسان اهو چوڻ چاهيون ٿا ته اسان جي صنعت جي اڳواڻن ISO/IEC 27001 سرٽيفڪيشن حاصل ڪئي آهي، جنهن ٻين سڀني وڏن مهيا ڪندڙن (اسان سميت) کي هن مسئلي بابت سوچڻ تي مجبور ڪيو آهي. بلاشڪ، ڪمپني جي مارڪيٽنگ مواد ۾ هڪ خوبصورت لائن - ويب سائيٽ تي، سماجي نيٽ ورڪن تي، اشتهارن جي بروشرز وغيره ۾. - هڪ خوشگوار بونس سمجهي سگهجي ٿو، پر ڇا اهو ان لاءِ تمام گهڻا وسيلا خرچ ڪرڻ جي لائق آهي؟ اسان پاڻ لاءِ فيصلو ڪيو ته اسان لاءِ اهو صرف هڪ خوبصورت لڪير کان وڌيڪ آهي، ۽ اسان هن منصوبي ۾ شامل ٿي ويا آهيون.
جو ذريعو: www.habr.com