වෙනස් වීමට චිත්තවේගීය ප්රතිචාරයේ සිව්වන අදියර වන්නේ මානසික අවපීඩනයයි. ISO 27001 ප්රමිතියට අනුකූල වීම සාක්ෂාත් කර ගැනීම සඳහා සමාගමේ ව්යාපාරික ක්රියාවලීන්හි සිදුවන වෙනස්කම් පිළිබඳව - මෙම ලිපියෙන් අපි ඔබට වඩාත් දිග්ගැස්සුනු සහ අප්රසන්න අදියර හරහා යාමේ අත්දැකීම් ගැන ඔබට කියන්නෙමු.
බලා සිටීම
සහතික කිරීමේ ආයතනය සහ උපදේශකයා තෝරා ගැනීමෙන් පසු අප අපගෙන්ම ඇසූ පළමු ප්රශ්නය වූයේ අවශ්ය සියලු වෙනස්කම් කිරීමට අපට ඇත්තටම කොපමණ කාලයක් අවශ්ය වේද?
මූලික වැඩ සැලැස්ම මාස 3 ක් ඇතුළත අවසන් කළ යුතු ආකාරයට සැලසුම් කර තිබුණි.
ඊට අමතරව, අපි මුල සිටම ප්රතිපත්ති ලිවීමට යන්නේ නැත - සියල්ලට පසු, අපට උපදේශකයෙකු සිටියේය, අප සිතූ පරිදි, අපට සියලු “නිවැරදි” සැකිලි ලබා දිය යුතුය.
මෙම නිගමනවල ප්රතිඵලයක් වශයෙන්, අපි එක් එක් ප්රතිපත්තිය සකස් කිරීමට දින 3 ක් වෙන් කළෙමු.
තාක්ෂණික වෙනස්කම් ද භයානක බවක් නොපෙනේ: සිදුවීම් එකතු කිරීම සහ ගබඩා කිරීම සැකසීම, උපස්ථ අප විසින් ලියන ලද ප්රතිපත්තියට අනුකූලදැයි පරීක්ෂා කිරීම, අවශ්ය විට ප්රවේශ පාලන පද්ධති සමඟ කාර්යාල නැවත සකස් කිරීම සහ තවත් කුඩා දේවල් කිහිපයක් අවශ්ය විය. .
සහතික කිරීම සඳහා අවශ්ය සියල්ල සූදානම් කරන කණ්ඩායම පුද්ගලයන් දෙදෙනෙකුගෙන් සමන්විත විය. ඔවුන්ගේ ප්රධාන වගකීම්වලට සමගාමීව ඔවුන් ක්රියාත්මක කිරීමට සම්බන්ධ වන බව අපි සැලසුම් කළ අතර, මේ සඳහා ඔවුන් එක් එක් දිනකට උපරිම වශයෙන් පැය 1,5-2 ක් ගතවනු ඇත.
සාරාංශගත කිරීම සඳහා, ඉදිරි වැඩ විෂය පථය පිළිබඳ අපගේ දැක්ම බෙහෙවින් ශුභවාදී වූ බව අපට පැවසිය හැකිය.
යථාර්ථය
යථාර්ථයේ දී, සෑම දෙයක්ම ස්වභාවිකවම වෙනස් විය: උපදේශකයා විසින් සපයන ලද ප්රතිපත්ති සැකිලි අපගේ සමාගමට බොහෝ දුරට අදාළ නොවේ; කුමක් කළ යුතුද සහ කෙසේද යන්න පිළිබඳව අන්තර්ජාලයේ පැහැදිලි තොරතුරු නොමැති තරම්ය. ඔබට සිතාගත හැකි පරිදි, "දින 3 කින් එක ප්රතිපත්තියක් ලිවීමේ" සැලැස්ම අතිශයින් අසාර්ථක විය. එබැවින් අපි ව්යාපෘතියේ ආරම්භයේ සිටම පාහේ නියමිත දින හමුවීම නැවැත්වූ අතර අපගේ මනෝභාවය සෙමෙන් පහත වැටෙන්නට පටන් ගත්තේය.
කණ්ඩායමේ ප්රවීණත්වය ව්යසනකාරී ලෙස කුඩා විය - එය උපදේශකයාගෙන් නිවැරදි ප්රශ්න ඇසීමට පවා ප්රමාණවත් නොවීය (මාර්ගයෙන්, වැඩි මුලපිරීමක් නොපෙන්වූ අය). ක්රියාත්මක කිරීම ආරම්භ වී මාස 3 කට පසු (එනම්, සියල්ල සූදානම් විය යුතු මොහොතේ), ප්රධාන සහභාගිවන්නන් දෙදෙනාගෙන් එක් අයෙකු කණ්ඩායම හැර ගිය බැවින්, දේවල් ඊටත් වඩා සෙමින් ගමන් කිරීමට පටන් ගත්තේය. ඔහු වෙනුවට තොරතුරු තාක්ෂණ සේවයේ නව ප්රධානියෙකු පත් කරන ලද අතර, ඔහුට ක්රියාත්මක කිරීමේ ක්රියාවලිය ඉක්මනින් අවසන් කිරීමට සහ තාක්ෂණික දෘෂ්ටි කෝණයෙන් වඩාත්ම අවශ්ය සියල්ල සමඟ තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතිය ලබා දීමට සිදු විය. වැඩේ අමාරුයි වගේ... වගකිවයුත්තන් මානසිකව වැටෙන්න පටන් ගත්තා.
ඊට අමතරව, ගැටලුවේ තාක්ෂණික පැත්ත ද "සූක්ෂ්ම" ඇති බව පෙනී ගියේය. අපි වැඩපොළවල් සහ සේවාදායක උපකරණ මත ගෝලීය මෘදුකාංග නවීකරණය කිරීමේ කාර්යයට මුහුණ දී සිටිමු. සිදුවීම් (ලොග්) එකතු කිරීම සඳහා පද්ධතිය සකසන අතරතුර, පද්ධතියේ සාමාන්ය ක්රියාකාරිත්වය සඳහා ප්රමාණවත් දෘඩාංග සම්පත් අප සතුව නොමැති බව පෙනී ගියේය. තවද උපස්ථ මෘදුකාංගයටද නවීකරණය අවශ්ය විය.
ස්පොයිලර්: එහි ප්රතිඵලයක් වශයෙන්, ISMS මාස 6ක් තුළ වීරෝදාර ලෙස ක්රියාත්මක විය. තවද කිසිවෙකු මිය ගියේ නැත!
වඩාත්ම වෙනස් වී ඇත්තේ කුමක්ද?
ඇත්ත වශයෙන්ම, සම්මතය ක්රියාත්මක කිරීමේදී, සමාගමේ ක්රියාවලීන්හි කුඩා වෙනස්කම් විශාල සංඛ්යාවක් සිදු විය. අපි ඔබ සඳහා වඩාත්ම වැදගත් වෙනස්කම් ඉස්මතු කර ඇත:
- අවදානම් තක්සේරු කිරීමේ ක්රියාවලිය විධිමත් කිරීම
මීට පෙර, සමාගමට විධිමත් අවදානම් තක්සේරු කිරීමේ ක්රියාවලියක් නොතිබුණි - එය සිදු කරන ලද්දේ සමස්ත උපායමාර්ගික සැලසුම්කරණයේ කොටසක් ලෙස සමත්වීමේදී පමණි. සහතිකයේ කොටසක් ලෙස විසඳා ඇති වැදගත්ම කාර්යයක් වූයේ, මෙම ක්රියාවලියේ සියලු අදියරයන් සහ එක් එක් අදියර සඳහා වගකිව යුතු පුද්ගලයින් විස්තර කරන සමාගමේ අවදානම් තක්සේරු කිරීමේ ප්රතිපත්තිය ක්රියාත්මක කිරීමයි.
- ඉවත් කළ හැකි ගබඩා මාධ්ය පාලනය කිරීම
ව්යාපාර සඳහා සැලකිය යුතු අවදානමක් වූයේ සංකේතාංකනය නොකළ USB ෆ්ලෑෂ් ඩ්රයිව් භාවිතයයි: ඇත්ත වශයෙන්ම, ඕනෑම සේවකයෙකුට ෆ්ලෑෂ් ඩ්රයිව් එකක ඔහුට ලබා ගත හැකි ඕනෑම තොරතුරක් ලිවිය හැකි අතර, හොඳම දෙය නම් එය නැති කර ගත හැකිය. සහතිකයේ කොටසක් ලෙස, ෆ්ලෑෂ් ඩ්රයිව් වෙත ඕනෑම තොරතුරක් බාගත කිරීමේ හැකියාව සියලුම සේවක සේවා ස්ථාන වල අක්රීය කර ඇත - තොරතුරු පටිගත කිරීම කළ හැකි වූයේ තොරතුරු තාක්ෂණ දෙපාර්තමේන්තුවට අයදුම්පතක් හරහා පමණි.
- සුපිරි පරිශීලක පාලනය
එක් ප්රධාන ගැටළුවක් වූයේ සියලුම තොරතුරු තාක්ෂණ දෙපාර්තමේන්තු සේවකයින්ට සියලුම සමාගම් පද්ධතිවල පරම අයිතිවාසිකම් තිබීමයි - ඔවුන්ට සියලු තොරතුරු සඳහා ප්රවේශය තිබුණි. ඒ අතරම, කිසිවෙකු ඔවුන්ව පාලනය කළේ නැත.
අපි දත්ත අලාභ වැළැක්වීමේ (DLP) පද්ධතියක් ක්රියාවට නංවා ඇත - අනතුරුදායක සහ ඵලදායී නොවන ක්රියාකාරකම් පිළිබඳව විශ්ලේෂණය, අවහිර කිරීම් සහ අනතුරු ඇඟවීම් කරන සේවක ක්රියා නිරීක්ෂණය කිරීමේ වැඩසටහනකි. දැන් තොරතුරු තාක්ෂණ දෙපාර්තමේන්තු සේවකයින්ගේ ක්රියාවන් පිළිබඳ ඇඟවීම් සමාගමේ මෙහෙයුම් අධ්යක්ෂගේ විද්යුත් තැපැල් ලිපිනයට යවනු ලැබේ.
- තොරතුරු යටිතල පහසුකම් සංවිධානය කිරීමේ ප්රවේශය
සහතික කිරීම සඳහා ගෝලීය වෙනස්කම් සහ ප්රවේශයන් අවශ්ය විය. ඔව්, බර වැඩිවීම නිසා අපට සේවාදායක උපකරණ ගණනාවක් යාවත්කාලීන කිරීමට සිදු විය. විශේෂයෙන්, අපි සිදුවීම් එකතු කිරීමේ පද්ධති සඳහා වෙනම සේවාදායකයක් කැප කර ඇත. සේවාදායකය විශාල සහ වේගවත් SSD ධාවකයන්ගෙන් සමන්විත විය. අපි උපස්ථ මෘදුකාංග අතහැර දමා අවශ්ය සියලුම ක්රියාකාරීත්වයන් ඇති ගබඩා පද්ධති තෝරා ගත්තෙමු. "කේතය ලෙස යටිතල පහසුකම්" සංකල්පය වෙත අපි විශාල පියවර කිහිපයක් තැබුවෙමු, එමඟින් සේවාදායකයන් ගණනාවක උපස්ථය ඉවත් කිරීමෙන් තැටි ඉඩ ප්රමාණයක් ඉතිරි කර ගැනීමට අපට හැකි විය. හැකි කෙටිම කාලය තුළ (සති 1), වැඩපොළවල සියලුම මෘදුකාංග Win10 වෙත යාවත්කාලීන කරන ලදී. නවීකරණය විසඳන ලද එක් ගැටළුවක් වූයේ සංකේතනය සක්රීය කිරීමේ හැකියාවයි (ප්රෝ අනුවාදයේ).
- කඩදාසි ලේඛන පාලනය කිරීම
සමාගමට කඩදාසි ලේඛන භාවිතය හා සම්බන්ධ සැලකිය යුතු අවදානම් තිබුණි: ඒවා නැති වී යා හැකි, වැරදි ස්ථානයක තබා හෝ අනිසි ලෙස විනාශ කළ හැකිය. මෙම අවදානම අවම කිරීම සඳහා, අපි රහස්යභාවයේ මට්ටමට අනුව සියලුම කඩදාසි ලේඛන සලකුණු කර විවිධ වර්ගයේ ලේඛන විනාශ කිරීම සඳහා ක්රියා පටිපාටියක් සකස් කර ඇත. දැන්, සේවකයෙකු ෆෝල්ඩරයක් විවෘත කරන විට හෝ ලේඛනයක් ගන්නා විට, මෙම තොරතුරු වැටෙන්නේ කුමන කාණ්ඩයටද යන්න සහ එය හැසිරවිය යුතු ආකාරය ඔහු හරියටම දනී.
- උපස්ථ දත්ත මධ්යස්ථානයක් කුලියට ගැනීම
මීට පෙර, සියලුම සමාගම් තොරතුරු තෙවන පාර්ශවීය ආරක්ෂිත දත්ත මධ්යස්ථානයක පිහිටි සේවාදායකයන් මත ගබඩා කර ඇත. කෙසේ වෙතත්, මෙම දත්ත මධ්යස්ථානයේ හදිසි ක්රියා පටිපාටි කිසිවක් ක්රියාත්මක නොවීය. විසඳුම වූයේ උපස්ථ වලාකුළු දත්ත මධ්යස්ථානයක් කුලියට ගෙන එහි ඇති වැදගත්ම තොරතුරු උපස්ථ කිරීමයි. දැනට, සමාගමේ තොරතුරු භූගෝලීය වශයෙන් දුරස්ථ දත්ත මධ්යස්ථාන දෙකක ගබඩා කර ඇති අතර එමඟින් එහි අලාභයේ අවදානම අවම වේ.
- ව්යාපාර අඛණ්ඩතාව පරීක්ෂා කිරීම
අපගේ සමාගමට වසර ගණනාවක් තිස්සේ ව්යාපාර අඛණ්ඩතා ප්රතිපත්තියක් (BCP) ක්රියාත්මක වන අතර, විවිධ සෘණාත්මක අවස්ථාවන්හිදී (කාර්යාලයට ප්රවේශය අහිමි වීම, වසංගතය, විදුලිය ඇනහිටීම් ආදිය) සේවකයින් කළ යුතු දේ විස්තර කරන කෙසේ වෙතත්, අපි කිසි විටෙක අඛණ්ඩතා පරීක්ෂණයක් සිදු කර නැත - එනම්, මෙම එක් එක් අවස්ථාවන්හිදී ව්යාපාරය යථා තත්ත්වයට පත් කිරීමට කොපමණ කාලයක් ගතවේද යන්න අපි කිසි විටෙකත් මනිනු ලැබ නැත. සහතික කිරීමේ විගණනය සඳහා සූදානම් වීමේ දී, අපි මෙය සිදු කළා පමණක් නොව, ඉදිරි වසර සඳහා ව්යාපාර අඛණ්ඩ පරීක්ෂණ සැලැස්මක් ද සකස් කළෙමු. වසරකට පසුව, දුරස්ථ වැඩකට සම්පූර්ණයෙන්ම මාරු වීමේ අවශ්යතාව සමඟ අප මුහුණ දුන් විට, අපි දින තුනකින් මෙම කාර්යය සම්පූර්ණ කළ බව සඳහන් කිරීම වටී.
එය සැලකිල්ලට ගැනීම වැදගත්ය, සහතික කිරීම සඳහා සූදානම් වන සියලුම සමාගම් විවිධ ආරම්භක කොන්දේසි ඇති බව - එබැවින්, ඔබගේ නඩුවේදී, සම්පූර්ණයෙන්ම වෙනස් වෙනස්කම් අවශ්ය විය හැකිය.
වෙනස්කම් වලට සේවක ප්රතික්රියා
පුදුමයට කරුණක් නම් - මෙන්න අපි නරකම දේ අපේක්ෂා කළෙමු - එය එතරම් නරක නැත. සගයන් ඉතා උද්යෝගයෙන් සහතික කිරීමේ පුවත ලැබුණු බව පැවසිය නොහැක, නමුත් පහත සඳහන් දේ පැහැදිලි විය:
- සියලුම ප්රධාන සේවකයින් මෙම සිදුවීමේ වැදගත්කම සහ නොවැළැක්විය හැකි බව වටහා ගත්හ;
- අනෙකුත් සියලුම සේවකයින් ප්රධාන සේවකයින් දෙස බැලුවා.
ඇත්ත වශයෙන්ම, අපගේ කර්මාන්තයේ විශේෂතා අපට බොහෝ උපකාර විය - ගිණුම්කරණ කාර්යයන් බාහිරින් ලබා ගැනීම. අපගේ සේවකයින්ගෙන් අතිමහත් බහුතරය රුසියානු නීතිවල නිරන්තර වෙනස්කම් සමඟ හොඳින් කටයුතු කරයි. ඒ අනුව, දැන් පිළිපැදිය යුතු නව නීති දුසිම් දෙකක් හඳුන්වාදීම ඔවුන්ට සාමාන්ය දෙයක් නොවීය.
අපි අපගේ සියලුම සේවකයින් සඳහා නව අනිවාර්ය ISO 27001 පුහුණුව සහ පරීක්ෂණ සකස් කර ඇත. සියලු දෙනා කීකරු ලෙස ඔවුන්ගේ මොනිටරයෙන් මුරපද සහිත ඇලෙන සුළු සටහන් ඉවත් කර ලේඛනවලින් පිරී තිබූ මේස ඉවත් කළහ. ඝෝෂාකාරී අතෘප්තියක් දක්නට නොලැබුණි - පොදුවේ ගත් කල, අපි අපගේ සේවකයින් සමඟ ඉතා වාසනාවන්ත විය.
මේ අනුව, අපි අපගේ ව්යාපාර ක්රියාවලීන්හි වෙනස්කම් හා සම්බන්ධ වඩාත්ම වේදනාකාරී අවධිය - “මානසික අවපීඩනය” පසු කර ඇත්තෙමු. එය දුෂ්කර හා දුෂ්කර වූ නමුත් අවසානයේ ප්රතිඵලය අපගේ සියලු අපේක්ෂාවන් ඉක්මවා ගියේය.
මාලාවේ පෙර ද්රව්ය කියවන්න:
ISO/IEC 5 සහතිකයේ නොවැළැක්විය හැකි අදියර 27001ක්. මානසික අවපීඩනය.
ISO/IEC 5 සහතිකයේ නොවැළැක්විය හැකි අදියර 27001ක්. දරුකමට හදා ගැනීම.
මූලාශ්රය: www.habr.com