ISO/IEC 5 සහතිකයේ නොවැළැක්විය හැකි අදියර 27001ක්. නිෂේධනය

සමාගම සඳහා උපායමාර්ගිකව වැදගත් තීරණයක් ගන්නා විට, සේවකයින් මූලික ආරක්ෂක යාන්ත්‍රණයක් හරහා ගමන් කරයි, එය වෙනස් කිරීමට ප්‍රතිචාර දැක්වීමේ අදියර 5 ලෙස හැඳින්වේ (E. Kübler-Ross විසිනි). කීර්තිමත් මනෝවිද්‍යාඥයෙක් වරක් චිත්තවේගීය ප්‍රතික්‍රියා විස්තර කළ අතර, චිත්තවේගීය ප්‍රතිචාරයේ ප්‍රධාන අදියර 5ක් ඉස්මතු කරයි: ප්‍රතික්ෂේප කිරීම, කෝපය, කේවල් කරනවා, අවපාතය අවසානයේ දරුකමට හදා ගැනීම. අපි ISO 27001 සහතිකය සඳහා කැප වූ ලිපි මාලාවක් සකස් කර ඇත, එහිදී අපි එක් එක් අදියර දෙස බලමු. අද අපි ඔවුන්ගෙන් පළමුවැන්න ගැන කතා කරමු - ප්රතික්ෂේප කිරීම.

ISO 27001 සහතිකය "ප්‍රදර්ශනය සඳහා" ලබා ගැනීම ඉතා සැක සහිත සතුටකි, මන්ද එයට දිගු හා මිල අධික සූදානමක් අවශ්‍ය වේ. එපමණක්ද නොව, එය පෙන්නුම් කරන පරිදි සංඛ්‍යාලේඛන, මෙම ප්‍රමිතිය රුසියානු සමූහාණ්ඩුවේ අතිශයින් ජනප්‍රිය නොවේ: මේ දක්වා අනුකූල වීම සඳහා සහතික කර ඇත්තේ සමාගම් 70 ක් පමණි. ඒ අතරම, මෙය විදේශයන්හි වඩාත්ම ජනප්‍රිය ප්‍රමිතීන්ගෙන් එකකි, තොරතුරු ආරක්ෂණ ක්‍ෂේත්‍රයේ ව්‍යාපාරවල වර්ධනය වන ඉල්ලුම සපුරාලීම.

අපගේ සමාගම සම්පූර්ණ පරාසයක ගිණුම්කරණ කාර්යයන් බාහිරින් ලබා ගැනීමේ සේවා සපයයි: ගිණුම්කරණය සහ බදු ගිණුම්කරණය, වැටුප් ලේඛනය සහ පිරිස් පරිපාලනය. විශේෂයෙන් රුසියාවේ ශාඛා ඇති විදේශීය සමාගම් ඔවුන්ගේ රහස්‍ය තොරතුරු අපව විශ්වාස කරන නිසා අපි ප්‍රමුඛ පෙළේ වෙළඳපල තනතුරක් දරයි. මෙය අපගේ ගනුදෙනුකරුවන්ගේ මූල්‍ය ක්‍රියාවලීන්ට පමණක් නොව, අප දිනපතා වැඩ කරන පුද්ගලික දත්තවලටද අදාළ වේ. මේ සම්බන්ධයෙන්, තොරතුරු සුරක්ෂිතභාවය පිළිබඳ ගැටළුව අපගේ ප්‍රමුඛතාවයකි.

බොහෝ විට, රුසියානු අංශවල සියලුම ව්‍යාපාරික ක්‍රියාවලීන් පාලනය කර ප්‍රකාශ කරනු ලබන්නේ විදේශීය සමාගම්වල ප්‍රධාන කාර්යාල මගින් වන අතර එබැවින් ඒවා අභ්‍යන්තර සමූහ ව්‍යාප්ත ප්‍රමිතීන්ට අනුකූල විය යුතුය. මෑතදී, අපගේ ප්‍රධාන ගනුදෙනුකරුවන්ගෙන් සමහරක් ඔවුන්ගේ ආරක්ෂක ප්‍රතිපත්ති දැඩි කිරීමේ දිශාවට සංශෝධනය කිරීමට පටන් ගෙන ඇත. ඇත්ත වශයෙන්ම, මෙයට හේතුව ගෝලීය ප්‍රවණතා වැඩි වන සයිබර් ප්‍රහාර සහ තොරතුරු ආරක්ෂණ කඩවීම් සිදුවීම් හා සම්බන්ධ පාඩුයි.සමාගමේ තොරතුරු ආරක්ෂාව වැඩි කිරීම අරමුණු කරගත් ආරක්ෂණ පියවර, ප්‍රතිපත්ති සහ ක්‍රියා පටිපාටි ක්‍රියාත්මක කිරීමට අවශ්‍ය නම්, ඔබට ISO නොමැතිව කළ හැකිය. /IEC 27001 සහතිකය, එමඟින් විශාල මුදලක්, කාලය සහ ස්නායු ඉතිරි වේ.

අද, සමාගම තුළ පවතින තොරතුරු ආරක්ෂාව සඳහා වන අවශ්යතා විදේශීය ගනුදෙනුකරුවන්ගෙන් ටෙන්ඩර්වල පෙනී සිටීමට පටන් ගෙන තිබේ. සමහරක්, ඔවුන්ගේ සත්‍යාපනය සරල කිරීම සහ ප්‍රවේශය ඒකාබද්ධ කිරීම සඳහා, අනිවාර්ය ඇගයීම් නිර්ණායකයක් සකසයි - ISO/IEC 27001 සහතිකය තිබීම.

මෙන්න අපි දැක ඇති දේ: මෙම ප්‍රමිතියට සහතික කර ඇති අපගේ ප්‍රධාන ජාත්‍යන්තර සේවාදායකයන්ගෙන් එකක් එහි ගෝලීය තොරතුරු ආරක්ෂණ කණ්ඩායම සැලකිය යුතු ලෙස ශක්තිමත් කර ඇති බව පෙනේ. අපි කොහොමද මේ ගැන දැනගත්තේ? ඔවුන් අපගේ තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතිය විගණනය කිරීමට තීරණය කළේ, අපි ඔවුන්ට ගිණුම්කරණ සේවා සහ පිරිස් පරිපාලනය ලබා දෙන බැවිනි - සහ ඒ අනුව, අපගේ තොරතුරු පද්ධතිවල ආරක්ෂාව ඔවුන්ට තීරණාත්මක ලෙස වැදගත් වේ. පෙර විගණනය මීට වසර 3 කට පෙර සිදු විය - එම අවස්ථාවේ සෑම දෙයක්ම වේදනා රහිතව සිදු විය.

මෙවර සුහද ඉන්දියානු කණ්ඩායමක් අපට පහර දුන්නේ අපගේ ආරක්‍ෂක කළමනාකරණ පද්ධතියේ අඩුපාඩු දුසිම් කිහිපයක් දක්ෂ ලෙස අනාවරණය කරමිනි. විගණන ක්‍රියාවලිය සංසාරයේ රෝදයට සමාන විය - ප්‍රතිපත්තිමය වශයෙන් ඔවුන්ට විගණනයේ කොටසක් ලෙස කිසිදු අවසාන ලක්ෂ්‍යයකට ළඟා වීමේ ඉලක්කයක් නොමැති බව පෙනෙන්නට තිබුණි. එය නිමක් නැති ප්‍රශ්න, අදහස්, අපගේ අදහස් සහ ඒවායේ යථාර්ථය පිළිබඳ සාක්ෂි, සම්මන්ත්‍රණ ඇමතුම් සහ සේවාලාභියාගේ තොරතුරු තාක්ෂණ ආරක්ෂක කණ්ඩායමේ උච්චාරණය හඳුනා ගැනීමට උත්සාහ කිරීමේදී දිගු දාර්ශනික සංවාද මාලාවක් විය. මාර්ගය වන විට, විගණනය අද දක්වා විවිධ තීව්‍රතාවයකින් අඛණ්ඩව පවතී - කාලයත් සමඟ අපි මේ සමඟ එකඟ වී ඇත. මේ අනුව, සහතික කිරීමේ අවශ්යතාව තනිවම පැන නැගී ඇත.

සමහර විට අපට ISO 9001 සමඟ කළ හැකිද?

ISO 9001 "තත්ත්ව කළමනාකරණ පද්ධතිය" සහතිකය ඒ සෑම එකක් සඳහාම පදනම බව ඕනෑම ISO ප්‍රමිතීන්ට අනුව සහතික කිරීමේ නිකුතුවේ වැඩි හෝ අඩු අවබෝධයක් ඇති සෑම කෙනෙකුම තේරුම් ගනී. මෙය ISO ප්‍රමිතීන්ගේ සමස්ත පේළියේ දැනට ඇති වඩාත්ම ජනප්‍රිය සහතිකය විය හැක. අපට එය නොතිබුණි - අපි එය ලබා නොගැනීමට තීරණය කළෙමු. මේ සඳහා හේතු කිහිපයක් විය:

• මෙම සහතිකය ඇති සමාගමේ සැක සහිත ආර්ථික කාර්යක්ෂමතාව;
• අපගේ අභ්‍යන්තර ක්‍රියාවලීන් බොහෝ දුරට දැනටමත් මෙම ප්‍රමිතියට සමීප විය;
• මෙම සහතිකය ලබා ගැනීම සඳහා අමතර කාලයක් සහ මුදල් අවශ්‍ය වේ.

ඒ අනුව, “සැහැල්ලු” 27001 සමඟ ආරම්භ නොකර ISO 9001 වහාම ක්‍රියාත්මක කිරීමට අපි තීරණය කළෙමු.

නැත්නම් සමහර විට එය තවමත් අවශ්ය නොවේ ද?

ඉදිරිය දෙස බලන විට, එය ලබා ගැනීම සුදුසුද යන ප්‍රශ්නයට අපි බොහෝ වාරයක් නැවත පැමිණ ඇත්තෙමු. අපට කිසිදු විශේෂඥ දැනුමක් නොතිබූ නිසා අපි සෑම පැත්තකින්ම ගැටලුව අධ්‍යයනය කිරීමට පටන් ගත්තෙමු. ඒ වගේම මේ ප්‍රශ්නය ගැන නැවත වරක් සිතන්නට හේතු වූ වැරදි වැටහීම් මෙන්න.

වැරදි වැටහීම #1.
ප්‍රමිතියෙන් අපට සවිස්තර පිරික්සුම් ලැයිස්තුවක්, ප්‍රතිපත්ති ලැයිස්තුවක් සහ වෙනත් ව්‍යවස්ථාපිත ලේඛන ලබා දෙනු ඇතැයි අපි බලාපොරොත්තු වෙමු. යථාර්ථයේ දී, ISO/IEC 27001 යනු තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතිය සහ ගොඩනඟන ක්‍රියාවලිය සඳහා අවශ්‍යතා සමූහයක් බව පෙනී ගියේය. ඒවා මත පදනම්ව, සම්මතයේ අවශ්‍යතාවලට අනුකූල වීම සඳහා අපගේ සමාගම තුළ ලිවිය යුතු / ක්‍රියාත්මක කළ යුතු දේ ස්වාධීනව තීරණය කිරීම අවශ්‍ය විය.

වැරදි වැටහීම #2.
එක් ලේඛනයක් අධ්‍යයනය කර එය සාපේක්ෂ වශයෙන් කෙටි කාලයක් තුළ අප විසින්ම ක්‍රියාත්මක කිරීම ප්‍රමාණවත් බව අපි අවංකවම විශ්වාස කළෙමු. යථාර්ථයේ දී, ලේඛනය කියවන විට, අපගේ සම්මතය "ඇලුණු" කොපමණ ප්‍රමිතීන්, කොපමණ ප්‍රමිතීන් (අවම වශයෙන් මතුපිටින්) හුරු කර ගත යුතුද යන්න අපට වැටහුණි. කේක් මත ඇති "චෙරි" යනු පොදු වසමෙහි වත්මන් ප්රමිති පාඨ නොමැති වීමයි - ඒවා නිල ISO වෙබ් අඩවියෙන් මිලදී ගැනීමට සිදු විය.

වැරදි වැටහීම #3.
සහතික කිරීම සඳහා සූදානම් වීමට අවශ්‍ය සියල්ල විවෘත මූලාශ්‍රවලින් සොයා ගත හැකි බව අපට විශ්වාස විය. ඇත්ත වශයෙන්ම අන්තර්ජාලයේ ISO 27001 හි බොහෝ ද්‍රව්‍ය තිබුනත්, ඒවායේ විශේෂතා අඩු විය. සහතික කිරීම සඳහා සූදානම් වීම සඳහා ප්රායෝගිකව පහසුවෙන් තේරුම් ගත හැකි පියවරෙන් පියවර උපදෙස් මෙන්ම මෙම ප්රමිතිය ක්රියාත්මක කළ සමාගම්වල සැබෑ සිද්ධීන් ද නොතිබුණි.

වැරදි වැටහීම #4.
අපි ප්‍රතිපත්ති ලියමු, නමුත් ඒවා ක්‍රියාත්මක නොවනු ඇත! හොඳයි, එය සත්‍යයකි, අපගේ සමාගමට දැනටමත් බොහෝ නීති ඇත, කිසිවෙකු තවත් නව ප්‍රතිපත්ති දුසිම් 3 කට අනුකූල නොවනු ඇත. යථාර්ථයේ දී, වාසනාවකට මෙන්, අපගේ සේවකයින් නව නීති රීති වගකීමෙන් ප්‍රගුණ කිරීමේ කාර්යය භාර ගත් අතර තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධති ලේඛන පිළිබඳ දැනුම සඳහා පරීක්ෂණ සාර්ථකව සමත් විය.

වැරදි වැටහීම #5.
ඒ වෙලාවේ අපේ උත්සාහයෙන් අපිට ලැබෙන ප්‍රතිලාභ මොනවාද කියලා පැහැදිලිව තක්සේරු කරන්න බැරි වුණා. එකල, මෙම සහතිකය සඳහා ඉල්ලීම් ගණන එතරම් විශාල නොවූ අතර, සහතික කිරීමට බොහෝ කලකට පෙර අපගේ ප්රධාන සහ වඩාත්ම ඉල්ලූ සේවාදායකයා අප සතුව ඇත. අපි ප්‍රමිතියකින් තොරව කළමනාකරණය කළ බව අත්දැකීමෙන් පෙන්නුම් කළා.

යම් අවස්ථාවක දී, අපි සේවාදායකයාගේ අවශ්‍යතා හේතුවෙන් එක් හෝ තවත් නැගී එන පරතරයක් අවුල් සහගත ලෙස වසා දමන බව අපට වැටහුණි. සෑම අවස්ථාවකදීම අපි නව ප්‍රතිපත්ති හෝ විසඳුම් ඉදිරිපත් කළෙමු. අනාගතයේදී අපට විශාල ශ්‍රම පිරිවැයක් පවා ඉතිරි කර ගත හැකි ක්‍රියාවලිය ක්‍රමානුකූල කිරීම වඩාත් පහසු වනු ඇතැයි අපි අවසානයේ ස්වාධීනව නිගමනය කළෙමු. සම්මතය මෙම කාර්යය සරල කිරීමට අදහස් කරන ලදී.

දැන්, වසර දෙකකට පසුව, ප්‍රධාන ජාත්‍යන්තර ගනුදෙනුකරුවන්ගෙන් මෙම ගැටලුව සඳහා ඉල්ලීම් සහ උනන්දුව වැඩි වීමේ ප්‍රවණතාවක් අපි දකිමු.

අවසන් තීරණය.

අවසාන වශයෙන්, අපගේ කර්මාන්ත නායකයින්ට ISO/IEC 27001 සහතිකය ලැබී ඇති බව පැවසීමට අපි කැමැත්තෙමු, එමඟින් අනෙකුත් සියලුම ප්‍රධාන සැපයුම්කරුවන්ට (අප ඇතුළුව) මෙම ගැටළුව ගැන සිතීමට බල කර ඇත. නිසැකවම, සමාගමේ අලෙවිකරණ ද්‍රව්‍යවල ලස්සන රේඛාවක් - වෙබ් අඩවියේ, සමාජ ජාල වල, වෙළඳ ප්‍රචාරණ පත්‍රිකාවල යනාදිය. - ප්රසන්න ප්රසාද දීමනාවක් ලෙස සැලකිය හැකිය, නමුත් එය සඳහා බොහෝ සම්පත් වියදම් කිරීම වටී ද? අපට මෙය ලස්සන රේඛාවකට වඩා වැඩි දෙයක් බව අපිම තීරණය කළ අතර අපි මෙම ව්‍යාපෘතියට සම්බන්ධ විය.

මූලාශ්රය: www.habr.com