Faza e katërt e përgjigjes emocionale ndaj ndryshimit është depresioni. Në këtë artikull do t'ju tregojmë për përvojën tonë të kalimit në fazën më të zgjatur dhe të pakëndshme - për ndryshimet në proceset e biznesit të kompanisë për të arritur përputhjen e tyre me standardin ISO 27001.
pritje
Pyetja e parë që i bëmë vetes pas përzgjedhjes së organizmit certifikues dhe konsulentit ishte se sa kohë do të na duhej vërtet për të bërë të gjitha ndryshimet e nevojshme?
Plani fillestar i punës ishte planifikuar në atë mënyrë që duhej ta përfundonim brenda 3 muajve.
Gjithçka dukej e thjeshtë: ishte e nevojshme të shkruanim nja dy duzina politikash dhe të ndryshonim pak proceset tona të brendshme; më pas trajnoni kolegët për ndryshimet dhe prisni 3 muaj të tjerë (në mënyrë që të shfaqen "regjistrat", domethënë dëshmitë e funksionimit të politikave). Dukej se kjo ishte e gjitha - dhe certifikata ishte në xhepin tonë.
Për më tepër, ne nuk do të shkruanim politika nga e para - në fund të fundit, kishim një konsulent i cili, siç menduam, supozohej të na jepte të gjitha shabllonet "korrekte".
Si rezultat i këtyre përfundimeve, ne kemi ndarë 3 ditë për të përgatitur secilën politikë.
Ndryshimet teknike gjithashtu nuk dukeshin të frikshme: ishte e nevojshme të konfigurohej mbledhja dhe ruajtja e ngjarjeve, të kontrollohej nëse kopjet rezervë përputhen me politikën që kemi shkruar, rinovimi i zyrave me sisteme të kontrollit të hyrjes aty ku ishte e nevojshme dhe disa gjëra të tjera të vogla. .
Ekipi që përgatit gjithçka të nevojshme për certifikim përbëhej nga dy persona. Planifikuam që ata të përfshiheshin në zbatim paralelisht me përgjegjësitë e tyre kryesore dhe kjo do t'i merrte secilit maksimum 1,5-2 orë në ditë.
Për ta përmbledhur, mund të themi se pikëpamja jonë për fushëveprimin e ardhshëm të punës ishte mjaft optimiste.
realitet
Në realitet, gjithçka ishte natyrshëm ndryshe: modelet e politikave të ofruara nga konsulenti rezultuan të ishin kryesisht të pazbatueshme për kompaninë tonë; Nuk kishte pothuajse asnjë informacion të qartë në internet se çfarë dhe si të bëni. Siç mund ta imagjinoni, plani për të "shkruar një politikë në 3 ditë" dështoi keq. Kështu që ne ndaluam respektimin e afateve pothuajse që në fillim të projektit dhe humori ynë filloi të bjerë ngadalë.
Ekspertiza e ekipit ishte katastrofikisht e vogël - aq sa nuk mjaftonte as për t'i bërë pyetjet e duhura konsulentit (i cili, nga rruga, nuk tregoi shumë iniciativë). Gjërat filluan të ecin edhe më ngadalë, pasi 3 muaj pas fillimit të zbatimit (pra në momentin kur gjithçka duhej të ishte gati), njëri nga dy pjesëmarrësit kryesorë u largua nga ekipi. Ai u zëvendësua nga një drejtues i ri i shërbimit IT, i cili duhej të përfundonte me shpejtësi procesin e zbatimit dhe t'i siguronte sistemit të menaxhimit të sigurisë së informacionit gjithçka më të nevojshme nga pikëpamja teknike. Detyra dukej e vështirë... Përgjegjësit filluan të bien në depresion.
Për më tepër, ana teknike e çështjes doli gjithashtu të kishte "nuanca". Ne jemi përballur me detyrën e modernizimit global të softuerit si në stacionet e punës ashtu edhe në pajisjet e serverëve. Gjatë konfigurimit të sistemit për mbledhjen e ngjarjeve (log-eve), rezultoi se nuk kishim burime të mjaftueshme harduerike për funksionimin normal të sistemit. Dhe softueri rezervë gjithashtu kishte nevojë për modernizim.
Spoiler: Si rezultat, ISMS u zbatua heroikisht në 6 muaj. Dhe askush nuk vdiq!
Çfarë ka ndryshuar më shumë?
Sigurisht, gjatë zbatimit të standardit, një numër i madh ndryshimesh të vogla ndodhën në proceset e kompanisë. Ne kemi theksuar ndryshimet më të rëndësishme për ju:
- Formalizimi i procesit të vlerësimit të rrezikut
Më parë, kompania nuk kishte asnjë proces zyrtar të vlerësimit të rrezikut - ai bëhej vetëm kalimthi si pjesë e planifikimit të përgjithshëm strategjik. Një nga detyrat më të rëndësishme të zgjidhura si pjesë e certifikimit ishte zbatimi i Politikës së Vlerësimit të Riskut të kompanisë, e cila përshkruan të gjitha fazat e këtij procesi dhe personat përgjegjës për secilën fazë.
- Kontroll mbi median e lëvizshme të ruajtjes
Një nga rreziqet e rëndësishme për biznesin ishte përdorimi i disqeve USB të pakriptuara: në fakt, çdo punonjës mund të shkruante çdo informacion që i disponohej në një flash drive dhe, në rastin më të mirë, ta humbiste atë. Si pjesë e certifikimit, aftësia për të shkarkuar çdo informacion në disqet flash u çaktivizua në të gjitha stacionet e punës së punonjësve - regjistrimi i informacionit u bë i mundur vetëm përmes një aplikacioni në departamentin e IT.
- Super Kontrolli i Përdoruesit
Një nga problemet kryesore ishte fakti se të gjithë punonjësit e departamentit të IT kishin të drejta absolute në të gjitha sistemet e kompanisë - ata kishin akses në të gjitha informacionet. Në të njëjtën kohë, askush nuk i kontrollonte vërtet.
Ne kemi zbatuar një sistem Parandalimi të Humbjes së të Dhënave (DLP) - një program për monitorimin e veprimeve të punonjësve që analizon, bllokon dhe alarmon për aktivitete të rrezikshme dhe joproduktive. Tani sinjalizimet për veprimet e punonjësve të departamentit të IT dërgohen në adresën e emailit të Drejtorit të Operacioneve të kompanisë.
- Qasje për organizimin e infrastrukturës së informacionit
Certifikimi kërkon ndryshime dhe qasje globale. Po, na u desh të përmirësonim një numër pajisjesh serveri për shkak të ngarkesës së shtuar. Në veçanti, ne kemi dedikuar një server të veçantë për sistemet e mbledhjes së ngjarjeve. Serveri ishte i pajisur me disqe të mëdha dhe të shpejta SSD. Ne braktisëm softuerin rezervë dhe zgjodhëm sistemet e ruajtjes që kanë të gjithë funksionalitetin e nevojshëm jashtë kutisë. Ne bëmë disa hapa të mëdhenj drejt konceptit "infrastruktura si kod", i cili na lejoi të kursenim shumë hapësirë në disk duke eliminuar rezervimin e një numri serverësh. Në kohën më të shkurtër të mundshme (1 javë), i gjithë softueri në stacionet e punës u përditësua në Win10. Një nga çështjet që zgjidhi modernizimi ishte aftësia për të aktivizuar enkriptimin (në versionin Pro).
- Kontroll mbi dokumentet në letër
Kompania kishte rreziqe të konsiderueshme që lidhen me përdorimin e dokumenteve në letër: ato mund të humbasin, të liheshin në vendin e gabuar ose të shkatërroheshin në mënyrë të pahijshme. Për të minimizuar këtë rrezik, ne kemi shënuar të gjitha dokumentet në letër sipas nivelit të konfidencialitetit dhe kemi zhvilluar një procedurë për asgjësimin e llojeve të ndryshme të dokumenteve. Tani, kur një punonjës hap një dosje ose merr një dokument, ai e di saktësisht se në cilën kategori bëjnë pjesë ky informacion dhe si ta trajtojë atë.
- Marrja me qira e një qendre të dhënash rezervë
Më parë, të gjitha informacionet e kompanisë ruheshin në serverë të vendosur në një qendër të sigurt të dhënash të palëve të treta. Megjithatë, nuk kishte procedura emergjente në këtë qendër të të dhënave. Zgjidhja ishte marrja me qira e një qendre rezervë të të dhënave cloud dhe kopjimi i informacionit më të rëndësishëm atje. Aktualisht, informacioni i kompanisë ruhet në dy qendra të dhënash të largëta gjeografikisht, gjë që minimizon rrezikun e humbjes së saj.
- Testimi i vazhdimësisë së biznesit
Kompania jonë ka një Politikë të Vazhdueshmërisë së Biznesit (BCP) prej disa vitesh, e cila përshkruan se çfarë duhet të bëjnë punonjësit në skenarë të ndryshëm negativë (humbje aksesi në zyrë, epidemi, ndërprerje të energjisë elektrike, etj.). Sidoqoftë, ne kurrë nuk kemi kryer testime të vazhdimësisë - domethënë, nuk kemi matur kurrë se sa kohë do të duhej për të rivendosur biznesin në secilën prej këtyre situatave. Në përgatitje për auditimin e certifikimit, ne jo vetëm që e bëmë këtë, por gjithashtu zhvilluam një plan testimi të vazhdimësisë së biznesit për vitin e ardhshëm. Vlen të përmendet se një vit më vonë, kur u përballëm me nevojën për të kaluar plotësisht në punë në distancë, ne e përfunduam këtë detyrë në tre ditë.
Është e rëndësishme të theksohet, që të gjitha kompanitë që përgatiten për certifikim kanë kushte të ndryshme fillestare - prandaj, në rastin tuaj, mund të kërkohen ndryshime krejtësisht të ndryshme.
Reagimet e punonjësve ndaj ndryshimeve
Mjaft e çuditshme - këtu ne prisnim më të keqen - doli jo aq keq. Nuk mund të thuhet se kolegët e morën lajmin e certifikimit me shumë entuziazëm, por sa vijon ishte e qartë:
- Të gjithë punonjësit kryesorë e kuptuan rëndësinë dhe pashmangshmërinë e kësaj ngjarjeje;
- Të gjithë punonjësit e tjerë u drejtuan nga punonjësit kryesorë.
Natyrisht, specifikat e industrisë sonë na ndihmuan shumë - kontraktimi i funksioneve të kontabilitetit. Shumica dërrmuese e punonjësve tanë përballen mirë me ndryshimet e vazhdueshme në legjislacionin rus. Prandaj, futja e disa dhjetëra rregullave të reja që tani duhet të respektohen nuk ishte diçka e pazakontë për ta.
Ne kemi përgatitur trajnime dhe testime të reja të detyrueshme ISO 27001 për të gjithë punonjësit tanë. Të gjithë me bindje hoqën shënimet ngjitëse me fjalëkalime nga monitorët e tyre dhe pastruan tavolinat e mbushura me dokumente. Nuk u vu re asnjë pakënaqësi me zë të lartë - në përgjithësi, ne ishim shumë me fat me punonjësit tanë.
Kështu, ne kemi kaluar fazën më të dhimbshme - "depresioni" - i lidhur me ndryshimet në proceset tona të biznesit. Ishte e vështirë dhe e vështirë, por rezultati në fund i tejkaloi të gjitha pritjet tona më të egra.
Lexoni materialet e mëparshme nga seria:
5 fazat e pashmangshmërisë së certifikimit ISO/IEC 27001. Depresioni.
5 fazat e pashmangshmërisë së certifikimit ISO/IEC 27001. Birësimi.
Burimi: www.habr.com