Kur marrin ndonjë vendim të rëndësishëm strategjik për kompaninë, punonjësit kalojnë përmes një mekanizmi bazë mbrojtës, i njohur mirë si 5 fazat e reagimit ndaj ndryshimit (nga E. Kübler-Ross). Një psikolog i shquar dikur përshkroi reagimet emocionale, duke theksuar 5 fazat kryesore të reagimit emocional: mohim, zemërimi, ujdi, депрессия dhe më në fund Birësimi. Ne kemi përgatitur një seri artikujsh kushtuar certifikimit ISO 27001, ku do të shikojmë secilën nga fazat. Sot do të flasim për të parën prej tyre - mohimin.
Marrja e një certifikate ISO 27001 “për shfaqje” është një kënaqësi shumë e dyshimtë, sepse kërkon përgatitje të gjatë dhe të kushtueshme. Për më tepër, siç tregon , ky standard është jashtëzakonisht i papëlqyer në Federatën Ruse: deri më sot, vetëm 70 kompani janë certifikuar për pajtueshmërinë. Në të njëjtën kohë, ky është një nga standardet më të njohura jashtë vendit, duke përmbushur kërkesat në rritje të biznesit në fushën e sigurisë së informacionit.
Kompania jonë ofron një gamë të plotë shërbimesh outsourcing për funksionet e kontabilitetit: kontabilitetin dhe kontabilitetin tatimor, listën e pagave dhe administrimin e personelit. Ne zëmë një nga pozicionet kryesore të tregut, veçanërisht për faktin se kompanitë e huaja me degë në Rusi na besojnë informacionin e tyre konfidencial. Kjo vlen jo vetëm për proceset financiare të klientëve tanë, por edhe për të dhënat personale me të cilat punojmë në baza ditore. Në këtë drejtim, çështja e sigurisë së informacionit është një nga prioritetet tona.
Shpesh, të gjitha proceset e biznesit të divizioneve ruse kontrollohen dhe deklarohen nga zyrat qendrore të kompanive të huaja, dhe për këtë arsye ato duhet të përputhen me standardet e brendshme të grupit. Së fundmi, disa nga klientët tanë kryesorë kanë filluar të rishikojnë politikat e tyre të sigurisë në drejtim të shtrëngimit të tyre. Sigurisht, kjo është për shkak të tendencave globale të numrit në rritje të sulmeve kibernetike dhe humbjeve që lidhen me incidentet e shkeljes së sigurisë së informacionit. Nëse është e nevojshme të zbatohen masat, politikat dhe procedurat e mbrojtjes që synojnë rritjen e sigurisë së informacionit të kompanisë, mund të bëni pa ISO Çertifikimi /IEC 27001, duke kursyer kështu shumë para, kohë dhe nerva.
Sot, kërkesat për sigurinë ekzistuese të informacionit në kompani kanë filluar të shfaqen në tendera nga klientët e huaj. Disa, për të thjeshtuar verifikimin e tyre dhe për të unifikuar qasjen, vendosin një kriter të detyrueshëm vlerësimi - praninë e certifikimit ISO/IEC 27001.
Ja çfarë kemi parë: Një nga klientët tanë kryesorë ndërkombëtarë i certifikuar sipas këtij standardi duket se ka forcuar ndjeshëm ekipin e tij global të sigurisë së informacionit. Si e dinim ne për këtë? Ata vendosën të auditojnë sistemin tonë të menaxhimit të sigurisë së informacionit, sepse ne u ofrojmë atyre shërbime të kontabilitetit dhe administrim të personelit - dhe, në përputhje me rrethanat, siguria e sistemeve tona të informacionit është jashtëzakonisht e rëndësishme për ta. Auditimi i mëparshëm u zhvillua 3 vjet më parë - atë herë gjithçka shkoi pa dhimbje.
Këtë herë, një ekip miqësor indianësh na sulmoi, duke zbuluar me shkathtësi disa dhjetëra mangësi në sistemin tonë të menaxhimit të sigurisë. Procesi i auditimit i ngjante timonit të Samsarës - dukej se në parim ata nuk kishin synim të arrinin ndonjë pikë përfundimtare si pjesë e auditimit. Ishte një varg i pafund pyetjesh, komentesh, komentesh tona dhe dëshmi të realitetit të tyre, thirrje konferencash dhe biseda të gjata filozofike në përpjekje për të njohur theksin e ekipit të sigurisë IT të klientit. Nga rruga, auditimi vazhdon me shkallë të ndryshme intensiteti deri më sot - me kalimin e kohës, ne jemi pajtuar me këtë. Kështu, nevoja për certifikim ka lindur vetë.
Ndoshta mund të mjaftohemi me ISO 9001?
Të gjithë ata që janë pak a shumë të zgjuar në çështjen e certifikimit sipas ndonjë prej standardeve ISO, e kuptojnë se baza për secilin prej tyre është certifikata ISO 9001 “Sistemi i Menaxhimit të Cilësisë”. Kjo është ndoshta certifikata më e njohur aktualisht në të gjithë linjën e standardeve ISO. Nuk e kishim - dhe vendosëm të mos e merrnim. Kishte disa arsye për këtë:
- efikasiteti ekonomik i dyshimtë i kompanisë që ka këtë certifikatë;
- proceset tona të brendshme, në pjesën më të madhe, ishin tashmë afër këtij standardi;
- Marrja e kësaj certifikate do të kërkonte kohë dhe para shtesë.
Prandaj, ne vendosëm të zbatonim menjëherë ISO 27001, pa filluar me "çakmak" 9001.
Apo ndoshta nuk është ende e nevojshme?
Duke parë përpara, ne i jemi kthyer shumë herë pyetjes nëse është e këshillueshme ta marrim atë. Filluam ta studiojmë çështjen nga të gjitha anët, sepse nuk kishim absolutisht asnjë ekspertizë. Dhe këtu janë keqkuptimet që na bënë të mendojmë për këtë çështje edhe një herë.
Keqkuptimi numër 1.
Shpresuam që standardi të na siguronte një listë kontrolli të detajuar, një listë politikash dhe dokumente të tjera statutore. Në realitet, rezultoi se ISO/IEC 27001 është një grup kërkesash për vetë sistemin e menaxhimit të sigurisë së informacionit dhe procesin që po ndërtohet. Në bazë të tyre, ishte e nevojshme të vendosnim në mënyrë të pavarur se çfarë të shkruanim/zbatojmë në kompaninë tonë për të përmbushur kërkesat e standardit.
Keqkuptimi numër 2.
Ne sinqerisht besuam se do të mjaftonte që të studionim një dokument dhe ta zbatonim vetë në një kohë relativisht të shkurtër. Në realitet, gjatë leximit të dokumentit, kuptuam se me sa standarde të lidhura "ngjitet" standardi ynë, me sa standarde duhet të njihemi (të paktën sipërfaqësisht). "qershia" në tortë ishte mungesa e teksteve të standardeve aktuale në domenin publik - ato duhej të bliheshin në faqen zyrtare të ISO.
Keqkuptimi numër 3.
Ne ishim të sigurt se do të gjenim gjithçka që na nevojitej për t'u përgatitur për certifikim në burime të hapura. Kishte vërtet shumë materiale për ISO 27001 në internet, por atyre u mungonin specifikat. Praktikisht nuk kishte udhëzime hap pas hapi të lehtë për t'u kuptuar për përgatitjen për certifikim, si dhe raste reale të kompanive që kishin zbatuar këtë standard.
Keqkuptimi numër 4.
Ne do të shkruajmë politika, por ato nuk do të funksionojnë! Epo, është e vërtetë, kompania jonë tashmë ka shumë rregulla, askush nuk do të respektojë 3 duzina politika të reja. Në realitet, për fat të mirë, punonjësit tanë morën detyrën për të zotëruar rregullat e reja me përgjegjësi dhe kaluan me sukses testimin për njohjen e dokumenteve të sistemit të menaxhimit të sigurisë së informacionit.
Keqkuptimi numër 5.
Në atë kohë, ne nuk mund të vlerësonim qartë se çfarë përfitimesh do të merrnim nga përpjekjet tona. Në atë kohë, numri i kërkesave për këtë certifikatë nuk ishte aq i madh dhe ne kishim klientin tonë kryesor dhe më kërkues shumë përpara certifikimit. Përvoja tregoi se ia dolëm pa standard.
Në një moment, ne kuptuam se po mbyllnim në mënyrë kaotike një ose një tjetër boshllëk në zhvillim për shkak të kërkesave të klientit. Çdo herë kemi dalë me disa politika apo zgjidhje të reja. Dhe më në fund në mënyrë të pavarur arritëm në përfundimin se do të ishte shumë më e lehtë të sistemonim procesin, gjë që madje do të na kursente shumë kosto të punës në të ardhmen. Standardi kishte për qëllim të thjeshtonte këtë detyrë.
Tani, dy vite më vonë, shohim një trend në rritje të numrit të kërkesave dhe interesimit për këtë çështje nga klientët kryesorë ndërkombëtarë.
Vendimi përfundimtar.
Si përfundim, dëshirojmë të themi se liderët tanë të industrisë kanë marrë certifikimin ISO/IEC 27001, gjë që ka detyruar të gjithë ofruesit e tjerë kryesorë (përfshirë ne) të mendojnë për këtë çështje. Pa dyshim, një linjë e bukur në materialet e marketingut të kompanisë - në faqen e internetit, në rrjetet sociale, në broshurat reklamuese, etj. – mund të konsiderohet një bonus i këndshëm, por a ia vlen të shpenzoni kaq shumë burime për të? Ne vendosëm vetë që për ne kjo është më shumë se një linjë e bukur dhe u përfshimë në këtë projekt.
Burimi: www.habr.com