Tahap kaopat réspon émosional kana parobahan nyaéta déprési. Dina tulisan ieu kami bakal nyarioskeun ka anjeun ngeunaan pangalaman urang ngalangkungan tahap anu paling berkepanjangan sareng henteu pikaresepeun - ngeunaan parobihan dina prosés bisnis perusahaan pikeun ngahontal patuh kana standar ISO 27001.
Ngantosan
Patarosan kahiji anu urang naroskeun ka diri urang sorangan saatos milih badan sertifikasi sareng konsultan nyaéta sabaraha waktos urang leres-leres kedah ngadamel sagala parobihan anu diperyogikeun?
Rencana kerja awal dijadwalkeun ku cara anu urang kedah ngarengsekeunana dina 3 bulan.
Sagalana katingalina saderhana: peryogi nyerat sababaraha belasan kawijakan sareng rada ngarobih prosés internal urang; teras ngalatih kolega ngeunaan parobihan sareng ngantosan 3 sasih deui (supaya "catetan" muncul, nyaéta, bukti fungsi kawijakan). Éta sigana yén éta sadayana - sareng sertipikat éta dina saku kami.
Salaku tambahan, kami henteu badé nyerat kabijakan ti mimiti - saatosna, kami ngagaduhan konsultan anu, sakumaha anu disangka, sakuduna masihan urang sadayana témplat "leres".
Salaku hasil tina kacindekan ieu, kami nyayogikeun 3 dinten kanggo nyiapkeun unggal kawijakan.
Parobihan téknis ogé henteu matak pikasieuneun: perlu nyetél koleksi sareng neundeun acara, pariksa naha cadangan saluyu sareng kawijakan anu kami tulis, ngarobih kantor nganggo sistem kontrol aksés upami diperyogikeun, sareng sababaraha hal alit sanésna. .
Tim Nyiapkeun sagalana diperlukeun pikeun sertifikasi diwangun ku dua urang. Urang rencanana yén maranéhna bakal aub dina palaksanaan dina paralel jeung tanggung jawab utama maranéhanana, sarta ieu bakal nyandak unggal sahijina maksimum 1,5-2 jam sapoé.
Pikeun nyimpulkeun, urang tiasa nyebatkeun yén pandangan urang ngeunaan ruang lingkup padamelan anu bakal datang éta rada optimis.
Kanyataanana
Dina kanyataanana, sagalana éta alami béda: template kawijakan disadiakeun ku konsultan tétéla lolobana inapplicable ka parusahaan urang; Aya ampir euweuh informasi jelas dina Internet ngeunaan naon jeung kumaha carana ngalakukeun. Sakumaha anjeun tiasa bayangkeun, rencana pikeun "nulis hiji kawijakan dina 3 dinten" gagal parah. Janten urang lirén nyumponan wates waktu ampir ti mimiti proyek, sareng wanda urang mimiti turun lalaunan.
Kaahlian tim éta catastrophically leutik - sahingga teu cukup pikeun naroskeun patarosan anu leres ka konsultan (anu, ku jalan kitu, henteu nunjukkeun seueur inisiatif). Hal mimiti gerak malah leuwih laun, saprak 3 bulan sanggeus mimiti palaksanaan (nyaéta, dina momen lamun sagalana kudu geus siap), salah sahiji dua pamilon konci ditinggalkeun tim. Anjeunna digantikeun ku kapala layanan IT anyar, anu kedah gancang ngalengkepan prosés palaksanaan sarta nyadiakeun sistem manajemen kaamanan informasi jeung sagalana paling diperlukeun ti sudut pandang teknis. Tugasna katingalina hese... Anu tanggung jawabna mimiti depresi.
Salaku tambahan, sisi téknis masalahna ogé ngagaduhan "nuansa". Kami disanghareupan tugas modernisasi parangkat lunak global dina workstations sareng alat server. Nalika nyetél sistem pikeun ngumpulkeun acara (log), tétéla yén urang henteu ngagaduhan sumber hardware anu cukup pikeun fungsi normal sistem. Sareng parangkat lunak cadangan ogé peryogi modérnisasi.
Spoiler: Hasilna, ISMS dilaksanakeun sacara heroik dina 6 bulan. Sareng teu aya anu maot!
Naon anu paling robah?
Tangtosna, nalika palaksanaan standar, sajumlah ageung parobihan leutik lumangsung dina prosés perusahaan. Kami parantos nyorot parobihan anu paling penting pikeun anjeun:
- Formalisasi prosés penilaian résiko
Saméméhna, pausahaan teu boga prosés assessment résiko formal - ieu dipigawé ngan dina lulus salaku bagian tina tata strategis sakabéh. Salah sahiji tugas anu paling penting anu direngsekeun salaku bagian tina sertifikasi nyaéta palaksanaan Kabijakan Penilaian Risk perusahaan, anu ngajelaskeun sadaya tahapan prosés ieu sareng jalma-jalma anu tanggung jawab unggal tahapan.
- Kontrol kana média panyimpen anu tiasa dicabut
Salah sahiji résiko anu penting pikeun bisnis nyaéta pamakean USB flash drive anu henteu énkripsi: kanyataanna, karyawan naon waé tiasa nyerat inpormasi anu sayogi pikeun anjeunna dina flash drive sareng, paling saé, kaleungitan. Salaku bagian tina sertifikasi, kamampuan pikeun ngaunduh inpormasi kana flash drive ditumpurkeun dina sadaya stasiun kerja karyawan - ngarékam inpormasi ngan ukur tiasa dilakukeun ku aplikasi ka departemen IT.
- Super pamaké Control
Salah sahiji masalah utama nyaéta kanyataan yén sadaya karyawan departemén IT ngagaduhan hak mutlak dina sadaya sistem perusahaan - aranjeunna ngagaduhan aksés ka sadaya inpormasi. Dina waktos anu sami, teu aya anu leres-leres ngawasa aranjeunna.
Kami parantos ngalaksanakeun sistem Pencegahan Kaleungitan Data (DLP) - program pikeun ngawaskeun lampah karyawan anu nganalisa, ngablokir sareng ngageter ngeunaan kagiatan anu bahaya sareng henteu produktif. Ayeuna béwara ngeunaan tindakan karyawan departemen IT dikirim ka alamat email Diréktur Operasi perusahaan.
- Pendekatan pikeun ngatur infrastruktur inpormasi
Sertifikasi peryogi perobahan sareng pendekatan global. Leres, urang kedah ningkatkeun sababaraha alat pangladén kusabab beban anu ningkat. Hususna, kami geus dedicated server misah pikeun sistem kumpulan acara. server ieu dilengkepan badag tur gancang SSD drive. Kami ngantunkeun parangkat lunak cadangan sareng milih sistem panyimpen anu ngagaduhan sagala fungsi anu diperyogikeun. Kami ngadamel sababaraha léngkah anu ageung pikeun konsép "infrastruktur salaku kode", anu ngamungkinkeun urang ngahemat seueur rohangan disk ku ngaleungitkeun cadangan sababaraha server. Dina waktos anu paling pondok (1 minggu), sadaya parangkat lunak dina workstations ditingkatkeun ka Win10. Salah sahiji masalah anu direngsekeun modernisasi nyaéta kamampuan pikeun ngaktipkeun enkripsi (dina versi Pro).
- Kontrol kana dokumén kertas
Pausahaan miboga resiko signifikan pakait sareng pamakéan dokumén kertas: maranéhna bisa leungit, ditinggalkeun di tempat salah, atawa improperly ancur. Pikeun ngaminimalkeun résiko ieu, kami parantos nyirian sadaya dokumén kertas dumasar kana tingkat karusiahan sareng ngembangkeun prosedur pikeun ngancurkeun sababaraha jinis dokumén. Ayeuna, nalika karyawan muka folder atanapi nyandak dokumen, anjeunna terang persis naon kategori inpormasi ieu sareng kumaha carana ngadamelna.
- Nyéwa pusat data cadangan
Sateuacanna, sadaya inpormasi perusahaan disimpen dina server anu aya di pusat data aman pihak katilu. Nanging, teu aya prosedur darurat anu dilaksanakeun di pusat data ieu. Solusina nyaéta nyéwa pusat data awan cadangan sareng nyadangkeun inpormasi anu paling penting di dinya. Ayeuna, inpormasi perusahaan disimpen dina dua pusat data anu jauh sacara geografis, anu ngaminimalkeun résiko kaleungitanna.
- nguji continuity bisnis
Perusahaan kami parantos ngagaduhan Kabijakan Kesinambungan Usaha (BCP) salami sababaraha taun, anu ngajelaskeun naon anu kedah dilakukeun ku karyawan dina sababaraha skenario négatip (leungitna aksés ka kantor, wabah, pemadaman listrik, jsb.). Nanging, kami henteu kantos ngalaksanakeun tés kontinuitas - nyaéta, kami henteu kantos ngukur sabaraha lami waktos pikeun mulangkeun bisnis dina unggal kaayaan ieu. Pikeun nyiapkeun Inok sertifikasi, kami henteu ngan ukur ngalakukeun ieu, tapi ogé ngembangkeun rencana uji kontinuitas bisnis pikeun taun anu bakal datang. Eta sia noting yén sataun saterusna, nalika urang Nyanghareupan kudu sagemblengna pindah ka karya jauh, urang réngsé tugas ieu dina tilu poé.
Kadé dicatet, yén sadaya perusahaan anu nyiapkeun sertifikasi gaduh kaayaan awal anu béda - janten, dina kasus anjeun, parobahan anu béda-béda tiasa diperyogikeun.
Réaksi karyawan kana parobahan
Anehna - di dieu urang ngarepkeun anu paling awon - tétéla henteu parah. Teu tiasa nyarios yén kolega nampi béja sertifikasi kalayan sumanget pisan, tapi ieu jelas:
- Sadaya karyawan konci ngartos pentingna sareng teu tiasa dihindari tina acara ieu;
- Kabéh pagawé séjén kasampak nepi ka karyawan konci.
Tangtosna, spésifik industri urang ngabantosan urang pisan - outsourcing of accounting functions. Lolobana karyawan urang Cope ogé kalawan parobahan konstan dina panerapan Rusia. Sasuai, ngenalkeun sababaraha belasan aturan anyar anu ayeuna kedah dititénan sanés hal anu luar biasa pikeun aranjeunna.
Kami parantos nyiapkeun latihan sareng uji wajib ISO 27001 anyar pikeun sadaya karyawan urang. Sarerea matuh ngaluarkeun catetan caket sareng kecap akses tina monitorna sareng ngabersihkeun meja-meja anu pinuh ku dokumén. Teu aya sugema pisan anu diperhatoskeun - sacara umum, kami bagja pisan sareng karyawan urang.
Ku kituna, urang geus kaliwat tahap paling nyeri - "depresi" - pakait sareng parobahan dina prosés bisnis urang. Éta sesah sareng sesah, tapi hasilna dina tungtungna ngaleuwihan sadaya ekspektasi urang anu paling liar.
Baca bahan saméméhna tina séri:
5 tahapan anu teu bisa dihindari tina sertifikasi ISO / IEC 27001. Depresi.
5 tahapan anu teu bisa dihindari tina sertifikasi ISO / IEC 27001. nyoko.
sumber: www.habr.com