Nalika nyieun sagala kaputusan strategis penting pikeun parusahaan, karyawan ngaliwatan mékanisme pertahanan dasar, ogé dipikawanoh salaku 5 tahapan ngarespon kana robah (ku E. Kübler-Ross). Psikolog anu kasohor sakali ngajelaskeun réaksi émosional, nyorot 5 tahapan konci réspon émosional: panolakan, amarah, nawar, rarasaan kateken sareng akhirna nyoko. Kami parantos nyiapkeun séri tulisan anu dikhususkeun pikeun sertifikasi ISO 27001, dimana urang bakal ningali unggal tahapan. Dinten ieu kami bakal ngobrol ngeunaan kahiji di antarana - panolakan.
Kéngingkeun sertipikat ISO 27001 "kanggo acara" mangrupikeun kasenangan anu diragukeun, sabab butuh persiapan anu panjang sareng mahal. Leuwih ti éta, sakumaha eta nembongkeun , standar ieu pisan teu populer di Féderasi Rusia: nepi ka ayeuna, ngan 70 pausahaan geus Certified pikeun minuhan. Dina waktos anu sami, ieu mangrupikeun salah sahiji standar anu pang populerna di luar negeri, nyumponan tungtutan bisnis dina widang kaamanan inpormasi.
Perusahaan kami nyayogikeun sajumlah jasa outsourcing pikeun fungsi akuntansi: akuntansi sareng akuntansi pajeg, gaji sareng administrasi tanaga. Urang nempatan salah sahiji posisi pasar ngarah, utamana alatan kanyataan yén pausahaan asing jeung cabang di Rusia ngandelkeun kami informasi rahasia maranéhanana. Ieu lumaku teu ngan pikeun prosés finansial klien kami ', tapi ogé pikeun data pribadi urang gawé bareng dina dasar poean. Dina hal ieu, masalah kaamanan inpormasi mangrupikeun salah sahiji prioritas urang.
Seringna, sadaya prosés bisnis divisi Rusia dikawasa sareng dinyatakeun ku kantor pusat perusahaan asing, sareng ku kituna aranjeunna kedah sasuai sareng standar internal grup-lega. Anyar-anyar ieu, sababaraha klien konci kami parantos ngamimitian ngarévisi kawijakan kaamananna dina arah anu ketat. Tangtosna, ieu disababkeun ku tren global dina jumlah serangan cyber sareng karugian anu aya hubunganana sareng insiden pelanggaran kaamanan inpormasi. Sertifikasi / IEC 27001, ngahemat seueur artos, waktos sareng saraf.
Kiwari, syarat pikeun kaamanan inpormasi anu aya di perusahaan parantos mimiti muncul dina tender ti para nasabah asing. Sababaraha, pikeun nyederhanakeun verifikasi sareng ngahijikeun pendekatan, nyetél kriteria evaluasi wajib - ayana sertifikasi ISO / IEC 27001.
Ieu naon anu urang tingali: Salah sahiji klien internasional utama kami anu disertipikasi kana standar ieu sigana parantos nguatkeun tim kaamanan inpormasi global na. Kumaha urang terang ngeunaan ieu? Aranjeunna mutuskeun pikeun ngaudit sistem manajemén kaamanan inpormasi urang, sabab kami nyayogikeun jasa akuntansi sareng administrasi personel - sareng, sasuai, kaamanan sistem inpormasi urang penting pisan pikeun aranjeunna. Inok saméméhna lumangsung 3 sababaraha taun ka pengker - waktos éta sagalana jalan rada painlessly.
Waktos ieu, tim India anu ramah narajang kami, sacara deftly mendakan sababaraha belasan kakurangan dina sistem manajemén kaamanan urang. Prosés Inok nyarupaan kabayang Samsara - eta seemed yén prinsipna mah maranéhna teu boga tujuan pikeun ngahontal sagala titik ahir salaku bagian tina Inok. Éta mangrupikeun patarosan, koméntar, koméntar kami sareng bukti kanyataanana, telepon konperénsi sareng paguneman filosofis anu panjang dina usaha pikeun mikawanoh aksen tim kaamanan IT klien. Ku jalan kitu, pamariksaan diteruskeun kalayan tingkat inténsitas anu béda-béda dugi ka ayeuna - kana waktosna, urang parantos ngartos ieu. Ku kituna, kabutuhan pikeun sertifikasi parantos timbul nyalira.
Meureun urang tiasa ngalakukeun kalawan ISO 9001?
Saha waé anu langkung atanapi kirang savvy dina masalah sertifikasi dumasar kana salah sahiji standar ISO ngartos yén dasar masing-masing nyaéta sertipikat ISO 9001 "Sistem Manajemén Kualitas". Ieu panginten sertipikat anu paling populér ayeuna dina sadaya garis standar ISO. Kami henteu gaduh éta - sareng kami mutuskeun henteu kéngingkeun éta. Aya sababaraha alesan pikeun ieu:
- efisiensi ékonomi questionable pausahaan ngabogaan sertipikat ieu;
- prosés internal urang, sabagéan ageung, parantos caket kana standar ieu;
- Kéngingkeun sertipikat ieu peryogi waktos sareng artos tambahan.
Sasuai, urang mutuskeun pikeun langsung nerapkeun ISO 27001, tanpa dimimitian ku "torek" 9001.
Atawa meureun masih teu perlu?
Pilari payun, kami geus balik sababaraha kali ka sual naha éta sasaena pikeun ménta eta. Urang mimiti diajar masalah ti sagala sisi, sabab urang teu boga kaahlian. Sareng ieu mangrupikeun salah paham anu ngajantenkeun urang mikir deui ngeunaan masalah ieu.
Kasalahan #1.
Kami ngarepkeun yén standar éta bakal nyayogikeun kami daptar pariksa lengkep, daptar kawijakan sareng dokumén statutori anu sanés. Dina kanyataanana, tétéla yén ISO / IEC 27001 mangrupikeun sakumpulan syarat pikeun sistem manajemén kaamanan inpormasi sorangan sareng prosés anu diwangun. Dumasar kana éta, éta penting pikeun mutuskeun sacara mandiri naon anu bakal ditulis/dilaksanakeun di perusahaan urang pikeun sasuai sareng sarat standar.
Kasalahan #2.
Urang tulus percaya yén éta bakal cukup pikeun urang diajar hiji dokumen jeung nerapkeun eta dina waktu anu relatif pondok dina urang sorangan. Dina kanyataanana, bari maca dokumen éta, urang sadar sabaraha standar nu patali standar urang "clings", sabaraha standar urang kudu jadi akrab jeung (sahenteuna deet). The "céri" dina jajan éta kurangna téks standar ayeuna dina domain publik - aranjeunna kedah dibeuli dina ramatloka ISO resmi.
Kasalahan #3.
Kami yakin yén urang bakal mendakan sadayana anu urang peryogikeun pikeun nyiapkeun sertifikasi dina sumber terbuka. Saleresna aya seueur bahan dina ISO 27001 dina Internét, tapi aranjeunna kirang spésifikna. Sacara praktis henteu aya petunjuk léngkah-léngkah anu gampang kahartos pikeun nyiapkeun sertifikasi, kitu ogé kasus nyata perusahaan anu parantos ngalaksanakeun standar ieu.
Kasalahan #4.
Urang bakal nulis kawijakan, tapi maranéhna moal jalan! Nya, leres, perusahaan urang parantos seueur teuing aturan, teu aya anu bakal sasuai sareng 3 belasan kawijakan énggal. Dina kanyataanana, untungna, karyawan urang nyandak tugas mastering aturan anyar responsibly tur hasil lulus tés pikeun pangaweruh dokumén sistem manajemen kaamanan informasi.
Kasalahan #5.
Dina waktos éta, urang teu tiasa sacara jelas ngira-ngira kauntungan naon anu bakal urang kéngingkeun tina usaha urang. Waktu éta, jumlah requests pikeun sertipikat ieu teu jadi badag, sarta kami kungsi konci na klien paling nuntut lila saméméh sertifikasi. Pangalaman nunjukkeun yén urang junun tanpa standar.
Di sawatara titik, urang sadar yen kami chaotically nutup hiji atanapi sejen gap munculna alatan sarat klien urang. Unggal waktos urang datang nepi ka sababaraha kawijakan anyar atawa solusi. Sarta kami tungtungna bebas datang ka kacindekan yen eta bakal leuwih gampang systematize prosés, nu malah bakal ngahemat kami loba waragad kuli di mangsa nu bakal datang. Standar ieu dimaksudkeun pikeun nyederhanakeun tugas ieu.
Ayeuna, dua taun ti harita, urang ningali tren anu ningkat dina jumlah paménta sareng minat masalah ieu ti klien internasional utama.
Kaputusan ahir.
Dina kacindekan, urang hoyong nyarios yén pamimpin industri urang nampi sertipikasi ISO / IEC 27001, anu parantos maksa sadaya panyadia utama sanés (kaasup kami) mikirkeun masalah ieu. Undoubtedly, garis geulis dina bahan pamasaran parusahaan - dina ramatloka, dina jaringan sosial, dina brosur iklan, jsb. - bisa dianggap bonus pikaresepeun, tapi éta patut méakkeun jadi loba sumberdaya pikeun eta? Urang mutuskeun pikeun diri urang sorangan yén pikeun urang ieu leuwih ti saukur garis geulis, sarta kami aub dina proyék ieu.
sumber: www.habr.com