Det fjÀrde steget av emotionell reaktion pÄ förÀndring Àr depression. I den hÀr artikeln kommer vi att berÀtta om vÄr erfarenhet av att gÄ igenom det mest utdragna och obehagliga skedet - om förÀndringar i företagets affÀrsprocesser för att uppnÄ deras överensstÀmmelse med ISO 27001-standarden.
förvÀntan
Den första frÄgan vi stÀllde oss efter att ha valt certifieringsorgan och konsult var hur mycket tid skulle vi egentligen behöva för att göra alla nödvÀndiga Àndringar?
Den initiala arbetsplanen var planerad pÄ ett sÄdant sÀtt att vi var tvungna att slutföra den inom 3 mÄnader.
Allt sÄg enkelt ut: det var nödvÀndigt att skriva ett par dussin policyer och Àndra vÄra interna processer nÄgot; utbilda sedan kollegor i förÀndringarna och vÀnta ytterligare 3 mÄnader (sÄ att "rekord" visas, det vill sÀga bevis pÄ hur politiken fungerar). Det verkade som att det var allt - och certifikatet fanns i vÄr ficka.
Dessutom skulle vi inte skriva policyer frÄn grunden - vi hade trots allt en konsult som, som vi trodde, skulle ge oss alla "korrekta" mallar.
Som ett resultat av dessa slutsatser avsatte vi tre dagar för att förbereda varje policy.
De tekniska förÀndringarna sÄg inte heller skrÀmmande ut: det var nödvÀndigt att sÀtta upp insamling och lagring av hÀndelser, kontrollera om sÀkerhetskopiorna överensstÀmmer med policyn som vi skrev, eftermontera kontoren med Ätkomstkontrollsystem vid behov, och nÄgra andra smÄ saker .
Teamet som förberedde allt som behövs för certifieringen bestod av tvÄ personer. Vi planerade att de skulle vara delaktiga i genomförandet parallellt med sina huvudansvar och det skulle ta var och en av dem max 1,5-2 timmar om dagen.
För att sammanfatta kan vi sÀga att vÄr syn pÄ det kommande arbetet var ganska optimistisk.
Verkligheten
I verkligheten var allt naturligtvis annorlunda: de policymallar som konsulten tillhandahÄllit visade sig för det mesta vara otillÀmpliga för vÄrt företag; Det fanns nÀstan ingen tydlig information pÄ Internet om vad och hur man skulle göra. Som du kan förestÀlla dig misslyckades planen att "skriva en policy pÄ 3 dagar" totalt. SÄ vi slutade hÄlla deadlines nÀstan frÄn början av projektet, och vÄrt humör började sakta falla.
Teamets expertis var katastrofalt liten - sÄ mycket att det inte ens rÀckte att stÀlla de rÀtta frÄgorna till konsulten (som för övrigt inte visade sÄ mycket initiativ). Saker och ting började gÄ Ànnu lÄngsammare, eftersom 3 mÄnader efter starten av implementeringen (det vill sÀga i det ögonblick dÄ allt borde ha varit klart) lÀmnade en av de tvÄ nyckeldeltagarna teamet. Han ersattes av en ny chef för IT-tjÀnsten, som snabbt fick slutföra implementeringsprocessen och förse ledningssystemet för informationssÀkerhet med allt som var mest nödvÀndigt ur teknisk synvinkel. Uppgiften sÄg svÄr ut... De ansvariga började bli deprimerade.
Dessutom visade sig den tekniska sidan av frÄgan ocksÄ ha "nyanser". Vi stÄr inför uppgiften att modernisera global mjukvara bÄde pÄ arbetsstationer och pÄ serverutrustning. NÀr systemet sattes in för att samla in hÀndelser (loggar), visade det sig att vi inte hade tillrÀckligt med hÄrdvaruresurser för att systemet skulle fungera normalt. Och sÀkerhetskopieringsmjukvaran behövde ocksÄ moderniseras.
Spoiler: Som ett resultat implementerades ISMS heroiskt pÄ 6 mÄnader. Och ingen dog ens!
Vad har förÀndrats mest?
Naturligtvis, under implementeringen av standarden, intrÀffade ett stort antal smÄ förÀndringar i företagets processer. Vi har lyft fram de viktigaste förÀndringarna för dig:
- Formalisering av riskbedömningsprocessen
Tidigare hade företaget ingen formell riskbedömningsprocess â den gjordes endast i förbigĂ„ende som en del av den övergripande strategiska planeringen. En av de viktigaste uppgifterna som löstes som en del av certifieringen var implementeringen av företagets Risk Assessment Policy, som beskriver alla steg i denna process och vilka personer som Ă€r ansvariga för varje steg.
- Kontroll över flyttbara lagringsmedia
En av de betydande riskerna för företag var anvÀndningen av okrypterade USB-minnen: i sjÀlva verket kunde vilken anstÀlld som helst skriva all information som var tillgÀnglig för honom pÄ en flash-enhet och i bÀsta fall förlora den. Som en del av certifieringen inaktiverades möjligheten att ladda ner all information till flash-enheter pÄ alla anstÀlldas arbetsstationer - inspelning av information blev endast möjlig genom en ansökan till IT-avdelningen.
- Super anvÀndarkontroll
Ett av huvudproblemen var det faktum att alla anstĂ€llda pĂ„ IT-avdelningen hade absoluta rĂ€ttigheter i alla företagssystem â de hade tillgĂ„ng till all information. Samtidigt var det ingen som verkligen kontrollerade dem.
Vi har implementerat ett Data Loss Prevention (DLP) system â ett program för att övervaka anstĂ€lldas handlingar som analyserar, blockerar och varnar om farliga och improduktiva aktiviteter. Nu skickas varningar om IT-avdelningens anstĂ€lldas agerande till e-postadressen till företagets Operations Director.
- TillvÀgagÄngssÀtt för att organisera informationsinfrastruktur
Certifiering krÀvde globala förÀndringar och tillvÀgagÄngssÀtt. Ja, vi var tvungna att uppgradera ett antal serverutrustning pÄ grund av den ökade belastningen. I synnerhet har vi dedikerat en separat server för system för insamling av hÀndelser. Servern var utrustad med stora och snabba SSD-enheter. Vi övergav programvara för sÀkerhetskopiering och valde lagringssystem som har all nödvÀndig funktionalitet direkt. Vi tog flera stora steg mot konceptet "infrastruktur som kod", vilket gjorde att vi kunde spara mycket diskutrymme genom att eliminera sÀkerhetskopieringen av ett antal servrar. PÄ kortast möjliga tid (1 vecka) uppgraderades all mjukvara pÄ arbetsstationer till Win10. Ett av problemen som moderniseringen löste var möjligheten att aktivera kryptering (i Pro-versionen).
- Kontroll över pappersdokument
Företaget hade betydande risker förknippade med anvÀndningen av pappersdokument: de kunde försvinna, lÀmnas pÄ fel plats eller förstöras pÄ ett felaktigt sÀtt. För att minimera denna risk har vi mÀrkt alla pappersdokument efter sekretessnivÄn och utvecklat en procedur för att förstöra olika typer av dokument. Nu, nÀr en anstÀlld öppnar en mapp eller tar ett dokument, vet han exakt vilken kategori denna information hamnar i och hur han ska hantera den.
- Hyr ett backup-datacenter
Tidigare lagrades all företagsinformation pÄ servrar placerade i ett tredjeparts sÀkert datacenter. Det fanns dock inga nödrutiner pÄ plats vid detta datacenter. Lösningen blev att hyra ett backup-molndatacenter och sÀkerhetskopiera den viktigaste informationen dÀr. För nÀrvarande lagras företagets information i tvÄ geografiskt avlÀgsna datacenter, vilket minimerar risken för förlust.
- AffÀrskontinuitetstestning
VĂ„rt företag har haft en Business Continuity Policy (BCP) pĂ„ plats i flera Ă„r, som beskriver vad anstĂ€llda ska göra i olika negativa scenarier (förlust av tillgĂ„ng till kontoret, epidemi, strömavbrott, etc.). Vi har dock aldrig genomfört kontinuitetstester â det vill sĂ€ga vi har aldrig mĂ€tt hur lĂ„ng tid det skulle ta att Ă„terstĂ€lla verksamheten i var och en av dessa situationer. Som förberedelse för certifieringsrevisionen gjorde vi inte bara detta, utan utvecklade ocksĂ„ en testplan för affĂ€rskontinuitet för det kommande Ă„ret. Det Ă€r vĂ€rt att notera att ett Ă„r senare, nĂ€r vi stod inför behovet av att helt byta till distansarbete, slutförde vi denna uppgift pĂ„ tre dagar.
Viktigt att notera, att alla företag som förbereder sig för certifiering har olika startvillkor â dĂ€rför kan det i ditt fall krĂ€vas helt andra förĂ€ndringar.
Medarbetarnas reaktioner pÄ förÀndringar
MÀrkligt nog - hÀr förvÀntade vi oss det vÀrsta - det blev inte sÄ illa. Det kan inte sÀgas att kollegor tog emot nyheten om certifiering med stor entusiasm, men följande var tydligt:
- Alla nyckelmedarbetare förstod vikten och oundvikligheten av denna hÀndelse;
- Alla andra anstÀllda sÄg upp till nyckelpersoner.
Naturligtvis har detaljerna i vÄr bransch hjÀlpt oss mycket - outsourcing av redovisningsfunktioner. De allra flesta av vÄra anstÀllda klarar stÀndiga förÀndringar i rysk lagstiftning vÀl. DÀrför var införandet av ett par dussin nya regler som nu mÄste följas inte nÄgot utöver det vanliga för dem.
Vi har förberett ny obligatorisk ISO 27001-utbildning och testning för alla vĂ„ra anstĂ€llda. Alla tog lydigt bort klisterlapparna med lösenord frĂ„n sina bildskĂ€rmar och rensade bort skrivborden fulla av dokument. Inget högljutt missnöje mĂ€rktes â generellt sett hade vi vĂ€ldigt tur med vĂ„ra anstĂ€llda.
SÄledes har vi passerat det mest smÀrtsamma stadiet - "depression" - förknippat med förÀndringar i vÄra affÀrsprocesser. Det var jobbigt och svÄrt, men resultatet övertrÀffade till slut alla vÄra vildaste förvÀntningar.
LÀs tidigare material frÄn serien:
5 stadier av oundvikligheten av ISO/IEC 27001-certifiering. Depression.
5 stadier av oundvikligheten av ISO/IEC 27001-certifiering. Adoption.
KĂ€lla: will.com
