När de fattar ett strategiskt viktigt beslut för företaget går de anställda igenom en grundläggande försvarsmekanism, välkänd som de 5 stegen för att reagera på förändring (av E. Kübler-Ross). En framstående psykolog beskrev en gång känslomässiga reaktioner och lyfte fram 5 nyckelstadier av emotionell reaktion: förnekande, vrede, förhandla, depression och slutligen Adoption. Vi har förberett en serie artiklar dedikerade till ISO 27001-certifiering, där vi kommer att titta på vart och ett av stegen. Idag kommer vi att prata om den första av dem - förnekelse.
Att erhålla ett ISO 27001-certifikat "för utställning" är ett mycket tveksamt nöje, eftersom det kräver långa och dyra förberedelser. Dessutom, som det visar , denna standard är extremt impopulär i Ryska federationen: hittills har endast 70 företag certifierats för efterlevnad. Samtidigt är detta en av de mest populära standarderna utomlands, som möter de växande kraven från företag inom informationssäkerhetsområdet.
Vårt företag tillhandahåller ett komplett utbud av outsourcingtjänster för redovisningsfunktioner: redovisning och skatteredovisning, löne- och personaladministration. Vi intar en av de ledande marknadspositionerna, särskilt på grund av det faktum att utländska företag med filialer i Ryssland litar på oss med sin konfidentiella information. Detta gäller inte bara våra kunders ekonomiska processer utan även de personuppgifter vi arbetar med dagligen. I detta avseende är frågan om informationssäkerhet en av våra prioriteringar.
Ofta kontrolleras och deklareras alla affärsprocesser för ryska divisioner av utländska företags huvudkontor, och därför måste de följa interna koncerngemensamma standarder. Nyligen har några av våra nyckelkunder börjat revidera sina säkerhetspolicyer i riktning mot att skärpa dem. Naturligtvis beror detta på globala trender i det växande antalet cyberattacker och förluster i samband med incidenter med informationssäkerhetsintrång.Om det är nödvändigt att implementera skyddsåtgärder, policyer och rutiner som syftar till att öka företagets informationssäkerhet kan du klara dig utan ISO /IEC 27001-certifiering, vilket sparar mycket pengar, tid och nerver.
Idag har krav på befintlig informationssäkerhet i företaget börjat dyka upp i anbud från utländska kunder. Vissa, för att förenkla sin verifiering och förena tillvägagångssättet, ställer upp ett obligatoriskt utvärderingskriterium - närvaron av ISO/IEC 27001-certifiering.
Det här är vad vi har sett: En av våra internationella nyckelkunder som är certifierade enligt denna standard verkar ha stärkt sitt globala informationssäkerhetsteam avsevärt. Hur visste vi om detta? De bestämde sig för att granska vårt ledningssystem för informationssäkerhet, eftersom vi förser dem med redovisningstjänster och personaladministration - och därför är säkerheten i våra informationssystem ytterst viktig för dem. Förra revisionen skedde för 3 år sedan - den gången gick allt ganska smärtfritt.
Den här gången attackerade ett vänligt team av indianer oss och avslöjade skickligt flera dussin brister i vårt säkerhetshanteringssystem. Revisionsprocessen liknade Samsaras hjul – det verkade som om de i princip inte hade något mål att nå någon slutlig punkt som en del av revisionen. Det var en oändlig rad frågor, kommentarer, våra kommentarer och bevis på deras verklighet, konferenssamtal och långa filosofiska samtal i försök att känna igen accenten hos kundens IT-säkerhetsteam. Revisionen fortsätter för övrigt med varierande intensitet än i dag – med tiden har vi kommit överens med detta. Behovet av certifiering har alltså uppstått på egen hand.
Kanske kan vi nöja oss med ISO 9001?
Alla som är mer eller mindre kunniga i frågan om certifiering enligt någon av ISO-standarderna förstår att grunden för var och en av dem är certifikatet ISO 9001 "Quality Management System". Detta är kanske det mest populära certifikatet för närvarande i hela raden av ISO-standarder. Vi hade det inte – och vi bestämde oss för att inte få det. Det fanns flera anledningar till detta:
- den tvivelaktiga ekonomiska effektiviteten hos företaget som har detta certifikat;
- våra interna processer var för det mesta redan nära denna standard;
- Att få detta certifikat skulle kräva mer tid och pengar.
Därför bestämde vi oss för att omedelbart implementera ISO 27001, utan att börja med den "lättare" 9001.
Eller kanske det fortfarande inte är nödvändigt?
Framöver har vi återkommit många gånger till frågan om det är tillrådligt att skaffa det. Vi började studera frågan från alla håll, för vi hade absolut ingen expertis. Och här är de missuppfattningar som fick oss att tänka på den här frågan igen.
Missuppfattning #1.
Vi hoppades att standarden skulle ge oss en detaljerad checklista, en lista över policyer och andra lagstadgade dokument. I verkligheten visade det sig att ISO/IEC 27001 är en uppsättning krav på själva ledningssystemet för informationssäkerhet och den process som byggs upp. Baserat på dem var det nödvändigt att självständigt bestämma vad som skulle skrivas/implementeras i vårt företag för att uppfylla kraven i standarden.
Missuppfattning #2.
Vi trodde uppriktigt att det skulle räcka för oss att studera ett dokument och implementera det på relativt kort tid på egen hand. I verkligheten, när vi läste dokumentet, insåg vi hur många relaterade standarder vår standard "håller fast" vid, hur många standarder vi behöver bekanta oss med (åtminstone ytligt). "Körsbäret" på kakan var bristen på aktuella standardtexter i det offentliga rummet - de måste köpas på den officiella ISO-webbplatsen.
Missuppfattning #3.
Vi var säkra på att vi skulle hitta allt vi behövde för att förbereda oss för certifiering i öppna källor. Det fanns verkligen en hel del material om ISO 27001 på Internet, men det saknades snarare detaljer. Det fanns praktiskt taget inga lätta att förstå steg-för-steg-instruktioner för att förbereda sig för certifiering, liksom verkliga fall av företag som hade implementerat denna standard.
Missuppfattning #4.
Vi kommer att skriva policyer, men de kommer inte att fungera! Tja, det är sant, vårt företag har redan för många regler, ingen kommer att följa ytterligare tre dussin nya policyer. Lyckligtvis tog våra anställda i verkligheten uppgiften att bemästra de nya reglerna på ett ansvarsfullt sätt och klarade framgångsrikt tester för kunskap om dokument för informationssäkerhetshanteringssystem.
Missuppfattning #5.
På den tiden kunde vi inte tydligt bedöma vilken nytta vi skulle få av våra insatser. På den tiden var antalet förfrågningar om detta certifikat inte så stort, och vi hade vår viktigaste och mest krävande kund långt innan certifieringen. Erfarenheten visade att vi klarade oss utan standard.
Vid något tillfälle insåg vi att vi kaotiskt täppte till ett eller annat växande gap på grund av kundens krav. Varje gång kom vi på några nya policyer eller lösningar. Och vi kom slutligen på egen hand till slutsatsen att det skulle vara mycket lättare att systematisera processen, vilket till och med skulle spara oss en hel del arbetskostnader i framtiden. Standarden syftade till att förenkla denna uppgift.
Nu, två år senare, ser vi en ökande trend i antalet förfrågningar och intresse för denna fråga från stora internationella kunder.
Slutgiltigt beslut.
Sammanfattningsvis vill vi säga att våra branschledare har erhållit ISO/IEC 27001-certifiering, vilket har tvingat alla andra stora leverantörer (inklusive oss) att tänka på denna fråga. Utan tvekan en vacker linje i företagets marknadsföringsmaterial - på webbplatsen, på sociala nätverk, i reklambroschyrer, etc. – kan betraktas som en trevlig bonus, men är det värt att lägga så mycket resurser på det? Vi bestämde själva att för oss är detta mer än bara en vacker linje, och vi engagerade oss i det här projektet.
Källa: will.com