Hatua ya nne ya majibu ya kihisia kwa mabadiliko ni unyogovu. Katika nakala hii tutakuambia juu ya uzoefu wetu wa kupitia hatua ya muda mrefu na isiyofurahisha - juu ya mabadiliko katika michakato ya biashara ya kampuni ili kufikia kufuata kwao kiwango cha ISO 27001.
Kusubiri
Swali la kwanza tulilojiuliza baada ya kuchagua chombo cha uidhinishaji na mshauri ni kwamba tungehitaji muda gani kufanya mabadiliko yote muhimu?
Mpango kazi wa awali ulipangwa kwa njia ambayo tulilazimika kuikamilisha ndani ya miezi 3.
Kila kitu kilionekana rahisi: ilihitajika kuandika sera kadhaa na kubadilisha kidogo michakato yetu ya ndani; kisha wafunze wenzake juu ya mabadiliko na kusubiri miezi 3 nyingine (ili "rekodi" zionekane, yaani, ushahidi wa utendaji wa sera). Ilionekana kuwa hiyo ndiyo yote - na cheti kilikuwa mfukoni mwetu.
Kwa kuongezea, hatukuweza kuandika sera kutoka mwanzo - baada ya yote, tulikuwa na mshauri ambaye, kama tulivyofikiria, alipaswa kutupa violezo vyote "sahihi".
Kutokana na hitimisho hili, tulitenga siku 3 kuandaa kila sera.
Mabadiliko ya kiufundi pia hayakuonekana kuwa ya kuogofya: ilikuwa ni lazima kuanzisha ukusanyaji na uhifadhi wa matukio, kuangalia kama chelezo zinatii sera tuliyoandika, kurejesha ofisi kwa mifumo ya udhibiti wa ufikiaji inapohitajika, na mambo mengine machache madogo. .
Timu iliyotayarisha kila kitu muhimu kwa udhibitisho ilikuwa na watu wawili. Tulipanga kwamba watahusika katika utekelezaji sambamba na majukumu yao makuu, na hii ingechukua kila mmoja wao muda wa juu wa saa 1,5-2 kwa siku.
Kwa muhtasari, tunaweza kusema kwamba mtazamo wetu wa wigo ujao wa kazi ulikuwa wa matumaini kabisa.
Ukweli
Kwa kweli, kila kitu kilikuwa tofauti kwa asili: templeti za sera zilizotolewa na mshauri ziligeuka kuwa hazitumiki kwa kampuni yetu; Kulikuwa na karibu hakuna taarifa wazi kwenye mtandao kuhusu nini na jinsi ya kufanya. Kama unavyoweza kufikiria, mpango wa "kuandika sera moja katika siku 3" ulishindwa vibaya. Kwa hivyo tuliacha kufikia tarehe za mwisho karibu tangu mwanzo wa mradi, na hisia zetu zilianza kupungua polepole.
Utaalam wa timu ulikuwa mdogo sana - kiasi kwamba haikutosha hata kuuliza maswali sahihi kwa mshauri (ambaye, kwa njia, hakuonyesha juhudi nyingi). Mambo yalianza kusonga polepole zaidi, tangu miezi 3 baada ya kuanza kwa utekelezaji (ambayo ni, wakati kila kitu kinapaswa kuwa tayari), mmoja wa washiriki wawili muhimu aliondoka kwenye timu. Alibadilishwa na mkuu mpya wa huduma ya IT, ambaye alipaswa kukamilisha haraka mchakato wa utekelezaji na kutoa mfumo wa usimamizi wa usalama wa habari na kila kitu muhimu zaidi kutoka kwa mtazamo wa kiufundi. Kazi hiyo ilionekana kuwa ngumu... Wale waliokuwa wasimamizi walianza kuwa na huzuni.
Kwa kuongeza, upande wa kiufundi wa suala hilo pia uligeuka kuwa na "nuances". Tunakabiliwa na kazi ya uboreshaji wa programu ulimwenguni kote kwenye vituo vya kazi na kwenye vifaa vya seva. Wakati wa kuanzisha mfumo wa kukusanya matukio (magogo), ikawa kwamba hatukuwa na rasilimali za kutosha za vifaa kwa ajili ya kazi ya kawaida ya mfumo. Na programu ya chelezo pia ilihitaji kisasa.
Spoiler: Matokeo yake, ISMS ilitekelezwa kishujaa katika muda wa miezi 6. Na hakuna mtu aliyekufa!
Nini kimebadilika zaidi?
Bila shaka, wakati wa utekelezaji wa kiwango, idadi kubwa ya mabadiliko madogo yalitokea katika michakato ya kampuni. Tumeangazia mabadiliko muhimu zaidi kwako:
- Urasimishaji wa mchakato wa tathmini ya hatari
Hapo awali, kampuni haikuwa na mchakato rasmi wa tathmini ya hatari - ilifanywa kwa kupita tu kama sehemu ya upangaji wa kimkakati wa jumla. Mojawapo ya kazi muhimu zaidi iliyotatuliwa kama sehemu ya uthibitishaji ilikuwa utekelezaji wa Sera ya kampuni ya Tathmini ya Hatari, ambayo inaelezea hatua zote za mchakato huu na watu wanaohusika kwa kila hatua.
- Dhibiti midia ya hifadhi inayoweza kutolewa
Moja ya hatari kubwa kwa biashara ilikuwa matumizi ya anatoa za USB flash ambazo hazijafichwa: kwa kweli, mfanyakazi yeyote anaweza kuandika habari yoyote inayopatikana kwake kwenye gari la flash na, bora, kupoteza. Kama sehemu ya udhibitisho, uwezo wa kupakua habari yoyote kwenye anatoa flash ilizimwa kwenye vituo vyote vya kazi vya wafanyikazi - habari ya kurekodi iliwezekana tu kupitia maombi kwa idara ya IT.
- Udhibiti wa Mtumiaji Bora
Moja ya shida kuu ilikuwa ukweli kwamba wafanyikazi wote wa idara ya IT walikuwa na haki kamili katika mifumo yote ya kampuni - walikuwa na ufikiaji wa habari zote. Wakati huo huo, hakuna mtu aliyewadhibiti kabisa.
Tumetumia mfumo wa Kuzuia Upotevu wa Data (DLP) - mpango wa kufuatilia vitendo vya wafanyakazi ambao huchanganua, kuzuia na kutoa tahadhari kuhusu shughuli hatari na zisizo na tija. Sasa arifa kuhusu vitendo vya wafanyikazi wa idara ya IT hutumwa kwa barua pepe ya Mkurugenzi wa Uendeshaji wa kampuni.
- Mbinu ya kuandaa miundombinu ya habari
Uthibitishaji ulihitaji mabadiliko na mbinu za kimataifa. Ndio, tulilazimika kuboresha idadi ya vifaa vya seva kwa sababu ya mzigo ulioongezeka. Hasa, tumeweka wakfu seva tofauti kwa mifumo ya ukusanyaji wa matukio. Seva ilikuwa na viendeshi vikubwa na vya haraka vya SSD. Tuliacha programu ya kuhifadhi nakala na kuchagua mifumo ya hifadhi ambayo ina utendaji wote muhimu nje ya boksi. Tulichukua hatua kadhaa kubwa kuelekea dhana ya "miundombinu kama nambari", ambayo ilituruhusu kuokoa nafasi nyingi za diski kwa kuondoa nakala rudufu ya seva kadhaa. Kwa muda mfupi iwezekanavyo (wiki 1), programu zote kwenye vituo vya kazi ziliboreshwa hadi Win10. Mojawapo ya maswala ambayo uboreshaji wa kisasa ulitatua ni uwezo wa kuwezesha usimbaji fiche (katika toleo la Pro).
- Udhibiti wa hati za karatasi
Kampuni ilikuwa na hatari kubwa zinazohusiana na matumizi ya nyaraka za karatasi: zinaweza kupotea, kuachwa mahali pabaya, au kuharibiwa vibaya. Ili kupunguza hatari hii, tumeweka alama nyaraka zote za karatasi kulingana na kiwango cha usiri na kutengeneza utaratibu wa kuharibu aina tofauti za nyaraka. Sasa, wakati mfanyakazi anafungua folda au kuchukua hati, anajua hasa habari hii iko katika aina gani na jinsi ya kuishughulikia.
- Kukodisha kituo cha data chelezo
Hapo awali, taarifa zote za kampuni zilihifadhiwa kwenye seva ziko katika kituo cha data salama cha wahusika wengine. Hata hivyo, hakukuwa na taratibu za dharura katika kituo hiki cha data. Suluhisho lilikuwa kukodisha kituo cha data cha wingu chelezo na kuweka nakala ya habari muhimu zaidi hapo. Hivi sasa, taarifa za kampuni zimehifadhiwa katika vituo viwili vya data vya kijiografia, ambayo hupunguza hatari ya kupoteza kwake.
- Mtihani wa mwendelezo wa biashara
Kampuni yetu imekuwa na Sera ya Kuendeleza Biashara (BCP) kwa miaka kadhaa, ambayo inaelezea kile ambacho wafanyikazi wanapaswa kufanya katika hali tofauti mbaya (kupoteza ufikiaji wa ofisi, janga, kukatika kwa umeme, n.k.). Hata hivyo, hatujawahi kufanya majaribio ya mwendelezo - yaani, hatujawahi kupima muda ambao ungechukua kurejesha biashara katika kila moja ya hali hizi. Katika maandalizi ya ukaguzi wa uidhinishaji, hatukufanya hivi tu, bali pia tulitengeneza mpango wa majaribio ya mwendelezo wa biashara kwa mwaka ujao. Ni muhimu kuzingatia kwamba mwaka mmoja baadaye, tulipokuwa tunakabiliwa na haja ya kubadili kabisa kazi ya mbali, tulimaliza kazi hii kwa siku tatu.
Ni muhimu kuzingatia, kwamba makampuni yote yanayotayarisha vyeti yana hali tofauti za kuanzia - kwa hiyo, kwa upande wako, mabadiliko tofauti kabisa yanaweza kuhitajika.
Majibu ya wafanyikazi kwa mabadiliko
Oddly kutosha - hapa tulitarajia mbaya zaidi - ikawa sio mbaya sana. Haiwezi kusemwa kwamba wenzake walipokea habari za udhibitisho kwa shauku kubwa, lakini yafuatayo yalikuwa wazi:
- Wafanyakazi wote muhimu walielewa umuhimu na kuepukika kwa tukio hili;
- Wafanyakazi wengine wote waliangalia wafanyakazi wakuu.
Kwa kweli, maelezo ya tasnia yetu yalitusaidia sana - utaftaji wa kazi za uhasibu. Idadi kubwa ya wafanyikazi wetu wanakabiliana vyema na mabadiliko ya mara kwa mara katika sheria za Urusi. Ipasavyo, kuanzishwa kwa sheria kadhaa mpya ambazo sasa lazima zizingatiwe haikuwa jambo la kawaida kwao.
Tumetayarisha mafunzo na upimaji mpya wa lazima wa ISO 27001 kwa wafanyakazi wetu wote. Kila mtu kwa utiifu aliondoa noti zilizonata na nywila kutoka kwa wachunguzi wao na akaondoa madawati yaliyokuwa yamejaa hati. Hakuna kutoridhika kwa sauti kubwa kuligunduliwa - kwa ujumla, tulikuwa na bahati sana na wafanyikazi wetu.
Kwa hivyo, tumepita hatua chungu zaidi - "unyogovu" - inayohusishwa na mabadiliko katika michakato yetu ya biashara. Ilikuwa ngumu na ngumu, lakini matokeo ya mwisho yalizidi matarajio yetu yote.
Soma nyenzo zilizopita kutoka kwa safu:
Hatua 5 za kuepukika kwa uidhinishaji wa ISO/IEC 27001. Huzuni.
Hatua 5 za kuepukika kwa uidhinishaji wa ISO/IEC 27001. Kuasili.
Chanzo: mapenzi.com