Wakati wa kufanya uamuzi wowote muhimu wa kimkakati kwa kampuni, wafanyikazi hupitia njia ya msingi ya ulinzi, inayojulikana kama hatua 5 za kujibu mabadiliko (na E. KΓΌbler-Ross). Mwanasaikolojia mashuhuri aliwahi kuelezea athari za kihemko, akiangazia hatua 5 muhimu za mwitikio wa kihemko: kukataa, hasira, biashara, huzuni na hatimaye Kuasili. Tumetayarisha mfululizo wa makala zinazotolewa kwa uthibitisho wa ISO 27001, ambapo tutaangalia kila hatua. Leo tutazungumza juu ya wa kwanza wao - kukataa.
Kupata cheti cha ISO 27001 "kwa onyesho" ni raha ya shaka sana, kwa sababu inahitaji maandalizi ya muda mrefu na ya gharama kubwa. Aidha, kama inavyoonyesha , kiwango hiki hakipendi sana katika Shirikisho la Urusi: hadi sasa, makampuni 70 tu yamethibitishwa kwa kufuata. Wakati huo huo, hii ni moja ya viwango maarufu zaidi nje ya nchi, kukidhi mahitaji ya kukua ya biashara katika uwanja wa usalama wa habari.
Kampuni yetu hutoa anuwai kamili ya huduma za nje kwa kazi za uhasibu: uhasibu na uhasibu wa ushuru, malipo ya mishahara na usimamizi wa wafanyikazi. Tunachukua nafasi moja ya soko inayoongoza, haswa kutokana na ukweli kwamba kampuni za kigeni zilizo na matawi nchini Urusi hutuamini na habari zao za siri. Hii inatumika sio tu kwa michakato ya kifedha ya wateja wetu, lakini pia kwa data ya kibinafsi tunayofanya kazi nayo kila siku. Katika suala hili, suala la usalama wa habari ni moja ya vipaumbele vyetu.
Mara nyingi, michakato yote ya biashara ya mgawanyiko wa Kirusi inadhibitiwa na kutangazwa na ofisi kuu za makampuni ya kigeni, na kwa hiyo wanapaswa kuzingatia viwango vya ndani vya kikundi. Hivi majuzi, baadhi ya wateja wetu wakuu wameanza kurekebisha sera zao za usalama ili kuzibana. Bila shaka, hii ni kutokana na mwelekeo wa kimataifa katika kuongezeka kwa idadi ya mashambulizi ya mtandao na hasara zinazohusiana na matukio ya uvunjaji wa usalama wa habari.Ikiwa ni muhimu kutekeleza hatua za ulinzi, sera na taratibu zinazolenga kuongeza usalama wa habari wa kampuni, unaweza kufanya bila ISO. /IEC 27001 cheti, kuokoa pesa nyingi, wakati na mishipa.
Leo, mahitaji ya usalama wa habari uliopo katika kampuni yameanza kuonekana katika zabuni kutoka kwa wateja wa kigeni. Baadhi, ili kurahisisha uthibitishaji wao na kuunganisha mbinu, huweka kigezo cha lazima cha tathmini - uwepo wa uthibitisho wa ISO/IEC 27001.
Haya ndiyo tuliyoona: Mmoja wa wateja wetu wakuu wa kimataifa aliyeidhinishwa kwa kiwango hiki anaonekana kuimarisha timu yake ya kimataifa ya usalama wa taarifa. Tulijuaje kuhusu hili? Waliamua kukagua mfumo wetu wa usimamizi wa usalama wa habari, kwa sababu tunawapa huduma za uhasibu na usimamizi wa wafanyikazi - na, ipasavyo, usalama wa mifumo yetu ya habari ni muhimu sana kwao. Ukaguzi uliopita ulifanyika miaka 3 iliyopita - wakati huo kila kitu kilikwenda bila maumivu.
Wakati huu, timu ya kirafiki ya Wahindi ilitushambulia, na kugundua mapungufu kadhaa katika mfumo wetu wa usimamizi wa usalama. Mchakato wa ukaguzi ulifanana na gurudumu la Samsara - ilionekana kuwa kimsingi hawakuwa na lengo la kufikia hatua yoyote ya mwisho kama sehemu ya ukaguzi. Ulikuwa msururu wa maswali, maoni, maoni na ushahidi wetu wa ukweli wao, simu za mikutano na mazungumzo marefu ya kifalsafa katika kujaribu kutambua lafudhi ya timu ya usalama ya IT ya mteja. Kwa njia, ukaguzi unaendelea na viwango tofauti vya kiwango hadi leo - baada ya muda, tumekubaliana na hili. Kwa hivyo, hitaji la uthibitisho limetokea peke yake.
Labda tunaweza kufanya na ISO 9001?
Kila mtu ambaye ni mweledi zaidi au mdogo katika suala la uidhinishaji kulingana na viwango vyovyote vya ISO anaelewa kwamba msingi wa kila mmoja wao ni cheti cha ISO 9001 cha "Mfumo wa Udhibiti wa Ubora". Labda hiki ndicho cheti maarufu zaidi kwa sasa katika mstari mzima wa viwango vya ISO. Hatukuwa nayo - na tuliamua kutoipata. Kulikuwa na sababu kadhaa za hii:
- ufanisi wa kiuchumi unaotiliwa shaka wa kampuni iliyo na cheti hiki;
- michakato yetu ya ndani, kwa sehemu kubwa, tayari ilikuwa karibu na kiwango hiki;
- Kupata cheti hiki kutahitaji muda na pesa zaidi.
Ipasavyo, tuliamua kutekeleza ISO 27001 mara moja, bila kuanza na "nyepesi" 9001.
Au labda bado sio lazima?
Kuangalia mbele, tumerudi mara nyingi kwa swali la ikiwa ni vyema kuipata. Tulianza kusoma suala hilo kutoka pande zote, kwa sababu hatukuwa na utaalamu kabisa. Na hapa kuna maoni potofu ambayo yalitufanya tufikirie juu ya suala hili kwa mara nyingine tena.
Dhana potofu #1.
Tulitumai kuwa kiwango hicho kingetupa orodha ya kina, orodha ya sera na hati zingine za kisheria. Kwa kweli, iliibuka kuwa ISO/IEC 27001 ni seti ya mahitaji ya mfumo wa usimamizi wa usalama wa habari yenyewe na mchakato unaojengwa. Kulingana na wao, ilikuwa ni lazima kuamua kwa kujitegemea nini cha kuandika / kutekeleza katika kampuni yetu ili kuzingatia mahitaji ya kiwango.
Dhana potofu #2.
Tuliamini kwa dhati kwamba ingetosha sisi kujifunza hati moja na kuitekeleza kwa muda mfupi tukiwa peke yetu. Kwa kweli, tulipokuwa tukisoma waraka huo, tuligundua ni viwango vingapi vinavyohusiana ambavyo kiwango chetu "hushikamana" nacho, ni viwango vingapi tunahitaji kuvifahamu (angalau juu juu). "Cherry" kwenye keki ilikuwa ukosefu wa maandishi ya viwango vya sasa katika uwanja wa umma - ilibidi kununuliwa kwenye tovuti rasmi ya ISO.
Dhana potofu #3.
Tulikuwa na uhakika kwamba tutapata kila kitu tulichohitaji ili kujiandaa kwa ajili ya uidhinishaji katika vyanzo vya wazi. Kwa kweli kulikuwa na nyenzo nyingi kwenye ISO 27001 kwenye Mtandao, lakini zilikuwa hazina mahususi. Kulikuwa na kivitendo hakuna maelekezo rahisi ya hatua kwa hatua ya kuandaa vyeti, pamoja na kesi halisi za makampuni ambayo yametekeleza kiwango hiki.
Dhana potofu #4.
Tutaandika sera, lakini hazitafanya kazi! Kweli, ni kweli, kampuni yetu tayari ina sheria nyingi sana, hakuna mtu atakayezingatia sera zingine dazeni 3 mpya. Kwa kweli, kwa bahati nzuri, wafanyikazi wetu walichukua jukumu la kusimamia sheria mpya kwa uwajibikaji na kupitisha majaribio kwa maarifa ya hati za mfumo wa usimamizi wa usalama.
Dhana potofu #5.
Wakati huo, hatukuweza kutathmini waziwazi faida ambazo tungepata kutokana na jitihada zetu. Wakati huo, idadi ya maombi ya cheti hiki haikuwa kubwa sana, na tulikuwa na mteja wetu muhimu na anayehitaji sana muda mrefu kabla ya kuthibitishwa. Uzoefu ulionyesha kuwa tuliweza bila kiwango.
Wakati fulani, tuligundua kwamba tulikuwa tukifunga kwa fujo pengo moja au jingine linalojitokeza kutokana na mahitaji ya mteja. Kila mara tulipopata sera mpya au masuluhisho. Na hatimaye tulifikia hitimisho kwa hitimisho kwamba itakuwa rahisi sana kupanga utaratibu, ambayo inaweza hata kutuokoa gharama nyingi za kazi katika siku zijazo. Kiwango kilikusudiwa kurahisisha kazi hii.
Sasa, miaka miwili baadaye, tunaona mwelekeo unaoongezeka wa idadi ya maombi na maslahi katika suala hili kutoka kwa wateja wakuu wa kimataifa.
Uamuzi wa mwisho.
Kwa kumalizia, tungependa kusema kwamba viongozi wa sekta yetu wamepokea uthibitisho wa ISO/IEC 27001, ambao umewalazimu watoa huduma wengine wote wakuu (pamoja na sisi) kufikiria kuhusu suala hili. Bila shaka, mstari mzuri katika vifaa vya uuzaji vya kampuni - kwenye tovuti, kwenye mitandao ya kijamii, katika vipeperushi vya matangazo, nk. - inaweza kuchukuliwa kuwa bonus ya kupendeza, lakini ni thamani ya kutumia rasilimali nyingi? Tuliamua wenyewe kwamba kwetu hii ni zaidi ya mstari mzuri tu, na tulishiriki katika mradi huu.
Chanzo: mapenzi.com