மாற்றத்திற்கான உணர்ச்சிபூர்வமான பதிலின் நான்காவது நிலை மனச்சோர்வு. இந்த கட்டுரையில், மிகவும் நீடித்த மற்றும் விரும்பத்தகாத கட்டத்தை கடந்து செல்லும் எங்கள் அனுபவத்தைப் பற்றி நாங்கள் உங்களுக்குச் சொல்வோம் - ISO 27001 தரநிலையுடன் இணக்கத்தை அடைவதற்காக நிறுவனத்தின் வணிக செயல்முறைகளில் ஏற்படும் மாற்றங்கள் பற்றி.
எதிர்பார்ப்பு
சான்றளிக்கும் அமைப்பு மற்றும் ஆலோசகரைத் தேர்ந்தெடுத்த பிறகு, நாங்கள் நம்மை நாமே கேட்டுக்கொண்ட முதல் கேள்வி, தேவையான அனைத்து மாற்றங்களையும் செய்ய உண்மையில் எவ்வளவு நேரம் தேவைப்படும்?
ஆரம்ப வேலைத் திட்டம் 3 மாதங்களுக்குள் முடிக்க வேண்டும் என்று திட்டமிடப்பட்டது.
எல்லாம் எளிமையானதாகத் தோன்றியது: இரண்டு டஜன் கொள்கைகளை எழுதுவது மற்றும் எங்கள் உள் செயல்முறைகளை சிறிது மாற்றுவது அவசியம்; பின்னர் மாற்றங்களைப் பற்றி சக ஊழியர்களைப் பயிற்றுவித்து மேலும் 3 மாதங்கள் காத்திருக்கவும் (அதனால் "பதிவுகள்" தோன்றும், அதாவது கொள்கைகளின் செயல்பாட்டிற்கான சான்றுகள்). அவ்வளவுதான் என்று தோன்றியது - சான்றிதழ் எங்கள் பாக்கெட்டில் இருந்தது.
கூடுதலாக, நாங்கள் புதிதாக கொள்கைகளை எழுதப் போவதில்லை - எல்லாவற்றிற்கும் மேலாக, எங்களிடம் ஒரு ஆலோசகர் இருந்தார், அவர் நாங்கள் நினைத்தபடி, எல்லா “சரியான” வார்ப்புருக்களையும் எங்களுக்கு வழங்க வேண்டும்.
இந்த முடிவுகளின் விளைவாக, ஒவ்வொரு பாலிசியையும் தயாரிக்க 3 நாட்கள் ஒதுக்கினோம்.
தொழில்நுட்ப மாற்றங்களும் அச்சுறுத்தலாகத் தோன்றவில்லை: நிகழ்வுகளின் சேகரிப்பு மற்றும் சேமிப்பகத்தை அமைப்பது, காப்புப்பிரதிகள் நாங்கள் எழுதிய கொள்கைக்கு இணங்குகிறதா என்பதைச் சரிபார்ப்பது, தேவைப்படும் இடங்களில் அணுகல் கட்டுப்பாட்டு அமைப்புகளுடன் அலுவலகங்களை மறுசீரமைப்பது மற்றும் வேறு சில சிறிய விஷயங்களைச் செய்வது அவசியம். .
சான்றிதழிற்கு தேவையான அனைத்தையும் தயாரிக்கும் குழு இரண்டு நபர்களைக் கொண்டிருந்தது. அவர்கள் தங்கள் முக்கிய பொறுப்புகளுக்கு இணையாக செயல்படுத்துவதில் ஈடுபடுவார்கள் என்று நாங்கள் திட்டமிட்டோம், மேலும் இது ஒவ்வொருவருக்கும் ஒரு நாளைக்கு அதிகபட்சம் 1,5-2 மணிநேரம் ஆகும்.
சுருக்கமாக, வரவிருக்கும் வேலையின் நோக்கம் பற்றிய எங்கள் பார்வை மிகவும் நம்பிக்கையுடன் இருந்தது என்று சொல்லலாம்.
உண்மையில்
உண்மையில், எல்லாம் இயற்கையாகவே வித்தியாசமாக இருந்தது: ஆலோசகர் வழங்கிய கொள்கை வார்ப்புருக்கள் எங்கள் நிறுவனத்திற்கு பெரும்பாலும் பொருந்தாது; என்ன, எப்படி செய்வது என்பது பற்றி இணையத்தில் தெளிவான தகவல்கள் எதுவும் இல்லை. நீங்கள் நினைப்பது போல், "3 நாட்களில் ஒரு கொள்கையை எழுதும்" திட்டம் மோசமாக தோல்வியடைந்தது. எனவே திட்டத்தின் ஆரம்பத்திலிருந்தே காலக்கெடுவை சந்திப்பதை நாங்கள் நிறுத்திவிட்டோம், மேலும் எங்கள் மனநிலை மெதுவாக வீழ்ச்சியடையத் தொடங்கியது.
அணியின் நிபுணத்துவம் பேரழிவு தரும் வகையில் சிறியதாக இருந்தது - ஆலோசகரிடம் சரியான கேள்விகளைக் கேட்பது கூட போதுமானதாக இல்லை (அவர், அதிக முன்முயற்சியைக் காட்டவில்லை). செயல்படுத்தத் தொடங்கி 3 மாதங்களுக்குப் பிறகு (அதாவது, எல்லாம் தயாராக இருக்க வேண்டிய தருணத்தில்), இரண்டு முக்கிய பங்கேற்பாளர்களில் ஒருவர் அணியை விட்டு வெளியேறியதால், விஷயங்கள் இன்னும் மெதுவாக நகரத் தொடங்கின. அவர் ஐடி சேவையின் புதிய தலைவரால் மாற்றப்பட்டார், அவர் செயல்படுத்தும் செயல்முறையை விரைவாக முடிக்க வேண்டும் மற்றும் தொழில்நுட்பக் கண்ணோட்டத்தில் மிகவும் தேவையான அனைத்தையும் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பை வழங்க வேண்டும். பணி கடினமாகத் தெரிந்தது... பொறுப்பில் இருந்தவர்கள் மனமுடைந்து போகத் தொடங்கினர்.
கூடுதலாக, சிக்கலின் தொழில்நுட்ப பக்கமும் "நுணுக்கங்கள்" கொண்டதாக மாறியது. பணிநிலையங்கள் மற்றும் சர்வர் கருவிகளில் உலகளாவிய மென்பொருள் நவீனமயமாக்கல் பணியை நாங்கள் எதிர்கொள்கிறோம். நிகழ்வுகளை (பதிவுகள்) சேகரிக்க கணினியை அமைக்கும் போது, கணினியின் இயல்பான செயல்பாட்டிற்கு போதுமான வன்பொருள் வளங்கள் எங்களிடம் இல்லை என்று மாறியது. காப்புப் பிரதி மென்பொருளுக்கும் நவீனமயமாக்கல் தேவைப்பட்டது.
ஸ்பாய்லர்: இதன் விளைவாக, ISMS 6 மாதங்களில் வீரமாக செயல்படுத்தப்பட்டது. மேலும் யாரும் இறக்கவில்லை!
எது மிகவும் மாறிவிட்டது?
நிச்சயமாக, தரநிலையை செயல்படுத்தும் போது, நிறுவனத்தின் செயல்முறைகளில் அதிக எண்ணிக்கையிலான சிறிய மாற்றங்கள் ஏற்பட்டன. உங்களுக்கான மிக முக்கியமான மாற்றங்களை நாங்கள் முன்னிலைப்படுத்தியுள்ளோம்:
- இடர் மதிப்பீட்டு செயல்முறையை முறைப்படுத்துதல்
முன்னதாக, நிறுவனத்திடம் முறையான இடர் மதிப்பீட்டு செயல்முறை இல்லை - இது ஒட்டுமொத்த மூலோபாய திட்டமிடலின் ஒரு பகுதியாக மட்டுமே செய்யப்பட்டது. சான்றிதழின் ஒரு பகுதியாக தீர்க்கப்பட்ட மிக முக்கியமான பணிகளில் ஒன்று, நிறுவனத்தின் இடர் மதிப்பீட்டுக் கொள்கையை செயல்படுத்துவதாகும், இது இந்த செயல்முறையின் அனைத்து நிலைகளையும் ஒவ்வொரு கட்டத்திற்கும் பொறுப்பான நபர்களை விவரிக்கிறது.
- நீக்கக்கூடிய சேமிப்பக ஊடகத்தின் மீதான கட்டுப்பாடு
வணிகத்திற்கான குறிப்பிடத்தக்க அபாயங்களில் ஒன்று மறைகுறியாக்கப்படாத USB ஃபிளாஷ் டிரைவ்களைப் பயன்படுத்துவதாகும்: உண்மையில், எந்தவொரு பணியாளரும் தனக்குக் கிடைக்கும் எந்தத் தகவலையும் ஃபிளாஷ் டிரைவில் எழுதலாம் மற்றும் சிறந்த முறையில் அதை இழக்கலாம். சான்றிதழின் ஒரு பகுதியாக, ஃபிளாஷ் டிரைவ்களில் எந்த தகவலையும் பதிவிறக்கும் திறன் அனைத்து பணியாளர் பணிநிலையங்களிலும் முடக்கப்பட்டுள்ளது - தகவல் தொழில்நுட்பத் துறைக்கு விண்ணப்பம் மூலம் மட்டுமே பதிவு செய்ய முடிந்தது.
- சூப்பர் பயனர் கட்டுப்பாடு
அனைத்து தகவல் தொழில்நுட்பத் துறை ஊழியர்களுக்கும் அனைத்து நிறுவன அமைப்புகளிலும் முழுமையான உரிமைகள் இருந்தன என்பது முக்கிய பிரச்சனைகளில் ஒன்றாகும் - அவர்கள் அனைத்து தகவல்களையும் அணுகினர். அதே நேரத்தில், யாரும் அவர்களைக் கட்டுப்படுத்தவில்லை.
டேட்டா லாஸ் தடுப்பு (டிஎல்பி) அமைப்பை நாங்கள் செயல்படுத்தியுள்ளோம் - இது ஆபத்தான மற்றும் ஆக்கப்பூர்வமற்ற செயல்பாடுகளைப் பற்றிய பகுப்பாய்வு, தடுப்பு மற்றும் விழிப்பூட்டல்களைக் கண்காணிப்பதற்கான ஒரு திட்டமாகும். இப்போது தகவல் தொழில்நுட்பத் துறை ஊழியர்களின் நடவடிக்கைகள் குறித்த எச்சரிக்கைகள் நிறுவனத்தின் செயல்பாட்டு இயக்குநரின் மின்னஞ்சல் முகவரிக்கு அனுப்பப்படுகின்றன.
- தகவல் உள்கட்டமைப்பை ஒழுங்கமைப்பதற்கான அணுகுமுறை
சான்றிதழிற்கு உலகளாவிய மாற்றங்கள் மற்றும் அணுகுமுறைகள் தேவை. ஆம், அதிகரித்த சுமை காரணமாக நாங்கள் பல சேவையக உபகரணங்களை மேம்படுத்த வேண்டியிருந்தது. குறிப்பாக, நிகழ்வு சேகரிப்பு அமைப்புகளுக்கு ஒரு தனி சேவையகத்தை நாங்கள் அர்ப்பணித்துள்ளோம். சேவையகம் பெரிய மற்றும் வேகமான SSD இயக்கிகளுடன் பொருத்தப்பட்டிருந்தது. காப்புப் பிரதி மென்பொருளை கைவிட்டு, தேவையான அனைத்து செயல்பாடுகளையும் கொண்ட சேமிப்பக அமைப்புகளைத் தேர்ந்தெடுத்துள்ளோம். "குறியீட்டாக உள்கட்டமைப்பு" கருத்தை நோக்கி நாங்கள் பல பெரிய படிகளைச் செய்துள்ளோம், இது பல சேவையகங்களின் காப்புப்பிரதியை அகற்றுவதன் மூலம் நிறைய வட்டு இடத்தை சேமிக்க அனுமதித்தது. மிகக் குறுகிய காலத்தில் (1 வாரம்), பணிநிலையங்களில் உள்ள அனைத்து மென்பொருட்களும் Win10க்கு மேம்படுத்தப்பட்டன. நவீனமயமாக்கல் தீர்க்கப்பட்ட சிக்கல்களில் ஒன்று குறியாக்கத்தை இயக்கும் திறன் (புரோ பதிப்பில்).
- காகித ஆவணங்கள் மீதான கட்டுப்பாடு
காகித ஆவணங்களைப் பயன்படுத்துவதில் நிறுவனம் குறிப்பிடத்தக்க அபாயங்களைக் கொண்டிருந்தது: அவை இழக்கப்படலாம், தவறான இடத்தில் விடப்படலாம் அல்லது தவறாக அழிக்கப்படலாம். இந்த ஆபத்தை குறைக்க, நாங்கள் அனைத்து காகித ஆவணங்களையும் ரகசியத்தன்மையின் நிலைக்கு ஏற்ப குறித்துள்ளோம் மற்றும் பல்வேறு வகையான ஆவணங்களை அழிக்கும் செயல்முறையை உருவாக்கியுள்ளோம். இப்போது, ஒரு ஊழியர் ஒரு கோப்புறையைத் திறக்கும்போது அல்லது ஒரு ஆவணத்தை எடுக்கும்போது, இந்தத் தகவல் எந்த வகையைச் சேர்ந்தது மற்றும் அதை எவ்வாறு கையாள்வது என்பது அவருக்குத் தெரியும்.
- காப்பு தரவு மையத்தை வாடகைக்கு எடுத்தல்
முன்னதாக, அனைத்து நிறுவன தகவல்களும் மூன்றாம் தரப்பு பாதுகாப்பான தரவு மையத்தில் அமைந்துள்ள சேவையகங்களில் சேமிக்கப்பட்டன. இருப்பினும், இந்த தரவு மையத்தில் அவசரகால நடைமுறைகள் எதுவும் இல்லை. காப்புப்பிரதி கிளவுட் தரவு மையத்தை வாடகைக்கு எடுத்து, அங்குள்ள மிக முக்கியமான தகவல்களை காப்புப் பிரதி எடுப்பதே தீர்வாகும். தற்போது, நிறுவனத்தின் தகவல் இரண்டு புவியியல் ரீதியாக தொலைதூர தரவு மையங்களில் சேமிக்கப்படுகிறது, இது அதன் இழப்பின் அபாயத்தை குறைக்கிறது.
- வணிக தொடர்ச்சி சோதனை
எங்கள் நிறுவனம் பல ஆண்டுகளாக வணிகத் தொடர்ச்சிக் கொள்கை (BCP) நடைமுறையில் உள்ளது, இது பல்வேறு எதிர்மறையான சூழ்நிலைகளில் (அலுவலகத்திற்கான அணுகல் இழப்பு, தொற்றுநோய், மின்வெட்டு போன்றவை) ஊழியர்கள் என்ன செய்ய வேண்டும் என்பதை விவரிக்கிறது. இருப்பினும், நாங்கள் ஒருபோதும் தொடர்ச்சி சோதனையை நடத்தவில்லை - அதாவது, இந்த ஒவ்வொரு சூழ்நிலையிலும் வணிகத்தை மீட்டெடுக்க எவ்வளவு காலம் ஆகும் என்பதை நாங்கள் ஒருபோதும் அளவிடவில்லை. சான்றிதழ் தணிக்கைக்கான தயாரிப்பில், நாங்கள் இதைச் செய்தோம், ஆனால் வரவிருக்கும் ஆண்டிற்கான வணிக தொடர்ச்சி சோதனைத் திட்டத்தையும் உருவாக்கினோம். ஒரு வருடம் கழித்து, தொலைதூர வேலைக்கு முற்றிலும் மாற வேண்டிய அவசியத்தை நாங்கள் எதிர்கொண்டபோது, இந்த பணியை நாங்கள் மூன்று நாட்களில் முடித்தோம் என்பது கவனிக்கத்தக்கது.
குறிப்பு முக்கியம், சான்றிதழுக்காகத் தயாராகும் அனைத்து நிறுவனங்களும் வெவ்வேறு தொடக்க நிலைகளைக் கொண்டுள்ளன - எனவே, உங்கள் விஷயத்தில், முற்றிலும் மாறுபட்ட மாற்றங்கள் தேவைப்படலாம்.
மாற்றங்களுக்கு பணியாளர் எதிர்வினைகள்
விந்தை போதும் - இங்கே நாங்கள் மோசமானதை எதிர்பார்த்தோம் - அது அவ்வளவு மோசமாக இல்லை. சக ஊழியர்கள் மிகுந்த உற்சாகத்துடன் சான்றிதழ் பெற்றனர் என்று கூற முடியாது, ஆனால் பின்வருபவை தெளிவாக இருந்தன:
- அனைத்து முக்கிய ஊழியர்களும் இந்த நிகழ்வின் முக்கியத்துவத்தையும் தவிர்க்க முடியாத தன்மையையும் புரிந்து கொண்டனர்;
- மற்ற அனைத்து ஊழியர்களும் முக்கிய ஊழியர்களை நோக்கினர்.
நிச்சயமாக, எங்கள் தொழில்துறையின் பிரத்தியேகங்கள் எங்களுக்கு நிறைய உதவியது - கணக்கியல் செயல்பாடுகளின் அவுட்சோர்சிங். எங்கள் ஊழியர்களில் பெரும்பாலோர் ரஷ்ய சட்டத்தில் நிலையான மாற்றங்களை நன்கு சமாளிக்கிறார்கள். அதன்படி, இப்போது கடைபிடிக்க வேண்டிய இரண்டு டஜன் புதிய விதிகளை அறிமுகப்படுத்துவது அவர்களுக்கு அசாதாரணமானது அல்ல.
எங்கள் அனைத்து ஊழியர்களுக்கும் புதிய கட்டாய ISO 27001 பயிற்சி மற்றும் சோதனையை நாங்கள் தயார் செய்துள்ளோம். ஒவ்வொருவரும் பணிவுடன் கடவுச்சொற்கள் கொண்ட ஸ்டிக்கி நோட்டுகளை தங்கள் மானிட்டர்களில் இருந்து அகற்றினர் மற்றும் ஆவணங்கள் நிறைந்த மேசைகளை அகற்றினர். உரத்த அதிருப்தி எதுவும் கவனிக்கப்படவில்லை - பொதுவாக, நாங்கள் எங்கள் ஊழியர்களுடன் மிகவும் அதிர்ஷ்டசாலிகள்.
எனவே, எங்கள் வணிக செயல்முறைகளில் ஏற்படும் மாற்றங்களுடன் தொடர்புடைய மிகவும் வேதனையான கட்டத்தை நாங்கள் கடந்துவிட்டோம் - “மனச்சோர்வு”. இது கடினமாகவும் கடினமாகவும் இருந்தது, ஆனால் இறுதியில் முடிவு எங்கள் எல்லா எதிர்பார்ப்புகளையும் தாண்டியது.
தொடரின் முந்தைய பொருட்களைப் படிக்கவும்:
ISO/IEC 5 சான்றிதழின் தவிர்க்க முடியாத 27001 நிலைகள். மனச்சோர்வு.
ISO/IEC 5 சான்றிதழின் தவிர்க்க முடியாத 27001 நிலைகள். தத்தெடுப்பு.
ஆதாரம்: www.habr.com