நிறுவனத்திற்கு எந்தவொரு மூலோபாய முக்கியத்துவம் வாய்ந்த முடிவை எடுக்கும்போது, ஊழியர்கள் ஒரு அடிப்படை பாதுகாப்பு பொறிமுறையின் மூலம் செல்கின்றனர், இது மாற்றத்திற்கு பதிலளிக்கும் 5 நிலைகளாக அறியப்படுகிறது (ஈ. குப்லர்-ரோஸ் மூலம்). ஒரு சிறந்த உளவியலாளர் ஒருமுறை உணர்ச்சிகரமான எதிர்வினைகளை விவரித்தார், உணர்ச்சிபூர்வமான பதிலின் 5 முக்கிய நிலைகளை எடுத்துக்காட்டுகிறார்: மறுப்பு, கோபம், பேரம், மன இறுதியாக தத்தெடுப்பு. ISO 27001 சான்றிதழுக்காக அர்ப்பணிக்கப்பட்ட தொடர் கட்டுரைகளை நாங்கள் தயார் செய்துள்ளோம், அங்கு ஒவ்வொரு நிலைகளையும் பார்ப்போம். இன்று நாம் அவற்றில் முதலாவது பற்றி பேசுவோம் - மறுப்பு.
"நிகழ்ச்சிக்காக" ISO 27001 சான்றிதழைப் பெறுவது மிகவும் சந்தேகத்திற்குரிய மகிழ்ச்சி, ஏனென்றால் அதற்கு நீண்ட மற்றும் விலையுயர்ந்த தயாரிப்பு தேவைப்படுகிறது. மேலும், அது காட்டுகிறது , இந்த தரநிலை ரஷ்ய கூட்டமைப்பில் மிகவும் பிரபலமற்றது: இன்றுவரை, இணக்கத்திற்காக 70 நிறுவனங்கள் மட்டுமே சான்றளிக்கப்பட்டுள்ளன. அதே நேரத்தில், இது வெளிநாட்டில் மிகவும் பிரபலமான தரநிலைகளில் ஒன்றாகும், தகவல் பாதுகாப்பு துறையில் வணிகத்தின் வளர்ந்து வரும் கோரிக்கைகளை பூர்த்தி செய்கிறது.
கணக்கியல் செயல்பாடுகளுக்கு எங்கள் நிறுவனம் முழு அளவிலான அவுட்சோர்சிங் சேவைகளை வழங்குகிறது: கணக்கியல் மற்றும் வரி கணக்கியல், ஊதியம் மற்றும் பணியாளர் நிர்வாகம். ரஷ்யாவில் கிளைகளைக் கொண்ட வெளிநாட்டு நிறுவனங்கள் தங்கள் ரகசியத் தகவல்களுடன் எங்களை நம்புவதால், முன்னணி சந்தை நிலைகளில் ஒன்றை நாங்கள் ஆக்கிரமித்துள்ளோம். இது எங்கள் வாடிக்கையாளர்களின் நிதி செயல்முறைகளுக்கு மட்டுமல்ல, தினசரி அடிப்படையில் நாங்கள் பணிபுரியும் தனிப்பட்ட தரவுகளுக்கும் பொருந்தும். இது சம்பந்தமாக, தகவல் பாதுகாப்பு பிரச்சினை எங்கள் முன்னுரிமைகளில் ஒன்றாகும்.
பெரும்பாலும், ரஷ்ய பிரிவுகளின் அனைத்து வணிக செயல்முறைகளும் வெளிநாட்டு நிறுவனங்களின் தலைமை அலுவலகங்களால் கட்டுப்படுத்தப்பட்டு அறிவிக்கப்படுகின்றன, எனவே அவை உள் குழு அளவிலான தரநிலைகளுக்கு இணங்க வேண்டும். சமீபத்தில், எங்கள் முக்கிய வாடிக்கையாளர்கள் சிலர் தங்கள் பாதுகாப்புக் கொள்கைகளை இறுக்கும் திசையில் திருத்தத் தொடங்கியுள்ளனர். நிச்சயமாக, இது அதிகரித்து வரும் இணைய தாக்குதல்கள் மற்றும் தகவல் பாதுகாப்பு மீறல் சம்பவங்களுடன் தொடர்புடைய இழப்புகளின் உலகளாவிய போக்குகள் காரணமாகும். நிறுவனத்தின் தகவல் பாதுகாப்பை அதிகரிக்கும் நோக்கில் பாதுகாப்பு நடவடிக்கைகள், கொள்கைகள் மற்றும் நடைமுறைகளை செயல்படுத்துவது அவசியமானால், நீங்கள் ஐஎஸ்ஓ இல்லாமல் செய்யலாம். /IEC 27001 சான்றிதழ், இதனால் நிறைய பணம், நேரம் மற்றும் நரம்புகள் மிச்சமாகும்.
இன்று, நிறுவனத்தில் இருக்கும் தகவல் பாதுகாப்புக்கான தேவைகள் வெளிநாட்டு வாடிக்கையாளர்களிடமிருந்து டெண்டர்களில் தோன்றத் தொடங்கியுள்ளன. சிலர், தங்கள் சரிபார்ப்பை எளிமையாக்க மற்றும் அணுகுமுறையை ஒருங்கிணைக்க, கட்டாய மதிப்பீட்டு அளவுகோலை அமைக்கின்றனர் - ISO/IEC 27001 சான்றிதழின் இருப்பு.
நாங்கள் பார்த்தது இங்கே: இந்தத் தரத்திற்குச் சான்றளிக்கப்பட்ட எங்கள் முக்கிய சர்வதேச வாடிக்கையாளர்களில் ஒருவர், அதன் உலகளாவிய தகவல் பாதுகாப்புக் குழுவை கணிசமாக வலுப்படுத்தியதாகத் தெரிகிறது. இதைப் பற்றி எங்களுக்கு எப்படித் தெரிந்தது? எங்கள் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பைத் தணிக்கை செய்ய அவர்கள் முடிவு செய்தனர், ஏனெனில் நாங்கள் அவர்களுக்கு கணக்கியல் சேவைகள் மற்றும் பணியாளர் நிர்வாகத்தை வழங்குகிறோம் - மேலும், எங்கள் தகவல் அமைப்புகளின் பாதுகாப்பு அவர்களுக்கு முக்கியமானதாகும். முந்தைய தணிக்கை 3 ஆண்டுகளுக்கு முன்பு நடந்தது - அந்த நேரத்தில் எல்லாம் மிகவும் வலியற்றது.
இந்த நேரத்தில், இந்தியர்களின் நட்புக் குழு எங்களைத் தாக்கியது, எங்கள் பாதுகாப்பு மேலாண்மை அமைப்பில் உள்ள பல டஜன் குறைபாடுகளை சாமர்த்தியமாக வெளிப்படுத்தியது. தணிக்கை செயல்முறை சம்சாரத்தின் சக்கரத்தை ஒத்திருந்தது - கொள்கையளவில் அவர்கள் தணிக்கையின் ஒரு பகுதியாக எந்த இறுதிப் புள்ளியையும் அடையும் இலக்கை கொண்டிருக்கவில்லை என்று தோன்றியது. வாடிக்கையாளரின் IT பாதுகாப்புக் குழுவின் உச்சரிப்பை அடையாளம் காணும் முயற்சியில் இது கேள்விகள், கருத்துகள், எங்கள் கருத்துகள் மற்றும் அவற்றின் யதார்த்தம், மாநாட்டு அழைப்புகள் மற்றும் நீண்ட தத்துவ உரையாடல்கள் ஆகியவற்றின் முடிவில்லாத சரம். மூலம், தணிக்கை இன்றுவரை பல்வேறு தீவிரத்தன்மையுடன் தொடர்கிறது - காலப்போக்கில், நாங்கள் இதைப் புரிந்துகொண்டோம். இதனால், சான்றிதழ் தேவை தானே எழுந்துள்ளது.
ஒருவேளை நாம் ISO 9001 உடன் செய்ய முடியுமா?
எந்தவொரு ஐஎஸ்ஓ தரநிலைகளின்படி சான்றிதழ் வழங்குவதில் அதிகமாகவோ அல்லது குறைவாகவோ ஆர்வமுள்ள அனைவரும், அவை ஒவ்வொன்றிற்கும் அடிப்படையானது ஐஎஸ்ஓ 9001 “தர மேலாண்மை அமைப்பு” சான்றிதழ் என்பதை புரிந்துகொள்கிறார்கள். ISO தரநிலைகளின் முழு வரிசையில் தற்போது மிகவும் பிரபலமான சான்றிதழாக இது இருக்கலாம். எங்களிடம் அது இல்லை - அதைப் பெற வேண்டாம் என்று முடிவு செய்தோம். இதற்கு பல காரணங்கள் இருந்தன:
- இந்தச் சான்றிதழைக் கொண்ட நிறுவனத்தின் கேள்விக்குரிய பொருளாதாரத் திறன்;
- எங்கள் உள் செயல்முறைகள், பெரும்பாலும், ஏற்கனவே இந்த தரநிலைக்கு நெருக்கமாக இருந்தன;
- இந்த சான்றிதழைப் பெறுவதற்கு கூடுதல் நேரமும் பணமும் தேவைப்படும்.
அதன்படி, "இலகுவான" 27001 இல் தொடங்காமல் ISO 9001 ஐ உடனடியாக செயல்படுத்த முடிவு செய்தோம்.
அல்லது ஒருவேளை அது இன்னும் தேவையில்லை?
முன்னோக்கிப் பார்க்கும்போது, அதைப் பெறுவது நல்லதுதானா என்ற கேள்விக்கு நாங்கள் பல முறை திரும்பினோம். எங்களிடம் எந்த நிபுணத்துவமும் இல்லாததால், நாங்கள் எல்லா பக்கங்களிலிருந்தும் சிக்கலைப் படிக்கத் தொடங்கினோம். மேலும் இந்த பிரச்சனையை மீண்டும் ஒருமுறை சிந்திக்க வைத்த தவறான கருத்துக்கள் இங்கே உள்ளன.
தவறான கருத்து #1.
தரநிலையானது விரிவான சரிபார்ப்புப் பட்டியல், கொள்கைகளின் பட்டியல் மற்றும் பிற சட்டப்பூர்வ ஆவணங்களை எங்களுக்கு வழங்கும் என்று நம்புகிறோம். உண்மையில், ISO/IEC 27001 என்பது தகவல் பாதுகாப்பு மேலாண்மை அமைப்பு மற்றும் கட்டமைக்கப்பட்ட செயல்முறைக்கான தேவைகளின் தொகுப்பாகும். அவற்றின் அடிப்படையில், தரநிலையின் தேவைகளுக்கு இணங்க எங்கள் நிறுவனத்தில் எதை எழுதுவது / செயல்படுத்துவது என்பதை சுயாதீனமாக தீர்மானிக்க வேண்டியது அவசியம்.
தவறான கருத்து #2.
ஒரு ஆவணத்தை ஆய்வு செய்து, ஒப்பீட்டளவில் குறுகிய காலத்தில் சொந்தமாக செயல்படுத்தினால் போதும் என்று நாங்கள் உண்மையாக நம்பினோம். உண்மையில், ஆவணத்தைப் படிக்கும்போது, எங்கள் நிலையானது எத்தனை தொடர்புடைய தரங்களுடன் “பற்றுகிறது”, எத்தனை தரங்களை நாம் நன்கு அறிந்திருக்க வேண்டும் (குறைந்தது மேலோட்டமாக) என்பதை நாங்கள் உணர்ந்தோம். கேக்கில் உள்ள “செர்ரி” என்பது பொது களத்தில் தற்போதைய தரநிலை நூல்கள் இல்லாதது - அவை அதிகாரப்பூர்வ ஐஎஸ்ஓ இணையதளத்தில் வாங்கப்பட வேண்டும்.
தவறான கருத்து #3.
திறந்த மூலங்களில் சான்றிதழுக்காகத் தயாராவதற்குத் தேவையான அனைத்தையும் நாங்கள் கண்டுபிடிப்போம் என்று நாங்கள் நம்பினோம். இணையத்தில் ISO 27001 இல் உண்மையில் நிறைய பொருட்கள் இருந்தன, ஆனால் அவை பிரத்தியேகமாக இல்லை. சான்றிதழுக்காகத் தயாரிப்பதற்கான படிப்படியான வழிமுறைகள் மற்றும் இந்த தரநிலையை நடைமுறைப்படுத்திய நிறுவனங்களின் உண்மையான வழக்குகள் நடைமுறையில் எளிதில் புரிந்துகொள்ளக்கூடியதாக இல்லை.
தவறான கருத்து #4.
கொள்கைகளை எழுதுவோம், ஆனால் அவை வேலை செய்யாது! சரி, இது உண்மைதான், எங்கள் நிறுவனத்தில் ஏற்கனவே பல விதிகள் உள்ளன, மேலும் 3 டஜன் புதிய கொள்கைகளுக்கு யாரும் இணங்க மாட்டார்கள். உண்மையில், அதிர்ஷ்டவசமாக, எங்கள் ஊழியர்கள் புதிய விதிகளை பொறுப்புடன் மாஸ்டரிங் செய்யும் பணியை மேற்கொண்டனர் மற்றும் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பு ஆவணங்களின் அறிவிற்கான சோதனையை வெற்றிகரமாக நிறைவேற்றினர்.
தவறான கருத்து #5.
அந்த நேரத்தில், எங்கள் முயற்சியால் நமக்கு என்ன பலன்கள் கிடைக்கும் என்பதை எங்களால் தெளிவாக மதிப்பிட முடியவில்லை. அந்த நேரத்தில், இந்த சான்றிதழுக்கான கோரிக்கைகளின் எண்ணிக்கை பெரியதாக இல்லை, மேலும் சான்றிதழுக்கு நீண்ட காலத்திற்கு முன்பே எங்கள் முக்கிய மற்றும் மிகவும் கோரும் வாடிக்கையாளர் எங்களிடம் இருந்தது. ஒரு தரம் இல்லாமல் நாங்கள் நிர்வகிக்கிறோம் என்பதை அனுபவம் காட்டுகிறது.
ஒரு கட்டத்தில், வாடிக்கையாளரின் தேவைகள் காரணமாக, ஒன்று அல்லது மற்றொரு வெளிவரும் இடைவெளியை நாங்கள் குழப்பமாக மூடுகிறோம் என்பதை உணர்ந்தோம். ஒவ்வொரு முறையும் சில புதிய கொள்கைகள் அல்லது தீர்வுகளைக் கொண்டு வந்தோம். இந்த செயல்முறையை முறைப்படுத்துவது மிகவும் எளிதானது என்ற முடிவுக்கு நாங்கள் இறுதியாக சுயாதீனமாக வந்தோம், இது எதிர்காலத்தில் எங்களுக்கு நிறைய தொழிலாளர் செலவுகளைச் சேமிக்கும். தரநிலை இந்த பணியை எளிதாக்கும் நோக்கம் கொண்டது.
இப்போது, இரண்டு ஆண்டுகளுக்குப் பிறகு, முக்கிய சர்வதேச வாடிக்கையாளர்களிடமிருந்து கோரிக்கைகள் மற்றும் இந்த பிரச்சினையில் ஆர்வம் அதிகரித்து வருவதை நாங்கள் காண்கிறோம்.
இறுதி முடிவு.
முடிவில், எங்கள் தொழில்துறை தலைவர்கள் ISO/IEC 27001 சான்றிதழைப் பெற்றுள்ளனர் என்று கூற விரும்புகிறோம், இது மற்ற அனைத்து முக்கிய வழங்குநர்களையும் (நாங்கள் உட்பட) இந்த சிக்கலைப் பற்றி சிந்திக்க கட்டாயப்படுத்தியுள்ளது. சந்தேகத்திற்கு இடமின்றி, நிறுவனத்தின் சந்தைப்படுத்தல் பொருட்களில் ஒரு அழகான வரி - இணையதளத்தில், சமூக வலைப்பின்னல்களில், விளம்பர பிரசுரங்களில், முதலியன. - இது ஒரு இனிமையான போனஸாகக் கருதப்படலாம், ஆனால் அதற்காக இவ்வளவு வளங்களைச் செலவிடுவது மதிப்புள்ளதா? எங்களுக்கு இது ஒரு அழகான வரியை விட அதிகம் என்று நாங்களே முடிவு செய்து, இந்த திட்டத்தில் நாங்கள் ஈடுபட்டோம்.
ஆதாரம்: www.habr.com