ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

మార్పుకు భావోద్వేగ ప్రతిస్పందన యొక్క నాల్గవ దశ నిరాశ. ISO 27001 ప్రమాణానికి అనుగుణంగా సాధించడానికి కంపెనీ వ్యాపార ప్రక్రియలలో మార్పుల గురించి - అత్యంత సుదీర్ఘమైన మరియు అసహ్యకరమైన దశను అనుభవించిన మా అనుభవం గురించి ఈ కథనంలో మేము మీకు తెలియజేస్తాము.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

ఆకాంక్ష

ధృవీకరణ సంస్థ మరియు కన్సల్టెంట్‌ని ఎంచుకున్న తర్వాత మనం అడిగిన మొదటి ప్రశ్న ఏమిటంటే, అవసరమైన అన్ని మార్పులు చేయడానికి నిజంగా ఎంత సమయం కావాలి?

ప్రారంభ పని ప్రణాళికను మేము 3 నెలల్లోపు పూర్తి చేసే విధంగా షెడ్యూల్ చేయబడింది.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

ప్రతిదీ సరళంగా కనిపించింది: రెండు డజన్ల విధానాలను వ్రాయడం మరియు మా అంతర్గత ప్రక్రియలను కొద్దిగా మార్చడం అవసరం; ఆపై మార్పులపై సహోద్యోగులకు శిక్షణ ఇవ్వండి మరియు మరో 3 నెలలు వేచి ఉండండి (తద్వారా "రికార్డులు" కనిపిస్తాయి, అంటే విధానాల పనితీరుకు రుజువు). అంతే కదా అనిపించింది - సర్టిఫికెట్ మా జేబులో ఉంది.

అదనంగా, మేము మొదటి నుండి విధానాలను వ్రాయబోవడం లేదు - అన్నింటికంటే, మేము అనుకున్నట్లుగా, మాకు అన్ని “సరైన” టెంప్లేట్‌లను ఇవ్వాల్సిన కన్సల్టెంట్‌ని కలిగి ఉన్నాము.

ఈ ముగింపుల ఫలితంగా, మేము ప్రతి పాలసీని సిద్ధం చేయడానికి 3 రోజులు కేటాయించాము.

సాంకేతిక మార్పులు కూడా భయంకరంగా అనిపించలేదు: ఈవెంట్‌ల సేకరణ మరియు నిల్వను సెటప్ చేయడం, బ్యాకప్‌లు మేము వ్రాసిన విధానానికి అనుగుణంగా ఉన్నాయో లేదో తనిఖీ చేయడం, అవసరమైన చోట యాక్సెస్ నియంత్రణ వ్యవస్థలతో కార్యాలయాలను పునరుద్ధరించడం మరియు మరికొన్ని చిన్న విషయాలు అవసరం .
ధృవీకరణ కోసం అవసరమైన ప్రతిదాన్ని సిద్ధం చేసే బృందంలో ఇద్దరు వ్యక్తులు ఉన్నారు. వారు వారి ప్రధాన బాధ్యతలతో సమాంతరంగా అమలులో పాల్గొంటారని మేము ప్లాన్ చేసాము మరియు ప్రతి ఒక్కరికి రోజుకు గరిష్టంగా 1,5-2 గంటలు పడుతుంది.
సంగ్రహంగా చెప్పాలంటే, రాబోయే పని పరిధి గురించి మా అభిప్రాయం చాలా ఆశాజనకంగా ఉందని మేము చెప్పగలం.

రియాలిటీ

వాస్తవానికి, ప్రతిదీ సహజంగా భిన్నంగా ఉంటుంది: కన్సల్టెంట్ అందించిన పాలసీ టెంప్లేట్‌లు మా కంపెనీకి చాలా వరకు వర్తించవు; ఏమి మరియు ఎలా చేయాలనే దాని గురించి ఇంటర్నెట్‌లో దాదాపు స్పష్టమైన సమాచారం లేదు. మీరు ఊహించినట్లుగా, "3 రోజుల్లో ఒక పాలసీని వ్రాయండి" అనే ప్రణాళిక ఘోరంగా విఫలమైంది. కాబట్టి మేము ప్రాజెక్ట్ ప్రారంభం నుండి దాదాపు గడువులను కలుసుకోవడం మానేశాము మరియు మా మానసిక స్థితి నెమ్మదిగా తగ్గడం ప్రారంభించింది.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

బృందం యొక్క నైపుణ్యం విపత్తుగా చిన్నది - కన్సల్టెంట్‌కి సరైన ప్రశ్నలను అడగడానికి కూడా సరిపోదు (ఎవరు అంత చొరవ చూపలేదు). అమలు ప్రారంభమైన 3 నెలల తర్వాత (అంటే, ప్రతిదీ సిద్ధంగా ఉండాల్సిన తరుణంలో), ఇద్దరు కీలక పాల్గొనేవారిలో ఒకరు జట్టును విడిచిపెట్టినప్పటి నుండి విషయాలు మరింత నెమ్మదిగా కదలడం ప్రారంభించాయి. అతను IT సేవ యొక్క కొత్త అధిపతితో భర్తీ చేయబడ్డాడు, అతను అమలు ప్రక్రియను త్వరగా పూర్తి చేయాలి మరియు సాంకేతిక కోణం నుండి అత్యంత అవసరమైన ప్రతిదానితో సమాచార భద్రతా నిర్వహణ వ్యవస్థను అందించాలి. పని కష్టంగా అనిపించడంతో... బాధ్యులు డిప్రెషన్‌లో పడ్డారు.

అదనంగా, సమస్య యొక్క సాంకేతిక వైపు కూడా “సూక్ష్మాంశాలు” ఉన్నట్లు తేలింది. మేము వర్క్‌స్టేషన్‌లు మరియు సర్వర్ పరికరాలపై ప్రపంచ సాఫ్ట్‌వేర్ ఆధునీకరణ పనిని ఎదుర్కొంటున్నాము. ఈవెంట్‌లను (లాగ్‌లు) సేకరించడానికి సిస్టమ్‌ను సెటప్ చేస్తున్నప్పుడు, సిస్టమ్ యొక్క సాధారణ పనితీరు కోసం మాకు తగినంత హార్డ్‌వేర్ వనరులు లేవని తేలింది. మరియు బ్యాకప్ సాఫ్ట్‌వేర్‌కు కూడా ఆధునికీకరణ అవసరం.

స్పాయిలర్: ఫలితంగా, ISMS 6 నెలల్లో వీరోచితంగా అమలు చేయబడింది. మరియు ఎవరూ చనిపోలేదు!

ఏది ఎక్కువగా మారిపోయింది?

వాస్తవానికి, ప్రమాణం అమలు సమయంలో, సంస్థ యొక్క ప్రక్రియలలో పెద్ద సంఖ్యలో చిన్న మార్పులు సంభవించాయి. మేము మీ కోసం అత్యంత ముఖ్యమైన మార్పులను హైలైట్ చేసాము:

  • ప్రమాద అంచనా ప్రక్రియ యొక్క అధికారికీకరణ

ఇంతకుముందు, కంపెనీకి అధికారిక ప్రమాద అంచనా ప్రక్రియ లేదు - ఇది మొత్తం వ్యూహాత్మక ప్రణాళికలో భాగంగా ఉత్తీర్ణతలో మాత్రమే జరిగింది. ధృవీకరణలో భాగంగా పరిష్కరించబడిన ముఖ్యమైన పనులలో ఒకటి కంపెనీ యొక్క రిస్క్ అసెస్‌మెంట్ పాలసీని అమలు చేయడం, ఇది ఈ ప్రక్రియ యొక్క అన్ని దశలను మరియు ప్రతి దశకు బాధ్యత వహించే వ్యక్తులను వివరిస్తుంది.

  • తొలగించగల నిల్వ మీడియాపై నియంత్రణ

వ్యాపారానికి సంబంధించిన ముఖ్యమైన ప్రమాదాలలో ఒకటి ఎన్‌క్రిప్ట్ చేయని USB ఫ్లాష్ డ్రైవ్‌ల ఉపయోగం: వాస్తవానికి, ఏ ఉద్యోగి అయినా ఫ్లాష్ డ్రైవ్‌లో అతనికి అందుబాటులో ఉన్న ఏదైనా సమాచారాన్ని వ్రాయవచ్చు మరియు ఉత్తమంగా దానిని కోల్పోవచ్చు. సర్టిఫికేషన్‌లో భాగంగా, అన్ని ఉద్యోగుల వర్క్‌స్టేషన్‌లలో ఫ్లాష్ డ్రైవ్‌లలోకి ఏదైనా సమాచారాన్ని డౌన్‌లోడ్ చేసే సామర్థ్యం నిలిపివేయబడింది - రికార్డింగ్ సమాచారం IT విభాగానికి దరఖాస్తు చేయడం ద్వారా మాత్రమే సాధ్యమైంది.

  • సూపర్ యూజర్ కంట్రోల్

ఐటి డిపార్ట్‌మెంట్ ఉద్యోగులందరికీ అన్ని కంపెనీ సిస్టమ్స్‌లో సంపూర్ణ హక్కులు ఉండటమే ప్రధాన సమస్యలలో ఒకటి - వారికి మొత్తం సమాచారం అందుబాటులో ఉంది. అదే సమయంలో, ఎవరూ వాటిని నియంత్రించలేదు.

మేము డేటా లాస్ ప్రివెన్షన్ (DLP) వ్యవస్థను అమలు చేసాము - ప్రమాదకరమైన మరియు ఉత్పాదకత లేని కార్యకలాపాల గురించి విశ్లేషించే, నిరోధించే మరియు హెచ్చరికలు చేసే ఉద్యోగి చర్యలను పర్యవేక్షించే ప్రోగ్రామ్. ఇప్పుడు ఐటీ డిపార్ట్‌మెంట్ ఉద్యోగుల చర్యల గురించిన అలర్ట్‌లు కంపెనీ ఆపరేషన్స్ డైరెక్టర్ ఇమెయిల్ చిరునామాకు పంపబడతాయి.

  • సమాచార మౌలిక సదుపాయాలను నిర్వహించే విధానం

సర్టిఫికేషన్‌కు ప్రపంచ మార్పులు మరియు విధానాలు అవసరం. అవును, పెరిగిన లోడ్ కారణంగా మేము అనేక సర్వర్ పరికరాలను అప్‌గ్రేడ్ చేయాల్సి వచ్చింది. ప్రత్యేకించి, మేము ఈవెంట్ కలెక్షన్ సిస్టమ్‌ల కోసం ప్రత్యేక సర్వర్‌ని అంకితం చేసాము. సర్వర్ పెద్ద మరియు వేగవంతమైన SSD డ్రైవ్‌లతో అమర్చబడింది. మేము బ్యాకప్ సాఫ్ట్‌వేర్‌ను విడిచిపెట్టాము మరియు బాక్స్ వెలుపల అవసరమైన అన్ని కార్యాచరణలను కలిగి ఉన్న నిల్వ సిస్టమ్‌లను ఎంచుకున్నాము. "ఇన్‌ఫ్రాస్ట్రక్చర్ యాజ్ కోడ్" కాన్సెప్ట్‌కు మేము అనేక పెద్ద అడుగులు వేసాము, ఇది అనేక సర్వర్‌ల బ్యాకప్‌ను తొలగించడం ద్వారా చాలా డిస్క్ స్థలాన్ని ఆదా చేయడానికి మాకు వీలు కల్పించింది. సాధ్యమైనంత తక్కువ సమయంలో (1 వారం), వర్క్‌స్టేషన్‌లలోని అన్ని సాఫ్ట్‌వేర్‌లు Win10కి అప్‌గ్రేడ్ చేయబడ్డాయి. ఆధునీకరణ పరిష్కరించబడిన సమస్యలలో ఒకటి గుప్తీకరణను ప్రారంభించగల సామర్థ్యం (ప్రో వెర్షన్‌లో).

  • కాగితం పత్రాలపై నియంత్రణ

కాగితపు పత్రాల ఉపయోగంతో సంబంధం ఉన్న కంపెనీకి గణనీయమైన నష్టాలు ఉన్నాయి: అవి పోతాయి, తప్పు స్థానంలో వదిలివేయబడతాయి లేదా సరిగ్గా నాశనం చేయబడవచ్చు. ఈ ప్రమాదాన్ని తగ్గించడానికి, మేము అన్ని కాగితపు పత్రాలను గోప్యత స్థాయికి అనుగుణంగా గుర్తించాము మరియు వివిధ రకాల పత్రాలను నాశనం చేసే విధానాన్ని అభివృద్ధి చేసాము. ఇప్పుడు, ఒక ఉద్యోగి ఫోల్డర్‌ను తెరిచినప్పుడు లేదా పత్రాన్ని తీసుకున్నప్పుడు, ఈ సమాచారం ఏ వర్గానికి చెందుతుందో మరియు దానిని ఎలా నిర్వహించాలో అతనికి ఖచ్చితంగా తెలుసు.

  • బ్యాకప్ డేటా సెంటర్‌ను అద్దెకు తీసుకుంటోంది

ఇంతకు ముందు, కంపెనీ సమాచారం అంతా థర్డ్-పార్టీ సురక్షిత డేటా సెంటర్‌లో ఉన్న సర్వర్‌లలో స్టోర్ చేయబడింది. అయితే, ఈ డేటా సెంటర్‌లో ఎటువంటి అత్యవసర విధానాలు లేవు. బ్యాకప్ క్లౌడ్ డేటా సెంటర్‌ను అద్దెకు తీసుకుని, అక్కడ అత్యంత ముఖ్యమైన సమాచారాన్ని బ్యాకప్ చేయడం దీనికి పరిష్కారం. ప్రస్తుతం, సంస్థ యొక్క సమాచారం రెండు భౌగోళికంగా రిమోట్ డేటా సెంటర్లలో నిల్వ చేయబడుతుంది, ఇది దాని నష్టం యొక్క ప్రమాదాన్ని తగ్గిస్తుంది.

  • వ్యాపార కొనసాగింపు పరీక్ష

మా కంపెనీ అనేక సంవత్సరాలుగా వ్యాపార కొనసాగింపు విధానాన్ని (BCP) కలిగి ఉంది, ఇది ఉద్యోగులు వివిధ ప్రతికూల పరిస్థితులలో (కార్యాలయానికి ప్రాప్యత కోల్పోవడం, అంటువ్యాధి, విద్యుత్తు అంతరాయం మొదలైనవి) ఏమి చేయాలో వివరిస్తుంది. అయినప్పటికీ, మేము ఎప్పుడూ కొనసాగింపు పరీక్షను నిర్వహించలేదు - అంటే, ఈ ప్రతి పరిస్థితుల్లో వ్యాపారాన్ని పునరుద్ధరించడానికి ఎంత సమయం పడుతుందో మేము ఎన్నడూ లెక్కించలేదు. సర్టిఫికేషన్ ఆడిట్ కోసం సన్నాహకంగా, మేము దీన్ని చేయడమే కాకుండా, రాబోయే సంవత్సరానికి వ్యాపార కొనసాగింపు పరీక్ష ప్రణాళికను కూడా అభివృద్ధి చేసాము. ఒక సంవత్సరం తరువాత, మేము రిమోట్ పనికి పూర్తిగా మారవలసిన అవసరాన్ని ఎదుర్కొన్నప్పుడు, మేము ఈ పనిని మూడు రోజుల్లో పూర్తి చేసాము.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్

ఇది గమనించడం ముఖ్యం, ధృవీకరణ కోసం సిద్ధమవుతున్న అన్ని కంపెనీలు వేర్వేరు ప్రారంభ పరిస్థితులను కలిగి ఉంటాయి - కాబట్టి, మీ విషయంలో, పూర్తిగా భిన్నమైన మార్పులు అవసరం కావచ్చు.

మార్పులకు ఉద్యోగి ప్రతిచర్యలు

విచిత్రమేమిటంటే - ఇక్కడ మేము చెత్తగా ఊహించాము - ఇది అంత చెడ్డది కాదు. సహోద్యోగులు చాలా ఉత్సాహంతో ధృవీకరణ వార్తను అందుకున్నారని చెప్పలేము, కానీ ఈ క్రిందివి స్పష్టంగా ఉన్నాయి:

  • ముఖ్య ఉద్యోగులందరూ ఈ ఈవెంట్ యొక్క ప్రాముఖ్యత మరియు అనివార్యతను అర్థం చేసుకున్నారు;
  • ఇతర ఉద్యోగులందరూ కీలక ఉద్యోగుల కోసం చూశారు.

వాస్తవానికి, మా పరిశ్రమ యొక్క ప్రత్యేకతలు మాకు చాలా సహాయపడ్డాయి - అకౌంటింగ్ ఫంక్షన్ల అవుట్సోర్సింగ్. మా ఉద్యోగులలో ఎక్కువ మంది రష్యన్ చట్టంలో స్థిరమైన మార్పులను బాగా ఎదుర్కొంటారు. దీని ప్రకారం, ఇప్పుడు గమనించవలసిన రెండు డజన్ల కొత్త నియమాలను ప్రవేశపెట్టడం వారికి అసాధారణమైనది కాదు.

మేము మా ఉద్యోగులందరికీ కొత్త తప్పనిసరి ISO 27001 శిక్షణ మరియు పరీక్షను సిద్ధం చేసాము. ప్రతి ఒక్కరూ విధేయతతో వారి మానిటర్‌ల నుండి పాస్‌వర్డ్‌లతో కూడిన స్టిక్కీ నోట్‌లను తీసివేసి, పత్రాలతో నిండిన డెస్క్‌లను తొలగించారు. పెద్దగా అసంతృప్తి కనిపించలేదు - సాధారణంగా, మేము మా ఉద్యోగులతో చాలా అదృష్టవంతులం.

ఈ విధంగా, మేము మా వ్యాపార ప్రక్రియలలో మార్పులతో ముడిపడి ఉన్న అత్యంత బాధాకరమైన దశను - “నిరాశ” దాటాము. ఇది కష్టం మరియు కష్టం, కానీ చివరికి ఫలితం మా క్రూరమైన అంచనాలను మించిపోయింది.

సిరీస్ నుండి మునుపటి విషయాలను చదవండి:

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. తిరస్కరణ: ISO 27001:2013 ధృవీకరణ గురించి అపోహలు, సర్టిఫికేట్ పొందడం యొక్క సలహా.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. కోపం: ఎక్కడ ప్రారంభించాలి? ప్రారంభ డేటా. ఖర్చులు. ప్రొవైడర్‌ను ఎంచుకోవడం.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. బేరసారాలు: అమలు ప్రణాళిక, ప్రమాద అంచనా, విధానాలను రాయడం.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్.

ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. దత్తత.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి