మార్పుకు భావోద్వేగ ప్రతిస్పందన యొక్క నాల్గవ దశ నిరాశ. ISO 27001 ప్రమాణానికి అనుగుణంగా సాధించడానికి కంపెనీ వ్యాపార ప్రక్రియలలో మార్పుల గురించి - అత్యంత సుదీర్ఘమైన మరియు అసహ్యకరమైన దశను అనుభవించిన మా అనుభవం గురించి ఈ కథనంలో మేము మీకు తెలియజేస్తాము.
ఆకాంక్ష
ధృవీకరణ సంస్థ మరియు కన్సల్టెంట్ని ఎంచుకున్న తర్వాత మనం అడిగిన మొదటి ప్రశ్న ఏమిటంటే, అవసరమైన అన్ని మార్పులు చేయడానికి నిజంగా ఎంత సమయం కావాలి?
ప్రారంభ పని ప్రణాళికను మేము 3 నెలల్లోపు పూర్తి చేసే విధంగా షెడ్యూల్ చేయబడింది.
అదనంగా, మేము మొదటి నుండి విధానాలను వ్రాయబోవడం లేదు - అన్నింటికంటే, మేము అనుకున్నట్లుగా, మాకు అన్ని “సరైన” టెంప్లేట్లను ఇవ్వాల్సిన కన్సల్టెంట్ని కలిగి ఉన్నాము.
ఈ ముగింపుల ఫలితంగా, మేము ప్రతి పాలసీని సిద్ధం చేయడానికి 3 రోజులు కేటాయించాము.
సాంకేతిక మార్పులు కూడా భయంకరంగా అనిపించలేదు: ఈవెంట్ల సేకరణ మరియు నిల్వను సెటప్ చేయడం, బ్యాకప్లు మేము వ్రాసిన విధానానికి అనుగుణంగా ఉన్నాయో లేదో తనిఖీ చేయడం, అవసరమైన చోట యాక్సెస్ నియంత్రణ వ్యవస్థలతో కార్యాలయాలను పునరుద్ధరించడం మరియు మరికొన్ని చిన్న విషయాలు అవసరం .
ధృవీకరణ కోసం అవసరమైన ప్రతిదాన్ని సిద్ధం చేసే బృందంలో ఇద్దరు వ్యక్తులు ఉన్నారు. వారు వారి ప్రధాన బాధ్యతలతో సమాంతరంగా అమలులో పాల్గొంటారని మేము ప్లాన్ చేసాము మరియు ప్రతి ఒక్కరికి రోజుకు గరిష్టంగా 1,5-2 గంటలు పడుతుంది.
సంగ్రహంగా చెప్పాలంటే, రాబోయే పని పరిధి గురించి మా అభిప్రాయం చాలా ఆశాజనకంగా ఉందని మేము చెప్పగలం.
రియాలిటీ
వాస్తవానికి, ప్రతిదీ సహజంగా భిన్నంగా ఉంటుంది: కన్సల్టెంట్ అందించిన పాలసీ టెంప్లేట్లు మా కంపెనీకి చాలా వరకు వర్తించవు; ఏమి మరియు ఎలా చేయాలనే దాని గురించి ఇంటర్నెట్లో దాదాపు స్పష్టమైన సమాచారం లేదు. మీరు ఊహించినట్లుగా, "3 రోజుల్లో ఒక పాలసీని వ్రాయండి" అనే ప్రణాళిక ఘోరంగా విఫలమైంది. కాబట్టి మేము ప్రాజెక్ట్ ప్రారంభం నుండి దాదాపు గడువులను కలుసుకోవడం మానేశాము మరియు మా మానసిక స్థితి నెమ్మదిగా తగ్గడం ప్రారంభించింది.
బృందం యొక్క నైపుణ్యం విపత్తుగా చిన్నది - కన్సల్టెంట్కి సరైన ప్రశ్నలను అడగడానికి కూడా సరిపోదు (ఎవరు అంత చొరవ చూపలేదు). అమలు ప్రారంభమైన 3 నెలల తర్వాత (అంటే, ప్రతిదీ సిద్ధంగా ఉండాల్సిన తరుణంలో), ఇద్దరు కీలక పాల్గొనేవారిలో ఒకరు జట్టును విడిచిపెట్టినప్పటి నుండి విషయాలు మరింత నెమ్మదిగా కదలడం ప్రారంభించాయి. అతను IT సేవ యొక్క కొత్త అధిపతితో భర్తీ చేయబడ్డాడు, అతను అమలు ప్రక్రియను త్వరగా పూర్తి చేయాలి మరియు సాంకేతిక కోణం నుండి అత్యంత అవసరమైన ప్రతిదానితో సమాచార భద్రతా నిర్వహణ వ్యవస్థను అందించాలి. పని కష్టంగా అనిపించడంతో... బాధ్యులు డిప్రెషన్లో పడ్డారు.
అదనంగా, సమస్య యొక్క సాంకేతిక వైపు కూడా “సూక్ష్మాంశాలు” ఉన్నట్లు తేలింది. మేము వర్క్స్టేషన్లు మరియు సర్వర్ పరికరాలపై ప్రపంచ సాఫ్ట్వేర్ ఆధునీకరణ పనిని ఎదుర్కొంటున్నాము. ఈవెంట్లను (లాగ్లు) సేకరించడానికి సిస్టమ్ను సెటప్ చేస్తున్నప్పుడు, సిస్టమ్ యొక్క సాధారణ పనితీరు కోసం మాకు తగినంత హార్డ్వేర్ వనరులు లేవని తేలింది. మరియు బ్యాకప్ సాఫ్ట్వేర్కు కూడా ఆధునికీకరణ అవసరం.
స్పాయిలర్: ఫలితంగా, ISMS 6 నెలల్లో వీరోచితంగా అమలు చేయబడింది. మరియు ఎవరూ చనిపోలేదు!
ఏది ఎక్కువగా మారిపోయింది?
వాస్తవానికి, ప్రమాణం అమలు సమయంలో, సంస్థ యొక్క ప్రక్రియలలో పెద్ద సంఖ్యలో చిన్న మార్పులు సంభవించాయి. మేము మీ కోసం అత్యంత ముఖ్యమైన మార్పులను హైలైట్ చేసాము:
- ప్రమాద అంచనా ప్రక్రియ యొక్క అధికారికీకరణ
ఇంతకుముందు, కంపెనీకి అధికారిక ప్రమాద అంచనా ప్రక్రియ లేదు - ఇది మొత్తం వ్యూహాత్మక ప్రణాళికలో భాగంగా ఉత్తీర్ణతలో మాత్రమే జరిగింది. ధృవీకరణలో భాగంగా పరిష్కరించబడిన ముఖ్యమైన పనులలో ఒకటి కంపెనీ యొక్క రిస్క్ అసెస్మెంట్ పాలసీని అమలు చేయడం, ఇది ఈ ప్రక్రియ యొక్క అన్ని దశలను మరియు ప్రతి దశకు బాధ్యత వహించే వ్యక్తులను వివరిస్తుంది.
- తొలగించగల నిల్వ మీడియాపై నియంత్రణ
వ్యాపారానికి సంబంధించిన ముఖ్యమైన ప్రమాదాలలో ఒకటి ఎన్క్రిప్ట్ చేయని USB ఫ్లాష్ డ్రైవ్ల ఉపయోగం: వాస్తవానికి, ఏ ఉద్యోగి అయినా ఫ్లాష్ డ్రైవ్లో అతనికి అందుబాటులో ఉన్న ఏదైనా సమాచారాన్ని వ్రాయవచ్చు మరియు ఉత్తమంగా దానిని కోల్పోవచ్చు. సర్టిఫికేషన్లో భాగంగా, అన్ని ఉద్యోగుల వర్క్స్టేషన్లలో ఫ్లాష్ డ్రైవ్లలోకి ఏదైనా సమాచారాన్ని డౌన్లోడ్ చేసే సామర్థ్యం నిలిపివేయబడింది - రికార్డింగ్ సమాచారం IT విభాగానికి దరఖాస్తు చేయడం ద్వారా మాత్రమే సాధ్యమైంది.
- సూపర్ యూజర్ కంట్రోల్
ఐటి డిపార్ట్మెంట్ ఉద్యోగులందరికీ అన్ని కంపెనీ సిస్టమ్స్లో సంపూర్ణ హక్కులు ఉండటమే ప్రధాన సమస్యలలో ఒకటి - వారికి మొత్తం సమాచారం అందుబాటులో ఉంది. అదే సమయంలో, ఎవరూ వాటిని నియంత్రించలేదు.
మేము డేటా లాస్ ప్రివెన్షన్ (DLP) వ్యవస్థను అమలు చేసాము - ప్రమాదకరమైన మరియు ఉత్పాదకత లేని కార్యకలాపాల గురించి విశ్లేషించే, నిరోధించే మరియు హెచ్చరికలు చేసే ఉద్యోగి చర్యలను పర్యవేక్షించే ప్రోగ్రామ్. ఇప్పుడు ఐటీ డిపార్ట్మెంట్ ఉద్యోగుల చర్యల గురించిన అలర్ట్లు కంపెనీ ఆపరేషన్స్ డైరెక్టర్ ఇమెయిల్ చిరునామాకు పంపబడతాయి.
- సమాచార మౌలిక సదుపాయాలను నిర్వహించే విధానం
సర్టిఫికేషన్కు ప్రపంచ మార్పులు మరియు విధానాలు అవసరం. అవును, పెరిగిన లోడ్ కారణంగా మేము అనేక సర్వర్ పరికరాలను అప్గ్రేడ్ చేయాల్సి వచ్చింది. ప్రత్యేకించి, మేము ఈవెంట్ కలెక్షన్ సిస్టమ్ల కోసం ప్రత్యేక సర్వర్ని అంకితం చేసాము. సర్వర్ పెద్ద మరియు వేగవంతమైన SSD డ్రైవ్లతో అమర్చబడింది. మేము బ్యాకప్ సాఫ్ట్వేర్ను విడిచిపెట్టాము మరియు బాక్స్ వెలుపల అవసరమైన అన్ని కార్యాచరణలను కలిగి ఉన్న నిల్వ సిస్టమ్లను ఎంచుకున్నాము. "ఇన్ఫ్రాస్ట్రక్చర్ యాజ్ కోడ్" కాన్సెప్ట్కు మేము అనేక పెద్ద అడుగులు వేసాము, ఇది అనేక సర్వర్ల బ్యాకప్ను తొలగించడం ద్వారా చాలా డిస్క్ స్థలాన్ని ఆదా చేయడానికి మాకు వీలు కల్పించింది. సాధ్యమైనంత తక్కువ సమయంలో (1 వారం), వర్క్స్టేషన్లలోని అన్ని సాఫ్ట్వేర్లు Win10కి అప్గ్రేడ్ చేయబడ్డాయి. ఆధునీకరణ పరిష్కరించబడిన సమస్యలలో ఒకటి గుప్తీకరణను ప్రారంభించగల సామర్థ్యం (ప్రో వెర్షన్లో).
- కాగితం పత్రాలపై నియంత్రణ
కాగితపు పత్రాల ఉపయోగంతో సంబంధం ఉన్న కంపెనీకి గణనీయమైన నష్టాలు ఉన్నాయి: అవి పోతాయి, తప్పు స్థానంలో వదిలివేయబడతాయి లేదా సరిగ్గా నాశనం చేయబడవచ్చు. ఈ ప్రమాదాన్ని తగ్గించడానికి, మేము అన్ని కాగితపు పత్రాలను గోప్యత స్థాయికి అనుగుణంగా గుర్తించాము మరియు వివిధ రకాల పత్రాలను నాశనం చేసే విధానాన్ని అభివృద్ధి చేసాము. ఇప్పుడు, ఒక ఉద్యోగి ఫోల్డర్ను తెరిచినప్పుడు లేదా పత్రాన్ని తీసుకున్నప్పుడు, ఈ సమాచారం ఏ వర్గానికి చెందుతుందో మరియు దానిని ఎలా నిర్వహించాలో అతనికి ఖచ్చితంగా తెలుసు.
- బ్యాకప్ డేటా సెంటర్ను అద్దెకు తీసుకుంటోంది
ఇంతకు ముందు, కంపెనీ సమాచారం అంతా థర్డ్-పార్టీ సురక్షిత డేటా సెంటర్లో ఉన్న సర్వర్లలో స్టోర్ చేయబడింది. అయితే, ఈ డేటా సెంటర్లో ఎటువంటి అత్యవసర విధానాలు లేవు. బ్యాకప్ క్లౌడ్ డేటా సెంటర్ను అద్దెకు తీసుకుని, అక్కడ అత్యంత ముఖ్యమైన సమాచారాన్ని బ్యాకప్ చేయడం దీనికి పరిష్కారం. ప్రస్తుతం, సంస్థ యొక్క సమాచారం రెండు భౌగోళికంగా రిమోట్ డేటా సెంటర్లలో నిల్వ చేయబడుతుంది, ఇది దాని నష్టం యొక్క ప్రమాదాన్ని తగ్గిస్తుంది.
- వ్యాపార కొనసాగింపు పరీక్ష
మా కంపెనీ అనేక సంవత్సరాలుగా వ్యాపార కొనసాగింపు విధానాన్ని (BCP) కలిగి ఉంది, ఇది ఉద్యోగులు వివిధ ప్రతికూల పరిస్థితులలో (కార్యాలయానికి ప్రాప్యత కోల్పోవడం, అంటువ్యాధి, విద్యుత్తు అంతరాయం మొదలైనవి) ఏమి చేయాలో వివరిస్తుంది. అయినప్పటికీ, మేము ఎప్పుడూ కొనసాగింపు పరీక్షను నిర్వహించలేదు - అంటే, ఈ ప్రతి పరిస్థితుల్లో వ్యాపారాన్ని పునరుద్ధరించడానికి ఎంత సమయం పడుతుందో మేము ఎన్నడూ లెక్కించలేదు. సర్టిఫికేషన్ ఆడిట్ కోసం సన్నాహకంగా, మేము దీన్ని చేయడమే కాకుండా, రాబోయే సంవత్సరానికి వ్యాపార కొనసాగింపు పరీక్ష ప్రణాళికను కూడా అభివృద్ధి చేసాము. ఒక సంవత్సరం తరువాత, మేము రిమోట్ పనికి పూర్తిగా మారవలసిన అవసరాన్ని ఎదుర్కొన్నప్పుడు, మేము ఈ పనిని మూడు రోజుల్లో పూర్తి చేసాము.
ఇది గమనించడం ముఖ్యం, ధృవీకరణ కోసం సిద్ధమవుతున్న అన్ని కంపెనీలు వేర్వేరు ప్రారంభ పరిస్థితులను కలిగి ఉంటాయి - కాబట్టి, మీ విషయంలో, పూర్తిగా భిన్నమైన మార్పులు అవసరం కావచ్చు.
మార్పులకు ఉద్యోగి ప్రతిచర్యలు
విచిత్రమేమిటంటే - ఇక్కడ మేము చెత్తగా ఊహించాము - ఇది అంత చెడ్డది కాదు. సహోద్యోగులు చాలా ఉత్సాహంతో ధృవీకరణ వార్తను అందుకున్నారని చెప్పలేము, కానీ ఈ క్రిందివి స్పష్టంగా ఉన్నాయి:
- ముఖ్య ఉద్యోగులందరూ ఈ ఈవెంట్ యొక్క ప్రాముఖ్యత మరియు అనివార్యతను అర్థం చేసుకున్నారు;
- ఇతర ఉద్యోగులందరూ కీలక ఉద్యోగుల కోసం చూశారు.
వాస్తవానికి, మా పరిశ్రమ యొక్క ప్రత్యేకతలు మాకు చాలా సహాయపడ్డాయి - అకౌంటింగ్ ఫంక్షన్ల అవుట్సోర్సింగ్. మా ఉద్యోగులలో ఎక్కువ మంది రష్యన్ చట్టంలో స్థిరమైన మార్పులను బాగా ఎదుర్కొంటారు. దీని ప్రకారం, ఇప్పుడు గమనించవలసిన రెండు డజన్ల కొత్త నియమాలను ప్రవేశపెట్టడం వారికి అసాధారణమైనది కాదు.
మేము మా ఉద్యోగులందరికీ కొత్త తప్పనిసరి ISO 27001 శిక్షణ మరియు పరీక్షను సిద్ధం చేసాము. ప్రతి ఒక్కరూ విధేయతతో వారి మానిటర్ల నుండి పాస్వర్డ్లతో కూడిన స్టిక్కీ నోట్లను తీసివేసి, పత్రాలతో నిండిన డెస్క్లను తొలగించారు. పెద్దగా అసంతృప్తి కనిపించలేదు - సాధారణంగా, మేము మా ఉద్యోగులతో చాలా అదృష్టవంతులం.
ఈ విధంగా, మేము మా వ్యాపార ప్రక్రియలలో మార్పులతో ముడిపడి ఉన్న అత్యంత బాధాకరమైన దశను - “నిరాశ” దాటాము. ఇది కష్టం మరియు కష్టం, కానీ చివరికి ఫలితం మా క్రూరమైన అంచనాలను మించిపోయింది.
సిరీస్ నుండి మునుపటి విషయాలను చదవండి:
ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. డిప్రెషన్.
ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. దత్తత.
మూలం: www.habr.com