కంపెనీకి ఏదైనా వ్యూహాత్మకంగా ముఖ్యమైన నిర్ణయం తీసుకునేటప్పుడు, ఉద్యోగులు ప్రాథమిక రక్షణ యంత్రాంగం ద్వారా వెళతారు, మార్పుకు ప్రతిస్పందించే 5 దశలు (E. Kübler-Ross ద్వారా) అని పిలుస్తారు. ఒక ప్రముఖ మనస్తత్వవేత్త ఒకసారి భావోద్వేగ ప్రతిచర్యలను వివరించాడు, భావోద్వేగ ప్రతిస్పందన యొక్క 5 కీలక దశలను హైలైట్ చేశాడు: తిరస్కరణ, కోపం, బేరం, నిరాశ చివరకు దత్తత. మేము ISO 27001 ధృవీకరణకు అంకితమైన కథనాల శ్రేణిని సిద్ధం చేసాము, ఇక్కడ మేము ప్రతి దశను పరిశీలిస్తాము. ఈ రోజు మనం వాటిలో మొదటిదాని గురించి మాట్లాడుతాము - తిరస్కరణ.
"ప్రదర్శన కోసం" ISO 27001 సర్టిఫికేట్ పొందడం చాలా సందేహాస్పదమైన ఆనందం, ఎందుకంటే దీనికి సుదీర్ఘమైన మరియు ఖరీదైన తయారీ అవసరం. అంతేకాక, అది చూపిస్తుంది
మా కంపెనీ అకౌంటింగ్ ఫంక్షన్ల కోసం పూర్తి స్థాయి అవుట్సోర్సింగ్ సేవలను అందిస్తుంది: అకౌంటింగ్ మరియు టాక్స్ అకౌంటింగ్, పేరోల్ మరియు పర్సనల్ అడ్మినిస్ట్రేషన్. మేము ప్రముఖ మార్కెట్ స్థానాల్లో ఒకదానిని ఆక్రమించాము, ప్రత్యేకించి రష్యాలో శాఖలను కలిగి ఉన్న విదేశీ కంపెనీలు వారి రహస్య సమాచారంతో మమ్మల్ని విశ్వసిస్తున్నందున. ఇది మా ఖాతాదారుల ఆర్థిక ప్రక్రియలకు మాత్రమే కాకుండా, మేము రోజువారీగా పని చేసే వ్యక్తిగత డేటాకు కూడా వర్తిస్తుంది. ఈ విషయంలో, సమాచార భద్రత సమస్య మా ప్రాధాన్యతలలో ఒకటి.
తరచుగా, రష్యన్ విభాగాల యొక్క అన్ని వ్యాపార ప్రక్రియలు విదేశీ కంపెనీల ప్రధాన కార్యాలయాలచే నియంత్రించబడతాయి మరియు ప్రకటించబడతాయి మరియు అందువల్ల అవి అంతర్గత సమూహ-వ్యాప్త ప్రమాణాలకు అనుగుణంగా ఉండాలి. ఇటీవల, మా కీలక క్లయింట్లలో కొందరు తమ భద్రతా విధానాలను కఠినతరం చేసే దిశలో సవరించడం ప్రారంభించారు. వాస్తవానికి, ఇది పెరుగుతున్న సైబర్ దాడులు మరియు సమాచార భద్రత ఉల్లంఘన సంఘటనలతో సంబంధం ఉన్న నష్టాలలో ప్రపంచ పోకడల కారణంగా ఉంది. సంస్థ యొక్క సమాచార భద్రతను పెంచే లక్ష్యంతో రక్షణ చర్యలు, విధానాలు మరియు విధానాలను అమలు చేయడం అవసరమైతే, మీరు ISO లేకుండా చేయవచ్చు. /IEC 27001 సర్టిఫికేషన్, తద్వారా చాలా డబ్బు, సమయం మరియు నరాలు ఆదా అవుతుంది.
నేడు, కంపెనీలో ఇప్పటికే ఉన్న సమాచార భద్రత కోసం అవసరాలు విదేశీ వినియోగదారుల నుండి టెండర్లలో కనిపించడం ప్రారంభించాయి. కొన్ని, వారి ధృవీకరణను సరళీకృతం చేయడానికి మరియు విధానాన్ని ఏకీకృతం చేయడానికి, తప్పనిసరి మూల్యాంకన ప్రమాణాన్ని సెట్ చేయండి - ISO/IEC 27001 సర్టిఫికేషన్ ఉనికి.
మేము చూసినవి ఇక్కడ ఉన్నాయి: ఈ ప్రమాణానికి ధృవీకరించబడిన మా కీలక అంతర్జాతీయ క్లయింట్లలో ఒకరు దాని ప్రపంచ సమాచార భద్రతా బృందాన్ని గణనీయంగా బలోపేతం చేసినట్లు కనిపిస్తోంది. దీని గురించి మనకు ఎలా తెలిసింది? వారు మా సమాచార భద్రతా నిర్వహణ వ్యవస్థను ఆడిట్ చేయాలని నిర్ణయించుకున్నారు, ఎందుకంటే మేము వారికి అకౌంటింగ్ సేవలు మరియు సిబ్బంది నిర్వహణను అందిస్తాము - మరియు తదనుగుణంగా, మా సమాచార వ్యవస్థల భద్రత వారికి చాలా ముఖ్యమైనది. మునుపటి ఆడిట్ 3 సంవత్సరాల క్రితం జరిగింది - ఆ సమయంలో ప్రతిదీ చాలా నొప్పి లేకుండా జరిగింది.
ఈసారి, భారతీయుల స్నేహపూర్వక బృందం మాపై దాడి చేసింది, మా భద్రతా నిర్వహణ వ్యవస్థలో అనేక డజన్ల లోపాలను నేర్పుగా వెలికితీసింది. ఆడిట్ ప్రక్రియ సంసారం యొక్క చక్రాన్ని పోలి ఉంటుంది - సూత్రప్రాయంగా, ఆడిట్లో భాగంగా ఏదైనా చివరి పాయింట్ను చేరుకోవాలనే లక్ష్యం వారికి లేదని అనిపించింది. ఇది క్లయింట్ యొక్క IT భద్రతా బృందం యొక్క యాసను గుర్తించే ప్రయత్నాలలో ప్రశ్నలు, వ్యాఖ్యలు, మా వ్యాఖ్యలు మరియు వాటి వాస్తవికత, కాన్ఫరెన్స్ కాల్లు మరియు సుదీర్ఘమైన తాత్విక సంభాషణల యొక్క అంతులేని వరుస. మార్గం ద్వారా, ఆడిట్ ఈ రోజు వరకు వివిధ స్థాయిల తీవ్రతతో కొనసాగుతోంది - కాలక్రమేణా, మేము దీనితో ఒప్పందానికి వచ్చాము. అందువలన, ధృవీకరణ అవసరం దానికదే తలెత్తింది.
బహుశా మనం ISO 9001తో చేయగలమా?
ఏదైనా ISO ప్రమాణాల ప్రకారం ధృవీకరణ విషయంలో ఎక్కువ లేదా తక్కువ అవగాహన ఉన్న ప్రతి ఒక్కరూ వాటిలో ప్రతిదానికి ISO 9001 “క్వాలిటీ మేనేజ్మెంట్ సిస్టమ్” సర్టిఫికేట్ అని అర్థం చేసుకుంటారు. ఇది ISO ప్రమాణాల మొత్తం లైన్లో ప్రస్తుతం అత్యంత ప్రజాదరణ పొందిన సర్టిఫికేట్. మా వద్ద అది లేదు - మరియు మేము దానిని పొందకూడదని నిర్ణయించుకున్నాము. దీనికి అనేక కారణాలు ఉన్నాయి:
- ఈ సర్టిఫికేట్ కలిగి ఉన్న సంస్థ యొక్క సందేహాస్పద ఆర్థిక సామర్థ్యం;
- మా అంతర్గత ప్రక్రియలు, చాలా వరకు, ఇప్పటికే ఈ ప్రమాణానికి దగ్గరగా ఉన్నాయి;
- ఈ సర్టిఫికేట్ పొందడానికి అదనపు సమయం మరియు డబ్బు అవసరం.
దీని ప్రకారం, మేము "తేలికైన" 27001తో ప్రారంభించకుండా ISO 9001ని వెంటనే అమలు చేయాలని నిర్ణయించుకున్నాము.
లేదా బహుశా ఇది ఇప్పటికీ అవసరం లేదు?
ముందుకు చూస్తే, దాన్ని పొందడం మంచిది కాదా అనే ప్రశ్నకు మేము చాలాసార్లు తిరిగి వచ్చాము. మేము అన్ని వైపుల నుండి సమస్యను అధ్యయనం చేయడం ప్రారంభించాము, ఎందుకంటే మాకు ఖచ్చితంగా నైపుణ్యం లేదు. మరియు ఈ సమస్య గురించి మరోసారి ఆలోచించేలా చేసిన అపోహలు ఇక్కడ ఉన్నాయి.
అపోహ #1.
ప్రమాణం మాకు వివరణాత్మక చెక్లిస్ట్, విధానాల జాబితా మరియు ఇతర చట్టబద్ధమైన పత్రాలను అందజేస్తుందని మేము ఆశిస్తున్నాము. వాస్తవానికి, ISO/IEC 27001 అనేది ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ సిస్టమ్ మరియు నిర్మించబడుతున్న ప్రక్రియ కోసం అవసరాల సమితి అని తేలింది. వాటి ఆధారంగా, ప్రామాణిక అవసరాలకు అనుగుణంగా మా కంపెనీలో ఏమి వ్రాయాలో/అమలు చేయాలో స్వతంత్రంగా నిర్ణయించడం అవసరం.
అపోహ #2.
మేము ఒక పత్రాన్ని అధ్యయనం చేసి, మన స్వంతంగా తక్కువ సమయంలో దానిని అమలు చేస్తే సరిపోతుందని మేము హృదయపూర్వకంగా విశ్వసించాము. వాస్తవానికి, పత్రాన్ని చదువుతున్నప్పుడు, మన ప్రమాణం ఎన్ని సంబంధిత ప్రమాణాలకు “అంటుకుంటుంది”, ఎన్ని ప్రమాణాలతో మనం సుపరిచితులు కావాలి (కనీసం ఉపరితలంగా) మేము గ్రహించాము. కేక్లోని “చెర్రీ” పబ్లిక్ డొమైన్లో ప్రస్తుత ప్రమాణాల పాఠాలు లేకపోవడం - వాటిని అధికారిక ISO వెబ్సైట్లో కొనుగోలు చేయాలి.
అపోహ #3.
మేము ధృవీకరణ కోసం సిద్ధం కావడానికి అవసరమైన ప్రతిదాన్ని ఓపెన్ సోర్సెస్లో కనుగొంటామని మేము విశ్వసించాము. నిజానికి ఇంటర్నెట్లో ISO 27001లో చాలా మెటీరియల్లు ఉన్నాయి, కానీ అవి ప్రత్యేకతలను కలిగి లేవు. ధృవీకరణ కోసం సిద్ధం చేయడానికి ఆచరణాత్మకంగా సులభంగా అర్థం చేసుకోగలిగే దశల వారీ సూచనలు లేవు, అలాగే ఈ ప్రమాణాన్ని అమలు చేసిన కంపెనీల వాస్తవ కేసులు కూడా లేవు.
అపోహ #4.
పాలసీలు రాస్తాం కానీ అవి పని చేయవు! సరే, ఇది నిజం, మా కంపెనీకి ఇప్పటికే చాలా నియమాలు ఉన్నాయి, ఎవరూ మరో 3 డజన్ల కొత్త పాలసీలను పాటించరు. వాస్తవానికి, అదృష్టవశాత్తూ, మా ఉద్యోగులు బాధ్యతాయుతంగా కొత్త నియమాలను మాస్టరింగ్ చేసే పనిని చేపట్టారు మరియు సమాచార భద్రతా నిర్వహణ వ్యవస్థ పత్రాల పరిజ్ఞానం కోసం పరీక్షను విజయవంతంగా ఆమోదించారు.
అపోహ #5.
ఆ సమయంలో, మా ప్రయత్నాల వల్ల మనకు ఎలాంటి ప్రయోజనాలు లభిస్తాయో స్పష్టంగా అంచనా వేయలేకపోయాము. ఆ సమయంలో, ఈ సర్టిఫికేట్ కోసం అభ్యర్థనల సంఖ్య అంత పెద్దది కాదు మరియు ధృవీకరణకు చాలా కాలం ముందు మా కీలకమైన మరియు అత్యంత డిమాండ్ ఉన్న క్లయింట్ని కలిగి ఉన్నాము. మేము ప్రమాణం లేకుండా నిర్వహించామని అనుభవం చూపించింది.
ఏదో ఒక సమయంలో, క్లయింట్ యొక్క అవసరాల కారణంగా మేము ఒకటి లేదా మరొక ఉద్భవిస్తున్న గ్యాప్ను అస్తవ్యస్తంగా మూసివేస్తున్నామని మేము గ్రహించాము. ప్రతిసారీ మేము కొన్ని కొత్త విధానాలు లేదా పరిష్కారాలను రూపొందించాము. మరియు మేము చివరకు స్వతంత్రంగా ఈ ప్రక్రియను క్రమబద్ధీకరించడం చాలా సులభం అని నిర్ధారణకు వచ్చాము, ఇది భవిష్యత్తులో మాకు చాలా కార్మిక వ్యయాలను కూడా ఆదా చేస్తుంది. ప్రమాణం ఈ పనిని సులభతరం చేయడానికి ఉద్దేశించబడింది.
ఇప్పుడు, రెండు సంవత్సరాల తర్వాత, మేము ప్రధాన అంతర్జాతీయ క్లయింట్ల నుండి ఈ సమస్యపై అభ్యర్థనల సంఖ్య మరియు ఆసక్తిలో పెరుగుతున్న ధోరణిని చూస్తున్నాము.
తుది నిర్ణయం.
ముగింపులో, మా పరిశ్రమలోని నాయకులు ISO/IEC 27001 సర్టిఫికేషన్ను అందుకున్నారని మేము చెప్పాలనుకుంటున్నాము, ఇది ఈ సమస్య గురించి ఆలోచించేలా అన్ని ఇతర ప్రధాన ప్రొవైడర్లను (మాతో సహా) బలవంతం చేసింది. నిస్సందేహంగా, కంపెనీ మార్కెటింగ్ మెటీరియల్లలో ఒక అందమైన లైన్ - వెబ్సైట్లో, సోషల్ నెట్వర్క్లలో, అడ్వర్టైజింగ్ బ్రోచర్లలో మొదలైనవి. – ఒక ఆహ్లాదకరమైన బోనస్గా పరిగణించవచ్చు, కానీ దాని కోసం చాలా వనరులను ఖర్చు చేయడం విలువైనదేనా? మాకు ఇది కేవలం అందమైన లైన్ కంటే ఎక్కువ అని మేము నిర్ణయించుకున్నాము మరియు మేము ఈ ప్రాజెక్ట్లో పాల్గొన్నాము.
మూలం: www.habr.com