ISO/IEC 5 సర్టిఫికేషన్ యొక్క అనివార్యత యొక్క 27001 దశలు. నిరాకరణ

కంపెనీకి ఏదైనా వ్యూహాత్మకంగా ముఖ్యమైన నిర్ణయం తీసుకునేటప్పుడు, ఉద్యోగులు ప్రాథమిక రక్షణ యంత్రాంగం ద్వారా వెళతారు, మార్పుకు ప్రతిస్పందించే 5 దశలు (E. Kübler-Ross ద్వారా) అని పిలుస్తారు. ఒక ప్రముఖ మనస్తత్వవేత్త ఒకసారి భావోద్వేగ ప్రతిచర్యలను వివరించాడు, భావోద్వేగ ప్రతిస్పందన యొక్క 5 కీలక దశలను హైలైట్ చేశాడు: తిరస్కరణ, కోపం, బేరం, నిరాశ చివరకు దత్తత. మేము ISO 27001 ధృవీకరణకు అంకితమైన కథనాల శ్రేణిని సిద్ధం చేసాము, ఇక్కడ మేము ప్రతి దశను పరిశీలిస్తాము. ఈ రోజు మనం వాటిలో మొదటిదాని గురించి మాట్లాడుతాము - తిరస్కరణ.

"ప్రదర్శన కోసం" ISO 27001 సర్టిఫికేట్ పొందడం చాలా సందేహాస్పదమైన ఆనందం, ఎందుకంటే దీనికి సుదీర్ఘమైన మరియు ఖరీదైన తయారీ అవసరం. అంతేకాక, అది చూపిస్తుంది గణాంకాలు, ఈ ప్రమాణం రష్యన్ ఫెడరేషన్‌లో చాలా ప్రజాదరణ పొందలేదు: ఈ రోజు వరకు, కేవలం 70 కంపెనీలు మాత్రమే సమ్మతి కోసం ధృవీకరించబడ్డాయి. అదే సమయంలో, సమాచార భద్రత రంగంలో వ్యాపారం యొక్క పెరుగుతున్న డిమాండ్లకు అనుగుణంగా, విదేశాలలో అత్యంత ప్రజాదరణ పొందిన ప్రమాణాలలో ఇది ఒకటి.

మా కంపెనీ అకౌంటింగ్ ఫంక్షన్ల కోసం పూర్తి స్థాయి అవుట్‌సోర్సింగ్ సేవలను అందిస్తుంది: అకౌంటింగ్ మరియు టాక్స్ అకౌంటింగ్, పేరోల్ మరియు పర్సనల్ అడ్మినిస్ట్రేషన్. మేము ప్రముఖ మార్కెట్ స్థానాల్లో ఒకదానిని ఆక్రమించాము, ప్రత్యేకించి రష్యాలో శాఖలను కలిగి ఉన్న విదేశీ కంపెనీలు వారి రహస్య సమాచారంతో మమ్మల్ని విశ్వసిస్తున్నందున. ఇది మా ఖాతాదారుల ఆర్థిక ప్రక్రియలకు మాత్రమే కాకుండా, మేము రోజువారీగా పని చేసే వ్యక్తిగత డేటాకు కూడా వర్తిస్తుంది. ఈ విషయంలో, సమాచార భద్రత సమస్య మా ప్రాధాన్యతలలో ఒకటి.

తరచుగా, రష్యన్ విభాగాల యొక్క అన్ని వ్యాపార ప్రక్రియలు విదేశీ కంపెనీల ప్రధాన కార్యాలయాలచే నియంత్రించబడతాయి మరియు ప్రకటించబడతాయి మరియు అందువల్ల అవి అంతర్గత సమూహ-వ్యాప్త ప్రమాణాలకు అనుగుణంగా ఉండాలి. ఇటీవల, మా కీలక క్లయింట్‌లలో కొందరు తమ భద్రతా విధానాలను కఠినతరం చేసే దిశలో సవరించడం ప్రారంభించారు. వాస్తవానికి, ఇది పెరుగుతున్న సైబర్ దాడులు మరియు సమాచార భద్రత ఉల్లంఘన సంఘటనలతో సంబంధం ఉన్న నష్టాలలో ప్రపంచ పోకడల కారణంగా ఉంది. సంస్థ యొక్క సమాచార భద్రతను పెంచే లక్ష్యంతో రక్షణ చర్యలు, విధానాలు మరియు విధానాలను అమలు చేయడం అవసరమైతే, మీరు ISO లేకుండా చేయవచ్చు. /IEC 27001 సర్టిఫికేషన్, తద్వారా చాలా డబ్బు, సమయం మరియు నరాలు ఆదా అవుతుంది.

నేడు, కంపెనీలో ఇప్పటికే ఉన్న సమాచార భద్రత కోసం అవసరాలు విదేశీ వినియోగదారుల నుండి టెండర్లలో కనిపించడం ప్రారంభించాయి. కొన్ని, వారి ధృవీకరణను సరళీకృతం చేయడానికి మరియు విధానాన్ని ఏకీకృతం చేయడానికి, తప్పనిసరి మూల్యాంకన ప్రమాణాన్ని సెట్ చేయండి - ISO/IEC 27001 సర్టిఫికేషన్ ఉనికి.

మేము చూసినవి ఇక్కడ ఉన్నాయి: ఈ ప్రమాణానికి ధృవీకరించబడిన మా కీలక అంతర్జాతీయ క్లయింట్‌లలో ఒకరు దాని ప్రపంచ సమాచార భద్రతా బృందాన్ని గణనీయంగా బలోపేతం చేసినట్లు కనిపిస్తోంది. దీని గురించి మనకు ఎలా తెలిసింది? వారు మా సమాచార భద్రతా నిర్వహణ వ్యవస్థను ఆడిట్ చేయాలని నిర్ణయించుకున్నారు, ఎందుకంటే మేము వారికి అకౌంటింగ్ సేవలు మరియు సిబ్బంది నిర్వహణను అందిస్తాము - మరియు తదనుగుణంగా, మా సమాచార వ్యవస్థల భద్రత వారికి చాలా ముఖ్యమైనది. మునుపటి ఆడిట్ 3 సంవత్సరాల క్రితం జరిగింది - ఆ సమయంలో ప్రతిదీ చాలా నొప్పి లేకుండా జరిగింది.

ఈసారి, భారతీయుల స్నేహపూర్వక బృందం మాపై దాడి చేసింది, మా భద్రతా నిర్వహణ వ్యవస్థలో అనేక డజన్ల లోపాలను నేర్పుగా వెలికితీసింది. ఆడిట్ ప్రక్రియ సంసారం యొక్క చక్రాన్ని పోలి ఉంటుంది - సూత్రప్రాయంగా, ఆడిట్‌లో భాగంగా ఏదైనా చివరి పాయింట్‌ను చేరుకోవాలనే లక్ష్యం వారికి లేదని అనిపించింది. ఇది క్లయింట్ యొక్క IT భద్రతా బృందం యొక్క యాసను గుర్తించే ప్రయత్నాలలో ప్రశ్నలు, వ్యాఖ్యలు, మా వ్యాఖ్యలు మరియు వాటి వాస్తవికత, కాన్ఫరెన్స్ కాల్‌లు మరియు సుదీర్ఘమైన తాత్విక సంభాషణల యొక్క అంతులేని వరుస. మార్గం ద్వారా, ఆడిట్ ఈ రోజు వరకు వివిధ స్థాయిల తీవ్రతతో కొనసాగుతోంది - కాలక్రమేణా, మేము దీనితో ఒప్పందానికి వచ్చాము. అందువలన, ధృవీకరణ అవసరం దానికదే తలెత్తింది.

బహుశా మనం ISO 9001తో చేయగలమా?

ఏదైనా ISO ప్రమాణాల ప్రకారం ధృవీకరణ విషయంలో ఎక్కువ లేదా తక్కువ అవగాహన ఉన్న ప్రతి ఒక్కరూ వాటిలో ప్రతిదానికి ISO 9001 “క్వాలిటీ మేనేజ్‌మెంట్ సిస్టమ్” సర్టిఫికేట్ అని అర్థం చేసుకుంటారు. ఇది ISO ప్రమాణాల మొత్తం లైన్‌లో ప్రస్తుతం అత్యంత ప్రజాదరణ పొందిన సర్టిఫికేట్. మా వద్ద అది లేదు - మరియు మేము దానిని పొందకూడదని నిర్ణయించుకున్నాము. దీనికి అనేక కారణాలు ఉన్నాయి:

• ఈ సర్టిఫికేట్ కలిగి ఉన్న సంస్థ యొక్క సందేహాస్పద ఆర్థిక సామర్థ్యం;
• మా అంతర్గత ప్రక్రియలు, చాలా వరకు, ఇప్పటికే ఈ ప్రమాణానికి దగ్గరగా ఉన్నాయి;
• ఈ సర్టిఫికేట్ పొందడానికి అదనపు సమయం మరియు డబ్బు అవసరం.

దీని ప్రకారం, మేము "తేలికైన" 27001తో ప్రారంభించకుండా ISO 9001ని వెంటనే అమలు చేయాలని నిర్ణయించుకున్నాము.

లేదా బహుశా ఇది ఇప్పటికీ అవసరం లేదు?

ముందుకు చూస్తే, దాన్ని పొందడం మంచిది కాదా అనే ప్రశ్నకు మేము చాలాసార్లు తిరిగి వచ్చాము. మేము అన్ని వైపుల నుండి సమస్యను అధ్యయనం చేయడం ప్రారంభించాము, ఎందుకంటే మాకు ఖచ్చితంగా నైపుణ్యం లేదు. మరియు ఈ సమస్య గురించి మరోసారి ఆలోచించేలా చేసిన అపోహలు ఇక్కడ ఉన్నాయి.

అపోహ #1.
ప్రమాణం మాకు వివరణాత్మక చెక్‌లిస్ట్, విధానాల జాబితా మరియు ఇతర చట్టబద్ధమైన పత్రాలను అందజేస్తుందని మేము ఆశిస్తున్నాము. వాస్తవానికి, ISO/IEC 27001 అనేది ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్‌మెంట్ సిస్టమ్ మరియు నిర్మించబడుతున్న ప్రక్రియ కోసం అవసరాల సమితి అని తేలింది. వాటి ఆధారంగా, ప్రామాణిక అవసరాలకు అనుగుణంగా మా కంపెనీలో ఏమి వ్రాయాలో/అమలు చేయాలో స్వతంత్రంగా నిర్ణయించడం అవసరం.

అపోహ #2.
మేము ఒక పత్రాన్ని అధ్యయనం చేసి, మన స్వంతంగా తక్కువ సమయంలో దానిని అమలు చేస్తే సరిపోతుందని మేము హృదయపూర్వకంగా విశ్వసించాము. వాస్తవానికి, పత్రాన్ని చదువుతున్నప్పుడు, మన ప్రమాణం ఎన్ని సంబంధిత ప్రమాణాలకు “అంటుకుంటుంది”, ఎన్ని ప్రమాణాలతో మనం సుపరిచితులు కావాలి (కనీసం ఉపరితలంగా) మేము గ్రహించాము. కేక్‌లోని “చెర్రీ” పబ్లిక్ డొమైన్‌లో ప్రస్తుత ప్రమాణాల పాఠాలు లేకపోవడం - వాటిని అధికారిక ISO వెబ్‌సైట్‌లో కొనుగోలు చేయాలి.

అపోహ #3.
మేము ధృవీకరణ కోసం సిద్ధం కావడానికి అవసరమైన ప్రతిదాన్ని ఓపెన్ సోర్సెస్‌లో కనుగొంటామని మేము విశ్వసించాము. నిజానికి ఇంటర్నెట్‌లో ISO 27001లో చాలా మెటీరియల్‌లు ఉన్నాయి, కానీ అవి ప్రత్యేకతలను కలిగి లేవు. ధృవీకరణ కోసం సిద్ధం చేయడానికి ఆచరణాత్మకంగా సులభంగా అర్థం చేసుకోగలిగే దశల వారీ సూచనలు లేవు, అలాగే ఈ ప్రమాణాన్ని అమలు చేసిన కంపెనీల వాస్తవ కేసులు కూడా లేవు.

అపోహ #4.
పాలసీలు రాస్తాం కానీ అవి పని చేయవు! సరే, ఇది నిజం, మా కంపెనీకి ఇప్పటికే చాలా నియమాలు ఉన్నాయి, ఎవరూ మరో 3 డజన్ల కొత్త పాలసీలను పాటించరు. వాస్తవానికి, అదృష్టవశాత్తూ, మా ఉద్యోగులు బాధ్యతాయుతంగా కొత్త నియమాలను మాస్టరింగ్ చేసే పనిని చేపట్టారు మరియు సమాచార భద్రతా నిర్వహణ వ్యవస్థ పత్రాల పరిజ్ఞానం కోసం పరీక్షను విజయవంతంగా ఆమోదించారు.

అపోహ #5.
ఆ సమయంలో, మా ప్రయత్నాల వల్ల మనకు ఎలాంటి ప్రయోజనాలు లభిస్తాయో స్పష్టంగా అంచనా వేయలేకపోయాము. ఆ సమయంలో, ఈ సర్టిఫికేట్ కోసం అభ్యర్థనల సంఖ్య అంత పెద్దది కాదు మరియు ధృవీకరణకు చాలా కాలం ముందు మా కీలకమైన మరియు అత్యంత డిమాండ్ ఉన్న క్లయింట్‌ని కలిగి ఉన్నాము. మేము ప్రమాణం లేకుండా నిర్వహించామని అనుభవం చూపించింది.

ఏదో ఒక సమయంలో, క్లయింట్ యొక్క అవసరాల కారణంగా మేము ఒకటి లేదా మరొక ఉద్భవిస్తున్న గ్యాప్‌ను అస్తవ్యస్తంగా మూసివేస్తున్నామని మేము గ్రహించాము. ప్రతిసారీ మేము కొన్ని కొత్త విధానాలు లేదా పరిష్కారాలను రూపొందించాము. మరియు మేము చివరకు స్వతంత్రంగా ఈ ప్రక్రియను క్రమబద్ధీకరించడం చాలా సులభం అని నిర్ధారణకు వచ్చాము, ఇది భవిష్యత్తులో మాకు చాలా కార్మిక వ్యయాలను కూడా ఆదా చేస్తుంది. ప్రమాణం ఈ పనిని సులభతరం చేయడానికి ఉద్దేశించబడింది.

ఇప్పుడు, రెండు సంవత్సరాల తర్వాత, మేము ప్రధాన అంతర్జాతీయ క్లయింట్ల నుండి ఈ సమస్యపై అభ్యర్థనల సంఖ్య మరియు ఆసక్తిలో పెరుగుతున్న ధోరణిని చూస్తున్నాము.

తుది నిర్ణయం.

ముగింపులో, మా పరిశ్రమలోని నాయకులు ISO/IEC 27001 సర్టిఫికేషన్‌ను అందుకున్నారని మేము చెప్పాలనుకుంటున్నాము, ఇది ఈ సమస్య గురించి ఆలోచించేలా అన్ని ఇతర ప్రధాన ప్రొవైడర్‌లను (మాతో సహా) బలవంతం చేసింది. నిస్సందేహంగా, కంపెనీ మార్కెటింగ్ మెటీరియల్‌లలో ఒక అందమైన లైన్ - వెబ్‌సైట్‌లో, సోషల్ నెట్‌వర్క్‌లలో, అడ్వర్టైజింగ్ బ్రోచర్‌లలో మొదలైనవి. – ఒక ఆహ్లాదకరమైన బోనస్‌గా పరిగణించవచ్చు, కానీ దాని కోసం చాలా వనరులను ఖర్చు చేయడం విలువైనదేనా? మాకు ఇది కేవలం అందమైన లైన్ కంటే ఎక్కువ అని మేము నిర్ణయించుకున్నాము మరియు మేము ఈ ప్రాజెక్ట్‌లో పాల్గొన్నాము.

మూలం: www.habr.com