Ang ikaapat na yugto ng emosyonal na pagtugon sa pagbabago ay depresyon. Sa artikulong ito sasabihin namin sa iyo ang tungkol sa aming karanasan sa pagdaan sa pinakamatagal at hindi kasiya-siyang yugto - tungkol sa mga pagbabago sa mga proseso ng negosyo ng kumpanya upang makamit ang kanilang pagsunod sa pamantayang ISO 27001.
Inaasahan
Ang unang tanong na itinanong namin sa aming sarili pagkatapos piliin ang nagpapatunay na katawan at consultant ay kung gaano karaming oras ang kailangan namin upang gawin ang lahat ng kinakailangang pagbabago?
Ang paunang plano sa trabaho ay nakaiskedyul sa paraang kailangan naming tapusin ito sa loob ng 3 buwan.
Ang lahat ay mukhang simple: ito ay kinakailangan upang magsulat ng ilang dosenang mga patakaran at bahagyang baguhin ang aming mga panloob na proseso; pagkatapos ay sanayin ang mga kasamahan sa mga pagbabago at maghintay ng isa pang 3 buwan (upang lumitaw ang "mga talaan", iyon ay, ebidensya ng paggana ng mga patakaran). Tila iyon lang - at ang sertipiko ay nasa aming bulsa.
Bilang karagdagan, hindi kami magsusulat ng mga patakaran mula sa simula - pagkatapos ng lahat, mayroon kaming isang consultant na, tulad ng naisip namin, ay dapat na magbigay sa amin ng lahat ng "tamang" template.
Bilang resulta ng mga konklusyong ito, naglaan kami ng 3 araw para ihanda ang bawat patakaran.
Hindi rin mukhang nakakatakot ang mga teknikal na pagbabago: kinakailangang i-set up ang koleksyon at pag-iimbak ng mga kaganapan, suriin kung sumusunod ang mga backup sa patakarang isinulat namin, i-retrofit ang mga opisina na may mga access control system kung kinakailangan, at ilan pang maliliit na bagay. .
Ang pangkat na naghahanda ng lahat ng kailangan para sa sertipikasyon ay binubuo ng dalawang tao. Pinlano namin na sila ay kasangkot sa pagpapatupad na kahanay sa kanilang mga pangunahing responsibilidad, at ito ay aabot sa bawat isa sa kanila ng maximum na 1,5-2 oras sa isang araw.
Upang buod, maaari nating sabihin na ang aming pananaw sa paparating na saklaw ng trabaho ay lubos na maasahin sa mabuti.
Katotohanan
Sa katotohanan, ang lahat ay natural na naiiba: ang mga template ng patakaran na ibinigay ng consultant ay naging halos hindi naaangkop sa aming kumpanya; Halos walang malinaw na impormasyon sa Internet tungkol sa kung ano at paano gagawin. Gaya ng maiisip mo, ang planong "magsulat ng isang patakaran sa loob ng 3 araw" ay nabigo nang husto. Kaya huminto kami sa pagtugon sa mga deadline halos mula pa sa simula ng proyekto, at ang aming kalooban ay nagsimulang dahan-dahang bumagsak.
Ang kadalubhasaan ng koponan ay napakaliit - kaya't hindi ito sapat na magtanong ng mga tamang katanungan sa consultant (na, sa pamamagitan ng paraan, ay hindi nagpakita ng maraming inisyatiba). Ang mga bagay ay nagsimulang gumalaw nang mas mabagal, mula noong 3 buwan pagkatapos ng pagsisimula ng pagpapatupad (iyon ay, sa sandaling handa na ang lahat), isa sa dalawang pangunahing kalahok ang umalis sa koponan. Siya ay pinalitan ng isang bagong pinuno ng serbisyo ng IT, na kailangang mabilis na kumpletuhin ang proseso ng pagpapatupad at magbigay ng sistema ng pamamahala ng seguridad ng impormasyon sa lahat ng pinaka-kailangan mula sa isang teknikal na pananaw. Mukhang mahirap ang gawain... Nagsimulang ma-depress ang mga kinauukulan.
Bilang karagdagan, ang teknikal na bahagi ng isyu ay naging "mga nuances". Kami ay nahaharap sa gawain ng pandaigdigang software modernization kapwa sa mga workstation at sa server equipment. Habang sine-set up ang system upang mangolekta ng mga kaganapan (mga log), lumabas na wala kaming sapat na mapagkukunan ng hardware para sa normal na paggana ng system. At ang backup na software ay nangangailangan din ng modernisasyon.
Spoiler: Bilang resulta, ang ISMS ay bayanihang ipinatupad sa loob ng 6 na buwan. At walang namatay!
Ano ang higit na nagbago?
Siyempre, sa panahon ng pagpapatupad ng pamantayan, isang malaking bilang ng mga maliliit na pagbabago ang naganap sa mga proseso ng kumpanya. Na-highlight namin ang pinakamahalagang pagbabago para sa iyo:
- Pormalisasyon ng proseso ng pagtatasa ng panganib
Noong nakaraan, ang kumpanya ay walang pormal na proseso ng pagtatasa ng panganib - ito ay ginawa lamang sa pagpasa bilang bahagi ng pangkalahatang estratehikong pagpaplano. Ang isa sa pinakamahalagang gawain na nalutas bilang bahagi ng sertipikasyon ay ang pagpapatupad ng Patakaran sa Pagtatasa ng Panganib ng kumpanya, na naglalarawan sa lahat ng mga yugto ng prosesong ito at ang mga taong responsable para sa bawat yugto.
- Kontrol sa naaalis na storage media
Ang isa sa mga makabuluhang panganib para sa negosyo ay ang paggamit ng mga hindi naka-encrypt na USB flash drive: sa katunayan, ang sinumang empleyado ay maaaring sumulat ng anumang impormasyon na magagamit sa kanya sa isang flash drive at, sa pinakamahusay, mawala ito. Bilang bahagi ng sertipikasyon, ang kakayahang mag-download ng anumang impormasyon sa mga flash drive ay hindi pinagana sa lahat ng mga workstation ng empleyado - ang pag-record ng impormasyon ay naging posible lamang sa pamamagitan ng isang aplikasyon sa departamento ng IT.
- Super User Control
Ang isa sa mga pangunahing problema ay ang katotohanan na ang lahat ng empleyado ng departamento ng IT ay may ganap na karapatan sa lahat ng mga sistema ng kumpanya - mayroon silang access sa lahat ng impormasyon. At the same time, wala talagang kumokontrol sa kanila.
Nagpatupad kami ng Data Loss Prevention (DLP) system - isang programa para sa pagsubaybay sa mga aksyon ng empleyado na nagsusuri, humaharang at alerto tungkol sa mga mapanganib at hindi produktibong aktibidad. Ngayon ang mga alerto tungkol sa mga aksyon ng mga empleyado ng IT department ay ipinapadala sa email address ng Operations Director ng kumpanya.
- Diskarte sa pag-aayos ng imprastraktura ng impormasyon
Ang sertipikasyon ay nangangailangan ng mga pandaigdigang pagbabago at diskarte. Oo, kailangan naming mag-upgrade ng ilang kagamitan sa server dahil sa tumaas na load. Sa partikular, naglaan kami ng isang hiwalay na server para sa mga sistema ng koleksyon ng kaganapan. Ang server ay nilagyan ng malaki at mabilis na SSD drive. Inabandona namin ang backup na software at nag-opt para sa mga storage system na nasa labas ng kahon ang lahat ng kinakailangang functionality. Gumawa kami ng ilang malalaking hakbang patungo sa konsepto ng "imprastraktura bilang code", na nagbigay-daan sa amin na makatipid ng maraming espasyo sa disk sa pamamagitan ng pag-aalis ng backup ng isang bilang ng mga server. Sa pinakamaikling posibleng panahon (1 linggo), ang lahat ng software sa mga workstation ay na-upgrade sa Win10. Isa sa mga isyu na nalutas ng modernisasyon ay ang kakayahang paganahin ang pag-encrypt (sa Pro na bersyon).
- Kontrol sa mga dokumentong papel
Ang kumpanya ay may malalaking panganib na nauugnay sa paggamit ng mga dokumentong papel: maaaring mawala ang mga ito, maiwan sa maling lugar, o masira nang hindi wasto. Upang mabawasan ang panganib na ito, minarkahan namin ang lahat ng papel na dokumento ayon sa antas ng pagiging kumpidensyal at bumuo ng isang pamamaraan para sa pagsira ng iba't ibang uri ng mga dokumento. Ngayon, kapag ang isang empleyado ay nagbukas ng isang folder o kumuha ng isang dokumento, alam niya nang eksakto kung anong kategorya ang nabibilang sa impormasyong ito at kung paano ito pangasiwaan.
- Pagrenta ng backup na data center
Dati, ang lahat ng impormasyon ng kumpanya ay naka-imbak sa mga server na matatagpuan sa isang third-party na secure na data center. Gayunpaman, walang mga pamamaraang pang-emergency na inilagay sa data center na ito. Ang solusyon ay magrenta ng backup na cloud data center at i-back up ang pinakamahalagang impormasyon doon. Sa kasalukuyan, ang impormasyon ng kumpanya ay naka-imbak sa dalawang geographically remote data centers, na nagpapaliit sa panganib ng pagkawala nito.
- Pagsubok sa pagpapatuloy ng negosyo
Ang aming kumpanya ay nagkaroon ng Business Continuity Policy (BCP) sa loob ng ilang taon, na naglalarawan kung ano ang dapat gawin ng mga empleyado sa iba't ibang negatibong sitwasyon (pagkawala ng access sa opisina, epidemya, pagkawala ng kuryente, atbp.). Gayunpaman, hindi pa kami nagsagawa ng continuity testing - iyon ay, hindi pa namin nasusukat kung gaano katagal bago maibalik ang negosyo sa bawat sitwasyong ito. Bilang paghahanda para sa pag-audit ng sertipikasyon, hindi lang namin ito ginawa, kundi bumuo din kami ng plano sa pagsubok sa pagpapatuloy ng negosyo para sa darating na taon. Kapansin-pansin na makalipas ang isang taon, nang kami ay nahaharap sa pangangailangan na ganap na lumipat sa malayong trabaho, natapos namin ang gawaing ito sa loob ng tatlong araw.
Mahalagang tandaan, na ang lahat ng kumpanyang naghahanda para sa sertipikasyon ay may iba't ibang mga kondisyon sa pagsisimula - samakatuwid, sa iyong kaso, maaaring kailanganin ang ganap na magkakaibang mga pagbabago.
Mga reaksyon ng empleyado sa mga pagbabago
Kakatwa - dito namin inaasahan ang pinakamasama - ito ay naging hindi napakasama. Hindi masasabing natanggap ng mga kasamahan ang balita ng sertipikasyon nang may malaking sigasig, ngunit malinaw ang sumusunod:
- Naunawaan ng lahat ng pangunahing empleyado ang kahalagahan at hindi maiiwasang kaganapang ito;
- Lahat ng iba pang empleyado ay tumingin sa mga pangunahing empleyado.
Siyempre, ang mga detalye ng aming industriya ay nakatulong nang malaki sa amin - outsourcing ng mga function ng accounting. Ang karamihan sa aming mga empleyado ay mahusay na nakayanan ang patuloy na pagbabago sa batas ng Russia. Alinsunod dito, ang pagpapakilala ng ilang dosenang mga bagong panuntunan na ngayon ay dapat sundin ay hindi isang bagay na kakaiba para sa kanila.
Naghanda kami ng bagong mandatoryong ISO 27001 na pagsasanay at pagsubok para sa lahat ng aming mga empleyado. Masunuring inalis ng lahat ang mga sticky notes na may mga password mula sa kanilang mga monitor at inalis ang mga mesang puno ng mga dokumento. Walang napansing malakas na kawalang-kasiyahan - sa pangkalahatan, napakaswerte namin sa aming mga empleyado.
Kaya, nalampasan namin ang pinakamasakit na yugto - "depression" - na nauugnay sa mga pagbabago sa mga proseso ng aming negosyo. Ito ay mahirap at mahirap, ngunit ang resulta sa huli ay lumampas sa lahat ng aming pinakamaligalig na inaasahan.
Basahin ang mga nakaraang materyal mula sa serye:
5 yugto ng hindi maiiwasang sertipikasyon ng ISO/IEC 27001. Depresyon.
5 yugto ng hindi maiiwasang sertipikasyon ng ISO/IEC 27001. Pag-aampon.
Pinagmulan: www.habr.com