Kapag gumagawa ng anumang madiskarteng mahalagang desisyon para sa kumpanya, ang mga empleyado ay dumaan sa isang pangunahing mekanismo ng pagtatanggol, na kilala bilang 5 yugto ng pagtugon sa pagbabago (ni E. KΓΌbler-Ross). Isang kilalang psychologist ang minsang naglarawan ng mga emosyonal na reaksyon, na nagpapakita ng 5 pangunahing yugto ng emosyonal na tugon: pagtanggi, galit, bargain, depression at, sa wakas, Pag-aampon. Naghanda kami ng serye ng mga artikulo na nakatuon sa sertipikasyon ng ISO 27001, kung saan titingnan namin ang bawat yugto. Ngayon ay pag-uusapan natin ang una sa kanila - pagtanggi.
Ang pagkuha ng isang sertipiko ng ISO 27001 "para sa palabas" ay isang napaka-kaduda-dudang kasiyahan, dahil nangangailangan ito ng mahaba at mahal na paghahanda. Bukod dito, tulad ng ipinapakita nito , ang pamantayang ito ay lubhang hindi sikat sa Russian Federation: hanggang ngayon, 70 kumpanya lamang ang na-certify para sa pagsunod. Kasabay nito, ito ay isa sa mga pinakasikat na pamantayan sa ibang bansa, na nakakatugon sa lumalaking pangangailangan ng negosyo sa larangan ng seguridad ng impormasyon.
Ang aming kumpanya ay nagbibigay ng buong hanay ng mga serbisyong outsourcing para sa mga function ng accounting: accounting at tax accounting, payroll at pangangasiwa ng tauhan. Sinasakop namin ang isa sa mga nangungunang posisyon sa merkado, lalo na dahil sa katotohanan na ang mga dayuhang kumpanya na may mga sangay sa Russia ay nagtitiwala sa amin sa kanilang kumpidensyal na impormasyon. Nalalapat ito hindi lamang sa mga pinansiyal na proseso ng aming mga kliyente, kundi pati na rin sa personal na data na aming ginagawa araw-araw. Kaugnay nito, ang isyu ng seguridad ng impormasyon ay isa sa aming mga priyoridad.
Kadalasan, ang lahat ng mga proseso ng negosyo ng mga dibisyon ng Russia ay kinokontrol at ipinahayag ng mga punong tanggapan ng mga dayuhang kumpanya, at samakatuwid ay dapat silang sumunod sa mga panloob na pamantayan sa buong grupo. Kamakailan, sinimulan ng ilan sa aming mga pangunahing kliyente na baguhin ang kanilang mga patakaran sa seguridad sa direksyon ng paghihigpit sa kanila. Siyempre, ito ay dahil sa mga pandaigdigang uso sa dumaraming bilang ng mga pag-atake sa cyber at pagkalugi na nauugnay sa mga insidente ng paglabag sa seguridad ng impormasyon. Kung kinakailangan upang ipatupad ang mga hakbang sa proteksyon, mga patakaran at pamamaraan na naglalayong pataasin ang seguridad ng impormasyon ng kumpanya, magagawa mo nang walang ISO /IEC 27001 certification, sa gayon ay nakakatipid ng maraming pera, oras at nerbiyos.
Ngayon, ang mga kinakailangan para sa umiiral na seguridad ng impormasyon sa kumpanya ay nagsimulang lumitaw sa mga tender mula sa mga dayuhang customer. Ang ilan, upang pasimplehin ang kanilang pag-verify at pag-isahin ang diskarte, ay nagtakda ng isang mandatoryong pamantayan sa pagsusuri - ang pagkakaroon ng ISO/IEC 27001 na sertipikasyon.
Narito ang aming nakita: Ang isa sa aming mga pangunahing internasyonal na kliyente na na-certify sa pamantayang ito ay lumilitaw na makabuluhang pinalakas ang pandaigdigang pangkat ng seguridad ng impormasyon. Paano natin nalaman ang tungkol dito? Nagpasya silang i-audit ang aming sistema ng pamamahala sa seguridad ng impormasyon, dahil binibigyan namin sila ng mga serbisyo ng accounting at pangangasiwa ng tauhan - at, nang naaayon, ang seguridad ng aming mga sistema ng impormasyon ay napakahalaga sa kanila. Ang nakaraang pag-audit ay naganap 3 taon na ang nakakaraan - sa oras na iyon ang lahat ay naging walang sakit.
Sa pagkakataong ito, isang magiliw na pangkat ng mga Indian ang umatake sa amin, na mabilis na nakahukay ng ilang dosenang mga pagkukulang sa aming sistema ng pamamahala sa seguridad. Ang proseso ng pag-audit ay kahawig ng gulong ng Samsara - tila sa prinsipyo ay wala silang layunin na maabot ang anumang huling punto bilang bahagi ng pag-audit. Ito ay isang walang katapusang string ng mga tanong, komento, aming mga komento at katibayan ng kanilang katotohanan, mga tawag sa kumperensya at mahabang pilosopikal na pag-uusap sa mga pagtatangkang kilalanin ang accent ng IT security team ng kliyente. Sa pamamagitan ng paraan, ang pag-audit ay nagpapatuloy sa iba't ibang antas ng intensity hanggang sa araw na ito - sa paglipas ng panahon, napagtanto namin ito. Kaya, ang pangangailangan para sa sertipikasyon ay lumitaw sa sarili nitong.
Siguro makakagawa tayo ng ISO 9001?
Ang bawat isa na higit pa o hindi gaanong marunong sa isyu ng sertipikasyon ayon sa alinman sa mga pamantayan ng ISO ay nauunawaan na ang batayan para sa bawat isa sa kanila ay ang sertipiko ng ISO 9001 "Quality Management System". Ito marahil ang pinakasikat na sertipiko na kasalukuyang nasa buong linya ng mga pamantayan ng ISO. Wala kami nito - at nagpasya kaming huwag makuha ito. Mayroong ilang mga dahilan para dito:
- ang kaduda-dudang kahusayan sa ekonomiya ng kumpanyang may ganitong sertipiko;
- ang aming mga panloob na proseso, para sa karamihan, ay malapit na sa pamantayang ito;
- Ang pagkuha ng sertipiko na ito ay mangangailangan ng karagdagang oras at pera.
Alinsunod dito, nagpasya kaming agad na ipatupad ang ISO 27001, nang hindi nagsisimula sa "mas magaan" 9001.
O baka hindi pa rin kailangan?
Sa hinaharap, maraming beses kaming bumalik sa tanong kung ipinapayong makuha ito. Sinimulan naming pag-aralan ang isyu mula sa lahat ng panig, dahil wala kaming ganap na kadalubhasaan. At narito ang mga maling kuru-kuro na nagpaisip sa amin tungkol sa isyung ito muli.
Maling akala #1.
Inaasahan namin na ang pamantayan ay magbibigay sa amin ng isang detalyadong checklist, isang listahan ng mga patakaran at iba pang mga dokumentong ayon sa batas. Sa katotohanan, lumabas na ang ISO/IEC 27001 ay isang hanay ng mga kinakailangan para sa mismong sistema ng pamamahala ng seguridad ng impormasyon at ang prosesong ginagawa. Batay sa kanila, kinailangan na nakapag-iisa na magpasya kung ano ang isusulat/ipapatupad sa aming kumpanya upang makasunod sa mga kinakailangan ng pamantayan.
Maling akala #2.
Taos-puso kaming naniniwala na sapat na para sa amin na pag-aralan ang isang dokumento at ipatupad ito sa maikling panahon nang mag-isa. Sa katotohanan, habang binabasa ang dokumento, napagtanto namin kung gaano karaming mga nauugnay na pamantayan ang "kumakapit" sa aming pamantayan, kung gaano karaming mga pamantayan ang kailangan naming maging pamilyar (kahit sa mababaw). Ang "cherry" sa cake ay ang kakulangan ng mga kasalukuyang pamantayang teksto sa pampublikong domain - kailangan nilang bilhin sa opisyal na website ng ISO.
Maling akala #3.
Nagtitiwala kami na mahahanap namin ang lahat ng kailangan namin upang maghanda para sa sertipikasyon sa mga bukas na mapagkukunan. Talagang napakaraming materyales sa ISO 27001 sa Internet, ngunit kulang ang mga ito sa mga detalye. Halos walang madaling maunawaan na sunud-sunod na mga tagubilin para sa paghahanda para sa sertipikasyon, pati na rin ang mga tunay na kaso ng mga kumpanyang nagpatupad ng pamantayang ito.
Maling akala #4.
Magsusulat kami ng mga patakaran, ngunit hindi ito gagana! Well, totoo nga, napakaraming panuntunan na ng aming kumpanya, walang susunod sa isa pang 3 dosenang bagong patakaran. Sa katotohanan, sa kabutihang palad, ang aming mga empleyado ay kinuha ang gawain ng pag-master ng mga bagong panuntunan nang responsable at matagumpay na naipasa ang pagsubok para sa kaalaman sa mga dokumento ng sistema ng pamamahala ng seguridad ng impormasyon.
Maling akala #5.
Sa oras na iyon, hindi namin malinaw na masuri kung anong mga benepisyo ang makukuha namin sa aming mga pagsisikap. Sa oras na iyon, ang bilang ng mga kahilingan para sa sertipiko na ito ay hindi gaanong kalaki, at mayroon kaming susi at pinaka-hinihingi na kliyente bago pa man ang sertipikasyon. Ipinakita ng karanasan na nakayanan namin nang walang pamantayan.
Sa isang punto, napagtanto namin na magulo naming isinasara ang isa o isa pang umuusbong na puwang dahil sa mga kinakailangan ng kliyente. Sa tuwing makakaisip kami ng ilang bagong patakaran o solusyon. At sa wakas ay nakapag-iisa kaming nakarating sa konklusyon na magiging mas madaling i-systematize ang proseso, na makakatipid pa sa amin ng maraming gastos sa paggawa sa hinaharap. Ang pamantayan ay inilaan upang gawing simple ang gawaing ito.
Ngayon, makalipas ang dalawang taon, nakikita namin ang pagtaas ng trend sa bilang ng mga kahilingan at interes sa isyung ito mula sa mga pangunahing internasyonal na kliyente.
Huling desisyon.
Sa konklusyon, gusto naming sabihin na ang aming mga pinuno sa industriya ay nakatanggap ng ISO/IEC 27001 na sertipikasyon, na nagpilit sa lahat ng iba pang pangunahing provider (kabilang kami) na isipin ang isyung ito. Walang alinlangan, isang magandang linya sa mga materyales sa marketing ng kumpanya - sa website, sa mga social network, sa mga brochure sa advertising, atbp. β maaaring ituring na isang magandang bonus, ngunit sulit ba ang paggastos ng napakaraming mapagkukunan para dito? Napagpasyahan namin para sa aming sarili na para sa amin ito ay higit pa sa isang magandang linya, at nasangkot kami sa proyektong ito.
Pinagmulan: www.habr.com