تبدیلی کے لیے جذباتی ردعمل کا چوتھا مرحلہ ڈپریشن ہے۔ اس آرٹیکل میں ہم آپ کو انتہائی لمبے اور ناخوشگوار مرحلے سے گزرنے کے اپنے تجربے کے بارے میں بتائیں گے - ISO 27001 کے معیار کی تعمیل کرنے کے لیے کمپنی کے کاروباری عمل میں تبدیلیوں کے بارے میں۔
انتظار کر رہا ہے۔
سرٹیفائنگ باڈی اور کنسلٹنٹ کا انتخاب کرنے کے بعد ہم نے خود سے پہلا سوال یہ کیا کہ تمام ضروری تبدیلیاں کرنے کے لیے ہمیں واقعی کتنا وقت درکار ہوگا؟
ابتدائی کام کا منصوبہ اس طرح طے کیا گیا تھا کہ ہمیں اسے 3 ماہ میں مکمل کرنا تھا۔
سب کچھ آسان نظر آتا تھا: درجن بھر پالیسیاں لکھنا اور اپنے داخلی عمل کو قدرے تبدیل کرنا ضروری تھا۔ پھر ساتھیوں کو تبدیلیوں پر تربیت دیں اور مزید 3 ماہ انتظار کریں (تاکہ "ریکارڈز" ظاہر ہوں، یعنی پالیسیوں کے کام کرنے کا ثبوت)۔ ایسا لگتا تھا کہ بس یہی ہے - اور سند ہماری جیب میں تھی۔
اس کے علاوہ، ہم شروع سے پالیسیاں نہیں لکھنے والے تھے - آخر کار، ہمارے پاس ایک کنسلٹنٹ تھا جو، جیسا کہ ہم نے سوچا، ہمیں تمام "درست" ٹیمپلیٹس دینا تھا۔
ان نتائج کے نتیجے میں، ہم نے ہر پالیسی کی تیاری کے لیے 3 دن مختص کیے ہیں۔
تکنیکی تبدیلیاں بھی مشکل نہیں لگیں: واقعات کو جمع کرنے اور ذخیرہ کرنے کو ترتیب دینا، یہ چیک کرنا کہ آیا بیک اپ ہماری لکھی گئی پالیسی کی تعمیل کرتے ہیں، جہاں ضروری ہو وہاں رسائی کنٹرول سسٹم کے ساتھ دفاتر کو دوبارہ تیار کرنا، اور کچھ دوسری چھوٹی چیزیں .
سرٹیفیکیشن کے لیے ضروری ہر چیز تیار کرنے والی ٹیم دو افراد پر مشتمل تھی۔ ہم نے منصوبہ بنایا کہ وہ اپنی اہم ذمہ داریوں کے ساتھ ساتھ عمل درآمد میں شامل ہوں گے، اور اس میں ان میں سے ہر ایک کو دن میں زیادہ سے زیادہ 1,5-2 گھنٹے لگیں گے۔
خلاصہ کرنے کے لیے، ہم کہہ سکتے ہیں کہ کام کے آئندہ دائرہ کار کے بارے میں ہمارا نظریہ کافی پر امید تھا۔
حقیقت
حقیقت میں، سب کچھ فطری طور پر مختلف تھا: کنسلٹنٹ کی طرف سے فراہم کردہ پالیسی ٹیمپلیٹس ہماری کمپنی کے لیے زیادہ تر غیر لاگو نکلے؛ انٹرنیٹ پر تقریباً کوئی واضح معلومات نہیں تھی کہ کیا اور کیسے کیا جائے۔ جیسا کہ آپ تصور کر سکتے ہیں، "3 دن میں ایک پالیسی لکھنے" کا منصوبہ بری طرح ناکام ہوا۔ اس لیے ہم نے پروجیکٹ کے آغاز سے ہی ڈیڈ لائن کو پورا کرنا بند کر دیا، اور ہمارا موڈ آہستہ آہستہ گرنے لگا۔
ٹیم کی مہارت تباہ کن طور پر چھوٹی تھی - اتنا کہ کنسلٹنٹ سے صحیح سوالات پوچھنا بھی کافی نہیں تھا (جس نے ویسے بھی زیادہ پہل نہیں دکھائی)۔ معاملات اور بھی آہستہ آہستہ چلنے لگے، جب سے عمل درآمد شروع ہونے کے 3 ماہ بعد (یعنی اس وقت جب سب کچھ تیار ہونا چاہیے تھا)، دو اہم شرکاء میں سے ایک نے ٹیم چھوڑ دی۔ ان کی جگہ آئی ٹی سروس کے ایک نئے سربراہ نے لے لی، جنہیں تیزی سے عمل درآمد کا عمل مکمل کرنا تھا اور انفارمیشن سیکیورٹی مینجمنٹ سسٹم کو تکنیکی نقطہ نظر سے سب سے زیادہ ضروری ہر چیز فراہم کرنا تھی۔ کام مشکل لگ رہا تھا... انچارج افسردہ ہونے لگے۔
اس کے علاوہ، مسئلے کا تکنیکی پہلو بھی "باریکیوں" کا حامل نکلا۔ ہمیں ورک سٹیشنز اور سرور آلات دونوں پر عالمی سافٹ ویئر کی جدید کاری کے کام کا سامنا ہے۔ ایونٹس (لاگز) کو جمع کرنے کے لیے سسٹم کو ترتیب دیتے وقت، یہ پتہ چلا کہ ہمارے پاس سسٹم کے معمول کے کام کے لیے ہارڈ ویئر کے کافی وسائل نہیں ہیں۔ اور بیک اپ سافٹ ویئر کو بھی جدیدیت کی ضرورت تھی۔
سپوئلر: نتیجتاً، ISMS کو 6 مہینوں میں بہادری سے نافذ کیا گیا۔ اور کوئی مر بھی گیا!
سب سے زیادہ کیا بدلا ہے؟
بلاشبہ، معیار کے نفاذ کے دوران، کمپنی کے عمل میں بڑی تعداد میں چھوٹی تبدیلیاں ہوئیں۔ ہم نے آپ کے لیے اہم ترین تبدیلیوں کو نمایاں کیا ہے:
- خطرے کی تشخیص کے عمل کو باقاعدہ بنانا
اس سے پہلے، کمپنی کے پاس خطرے کی تشخیص کا کوئی رسمی عمل نہیں تھا - یہ صرف مجموعی طور پر اسٹریٹجک منصوبہ بندی کے حصے کے طور پر کیا جاتا تھا۔ سرٹیفیکیشن کے حصے کے طور پر حل کیے گئے سب سے اہم کاموں میں سے ایک کمپنی کی رسک اسیسمنٹ پالیسی کا نفاذ تھا، جو اس عمل کے تمام مراحل اور ہر مرحلے کے لیے ذمہ دار افراد کو بیان کرتی ہے۔
- ہٹنے کے قابل اسٹوریج میڈیا پر کنٹرول
کاروبار کے لیے ایک اہم خطرہ غیر خفیہ شدہ USB فلیش ڈرائیوز کا استعمال تھا: درحقیقت، کوئی بھی ملازم فلیش ڈرائیو پر اپنے لیے دستیاب کوئی بھی معلومات لکھ سکتا ہے اور بہترین طور پر اسے کھو سکتا ہے۔ سرٹیفیکیشن کے حصے کے طور پر، تمام ملازمین کے ورک سٹیشنوں پر فلیش ڈرائیوز پر کسی بھی معلومات کو ڈاؤن لوڈ کرنے کی صلاحیت کو غیر فعال کر دیا گیا تھا - معلومات کی ریکارڈنگ صرف آئی ٹی ڈیپارٹمنٹ کو دی گئی درخواست کے ذریعے ممکن ہوئی۔
- سپر یوزر کنٹرول
ایک اہم مسئلہ یہ تھا کہ آئی ٹی ڈیپارٹمنٹ کے تمام ملازمین کو کمپنی کے تمام سسٹمز میں مکمل حقوق حاصل تھے - انہیں تمام معلومات تک رسائی حاصل تھی۔ ایک ہی وقت میں، کوئی بھی واقعی ان پر قابو نہیں رکھتا تھا۔
ہم نے ڈیٹا لاسز پریوینشن (DLP) سسٹم نافذ کیا ہے - ملازمین کی کارروائیوں کی نگرانی کے لیے ایک پروگرام جو خطرناک اور غیر پیداواری سرگرمیوں کے بارے میں تجزیہ کرتا ہے، روکتا ہے اور انتباہات دیتا ہے۔ اب آئی ٹی ڈیپارٹمنٹ کے ملازمین کی کارروائیوں کے بارے میں الرٹس کمپنی کے آپریشنز ڈائریکٹر کے ای میل ایڈریس پر بھیجے جاتے ہیں۔
- معلومات کے بنیادی ڈھانچے کو منظم کرنے کا نقطہ نظر
سرٹیفیکیشن عالمی تبدیلیوں اور نقطہ نظر کی ضرورت ہے. جی ہاں، بوجھ بڑھنے کی وجہ سے ہمیں بہت سے سرور آلات کو اپ گریڈ کرنا پڑا۔ خاص طور پر، ہم نے ایونٹ جمع کرنے کے نظام کے لیے ایک علیحدہ سرور مختص کیا ہے۔ سرور بڑی اور تیز SSD ڈرائیوز سے لیس تھا۔ ہم نے بیک اپ سوفٹ ویئر کو ترک کر دیا اور سٹوریج سسٹمز کا انتخاب کیا جن میں تمام ضروری فعالیت موجود ہیں۔ ہم نے "انفراسٹرکچر بطور کوڈ" کے تصور کی طرف کئی بڑے قدم اٹھائے، جس نے ہمیں متعدد سرورز کے بیک اپ کو ختم کرکے ڈسک کی کافی جگہ بچانے کی اجازت دی۔ کم سے کم وقت میں (1 ہفتہ)، ورک سٹیشن پر موجود تمام سافٹ ویئر کو Win10 میں اپ گریڈ کر دیا گیا۔ جدیدیت نے جن مسائل کو حل کیا ان میں سے ایک خفیہ کاری (پرو ورژن میں) کو فعال کرنے کی صلاحیت تھی۔
- کاغذی دستاویزات پر کنٹرول
کمپنی کو کاغذی دستاویزات کے استعمال سے وابستہ اہم خطرات تھے: وہ کھو سکتے ہیں، غلط جگہ پر چھوڑ سکتے ہیں، یا غلط طریقے سے تباہ ہو سکتے ہیں۔ اس خطرے کو کم کرنے کے لیے، ہم نے تمام کاغذی دستاویزات کو رازداری کی سطح کے مطابق نشان زد کیا ہے اور مختلف قسم کے دستاویزات کو تباہ کرنے کا طریقہ کار وضع کیا ہے۔ اب، جب کوئی ملازم فولڈر کھولتا ہے یا کوئی دستاویز لیتا ہے، تو اسے بخوبی معلوم ہوتا ہے کہ یہ معلومات کس زمرے میں آتی ہے اور اسے کیسے ہینڈل کرنا ہے۔
- بیک اپ ڈیٹا سینٹر کرائے پر لینا
اس سے پہلے، کمپنی کی تمام معلومات تیسرے فریق کے محفوظ ڈیٹا سینٹر میں واقع سرورز پر محفوظ کی جاتی تھیں۔ تاہم، اس ڈیٹا سینٹر میں کوئی ہنگامی طریقہ کار نہیں تھا۔ اس کا حل یہ تھا کہ ایک بیک اپ کلاؤڈ ڈیٹا سینٹر کرائے پر لیا جائے اور وہاں کی اہم ترین معلومات کا بیک اپ لیا جائے۔ فی الحال، کمپنی کی معلومات دو جغرافیائی طور پر دور دراز ڈیٹا سینٹرز میں محفوظ ہیں، جو اس کے نقصان کے خطرے کو کم کرتی ہیں۔
- کاروبار کے تسلسل کی جانچ
ہماری کمپنی کے پاس کئی سالوں سے بزنس کنٹینیوٹی پالیسی (BCP) موجود ہے، جو یہ بتاتی ہے کہ ملازمین کو مختلف منفی حالات (دفتر تک رسائی کا نقصان، وبا، بجلی کی بندش وغیرہ) میں کیا کرنا چاہیے۔ تاہم، ہم نے کبھی بھی تسلسل کی جانچ نہیں کی ہے - یعنی، ہم نے کبھی یہ اندازہ نہیں لگایا کہ ان میں سے ہر ایک میں کاروبار کو بحال کرنے میں کتنا وقت لگے گا۔ سرٹیفیکیشن آڈٹ کی تیاری میں، ہم نے نہ صرف یہ کیا بلکہ آنے والے سال کے لیے کاروباری تسلسل کی جانچ کا منصوبہ بھی تیار کیا۔ یہ بات قابل غور ہے کہ ایک سال بعد، جب ہمیں مکمل طور پر دور دراز کے کام پر جانے کی ضرورت پیش آئی، تو ہم نے یہ کام تین دن میں مکمل کر لیا۔
یہ نوٹ کرنا ضروری ہے, کہ تمام کمپنیاں جو سرٹیفیکیشن کی تیاری کر رہی ہیں ان کی ابتدائی شرائط مختلف ہیں - اس لیے، آپ کے معاملے میں، بالکل مختلف تبدیلیوں کی ضرورت ہو سکتی ہے۔
تبدیلیوں پر ملازمین کے رد عمل
عجیب بات ہے - یہاں ہمیں بدترین توقع تھی - یہ اتنا برا نہیں نکلا۔ یہ نہیں کہا جا سکتا کہ ساتھیوں نے تصدیق کی خبر بڑے جوش و خروش کے ساتھ حاصل کی، لیکن درج ذیل باتیں واضح تھیں۔
- تمام اہم ملازمین نے اس تقریب کی اہمیت اور ناگزیریت کو سمجھا۔
- دوسرے تمام ملازمین نے کلیدی ملازمین کی طرف دیکھا۔
بلاشبہ، ہماری صنعت کی تفصیلات نے ہماری بہت مدد کی - اکاؤنٹنگ کے افعال کی آؤٹ سورسنگ۔ ہمارے ملازمین کی اکثریت روسی قانون سازی میں مسلسل تبدیلیوں سے اچھی طرح نمٹتی ہے۔ اس کے مطابق، دو درجن نئے قواعد کا تعارف جن کا اب مشاہدہ کرنا ضروری ہے، ان کے لیے کوئی معمولی چیز نہیں تھی۔
ہم نے اپنے تمام ملازمین کے لیے نئی لازمی ISO 27001 ٹریننگ اور ٹیسٹنگ تیار کی ہے۔ ہر ایک نے فرمانبرداری کے ساتھ اپنے مانیٹر سے پاس ورڈ والے چپچپا نوٹ ہٹائے اور دستاویزات سے بھری میزوں کو صاف کیا۔ کوئی زبردست عدم اطمینان نہیں دیکھا گیا - عام طور پر، ہم اپنے ملازمین کے ساتھ بہت خوش قسمت تھے.
اس طرح، ہم سب سے زیادہ تکلیف دہ مرحلے سے گزر چکے ہیں - "ڈپریشن" - جو ہمارے کاروباری عمل میں تبدیلیوں سے منسلک ہے۔ یہ مشکل اور مشکل تھا، لیکن آخر میں نتیجہ ہماری تمام جنگلی توقعات سے تجاوز کر گیا۔
سیریز کے پچھلے مواد پڑھیں:
ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ ذہنی دباؤ.
ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ گود لینا۔
ماخذ: www.habr.com