پرو ہوسٹر > بلاگ > انتظامیہ > ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ نفی

ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ نفی

کمپنی کے لیے حکمت عملی کے لحاظ سے کوئی بھی اہم فیصلہ کرتے وقت، ملازمین ایک بنیادی دفاعی طریقہ کار سے گزرتے ہیں، جسے تبدیلی کے جواب کے 5 مراحل کے نام سے جانا جاتا ہے (بذریعہ E. Kübler-Ross)۔ ایک نامور ماہر نفسیات نے ایک بار جذباتی ردعمل کو بیان کرتے ہوئے، جذباتی ردعمل کے 5 اہم مراحل پر روشنی ڈالی: انکار, غصہ, سودا, ڈپریشن اور آخر میں گود لینے. ہم نے ISO 27001 سرٹیفیکیشن کے لیے وقف کردہ مضامین کا ایک سلسلہ تیار کیا ہے، جہاں ہم ہر ایک مرحلے کو دیکھیں گے۔ آج ہم ان میں سے پہلی بات کریں گے - انکار۔

ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ نفی

آئی ایس او 27001 سرٹیفکیٹ "شو کے لیے" حاصل کرنا ایک بہت ہی مشکوک خوشی ہے، کیونکہ اس کے لیے طویل اور مہنگی تیاری کی ضرورت ہوتی ہے۔ اس کے علاوہ، جیسا کہ یہ ظاہر کرتا ہے اعدادوشمار، یہ معیار روسی فیڈریشن میں انتہائی غیر مقبول ہے: آج تک، صرف 70 کمپنیوں کو تعمیل کے لیے تصدیق کی گئی ہے۔ ایک ہی وقت میں، یہ بیرون ملک سب سے زیادہ مقبول معیارات میں سے ایک ہے، جو معلومات کی حفاظت کے شعبے میں کاروبار کے بڑھتے ہوئے مطالبات کو پورا کرتا ہے۔

ہماری کمپنی اکاؤنٹنگ کے افعال کے لیے آؤٹ سورسنگ خدمات کی مکمل رینج فراہم کرتی ہے: اکاؤنٹنگ اور ٹیکس اکاؤنٹنگ، پے رول اور پرسنل ایڈمنسٹریشن۔ ہم مارکیٹ میں ایک اہم پوزیشن پر قابض ہیں، خاص طور پر اس حقیقت کی وجہ سے کہ روس میں شاخیں رکھنے والی غیر ملکی کمپنیاں اپنی خفیہ معلومات کے حوالے سے ہم پر اعتماد کرتی ہیں۔ یہ نہ صرف ہمارے کلائنٹس کے مالیاتی عمل پر لاگو ہوتا ہے بلکہ اس ذاتی ڈیٹا پر بھی لاگو ہوتا ہے جس کے ساتھ ہم روزانہ کی بنیاد پر کام کرتے ہیں۔ اس سلسلے میں انفارمیشن سیکیورٹی کا مسئلہ ہماری ترجیحات میں شامل ہے۔

اکثر، روسی ڈویژنوں کے تمام کاروباری عمل کو غیر ملکی کمپنیوں کے ہیڈ آفسز کے ذریعے کنٹرول اور اعلان کیا جاتا ہے، اور اس لیے انہیں اندرونی گروپ کے وسیع معیارات کی تعمیل کرنی چاہیے۔ حال ہی میں، ہمارے کچھ کلیدی کلائنٹس نے اپنی حفاظتی پالیسیوں کو سخت کرنے کی سمت میں نظر ثانی کرنا شروع کر دی ہے۔ بلاشبہ، اس کی وجہ سائبر حملوں کی بڑھتی ہوئی تعداد اور انفارمیشن سیکیورٹی کی خلاف ورزی کے واقعات سے وابستہ نقصانات کے عالمی رجحانات ہیں۔ اگر کمپنی کی معلومات کی حفاظت کو بڑھانے کے مقصد سے حفاظتی اقدامات، پالیسیوں اور طریقہ کار کو نافذ کرنا ضروری ہے، تو آپ آئی ایس او کے بغیر کر سکتے ہیں۔ /IEC 27001 سرٹیفیکیشن، جس سے بہت سارے پیسے، وقت اور اعصاب کی بچت ہوتی ہے۔

ISO/IEC 5 سرٹیفیکیشن کی ناگزیریت کے 27001 مراحل۔ نفی

آج، کمپنی میں موجودہ معلومات کے تحفظ کے تقاضے غیر ملکی صارفین کے ٹینڈرز میں ظاہر ہونا شروع ہو گئے ہیں۔ کچھ، اپنی توثیق کو آسان بنانے اور نقطہ نظر کو یکجا کرنے کے لیے، ایک لازمی تشخیص کا معیار مقرر کرتے ہیں - ISO/IEC 27001 سرٹیفیکیشن کی موجودگی۔

یہ ہے جو ہم نے دیکھا ہے: اس معیار کے ساتھ تصدیق شدہ ہمارے کلیدی بین الاقوامی کلائنٹس میں سے ایک نے اپنی عالمی معلوماتی حفاظتی ٹیم کو نمایاں طور پر مضبوط کیا ہے۔ ہمیں اس کے بارے میں کیسے پتہ چلا؟ انہوں نے ہمارے انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا آڈٹ کرنے کا فیصلہ کیا، کیونکہ ہم انہیں اکاؤنٹنگ سروسز اور پرسنل ایڈمنسٹریشن فراہم کرتے ہیں - اور، اس کے مطابق، ہمارے انفارمیشن سسٹم کی سیکیورٹی ان کے لیے انتہائی اہم ہے۔ پچھلا آڈٹ 3 سال پہلے ہوا تھا - اس وقت سب کچھ بے دردی سے چلا گیا۔

اس بار، ہندوستانیوں کی ایک دوستانہ ٹیم نے ہم پر حملہ کیا، جس نے بڑی تدبیر سے ہمارے سیکورٹی مینجمنٹ سسٹم میں کئی درجن خامیوں کا پتہ لگایا۔ آڈٹ کا عمل سمسارا کے پہیے سے ملتا جلتا تھا - ایسا لگتا تھا کہ اصولی طور پر ان کے پاس آڈٹ کے حصے کے طور پر کسی حتمی نقطہ تک پہنچنے کا کوئی ہدف نہیں تھا۔ یہ سوالات، تبصروں، ہمارے تبصروں اور ان کی حقیقت کے ثبوت، کانفرنس کالز اور کلائنٹ کی IT سیکیورٹی ٹیم کے لہجے کو پہچاننے کی کوششوں میں طویل فلسفیانہ گفتگو کا ایک نہ ختم ہونے والا سلسلہ تھا۔ ویسے، آڈٹ آج تک مختلف ڈگریوں کے ساتھ جاری ہے - وقت کے ساتھ، ہم اس کے ساتھ شرائط پر آئے ہیں. اس طرح سند کی ضرورت اپنے طور پر پیدا ہو گئی ہے۔

شاید ہم ISO 9001 کے ساتھ کر سکتے ہیں؟

ہر وہ شخص جو ISO معیارات میں سے کسی کے مطابق سرٹیفیکیشن کے معاملے میں کم و بیش سمجھدار ہے سمجھتا ہے کہ ان میں سے ہر ایک کی بنیاد ISO 9001 "کوالٹی مینجمنٹ سسٹم" سرٹیفکیٹ ہے۔ یہ شاید ISO معیارات کی پوری لائن میں اس وقت سب سے زیادہ مقبول سرٹیفکیٹ ہے۔ ہمارے پاس یہ نہیں تھا - اور ہم نے اسے حاصل نہ کرنے کا فیصلہ کیا۔ اس کی کئی وجوہات تھیں:

  • یہ سرٹیفکیٹ رکھنے والی کمپنی کی قابل اعتراض اقتصادی کارکردگی؛
  • ہمارے داخلی عمل، زیادہ تر حصے کے لیے، پہلے ہی اس معیار کے قریب تھے۔
  • اس سرٹیفکیٹ کو حاصل کرنے کے لیے اضافی وقت اور رقم درکار ہوگی۔

اس کے مطابق، ہم نے "لائٹر" 27001 سے شروع کیے بغیر، فوری طور پر آئی ایس او 9001 کو نافذ کرنے کا فیصلہ کیا۔

یا شاید یہ اب بھی ضروری نہیں ہے؟

آگے دیکھتے ہوئے، ہم کئی بار اس سوال کی طرف لوٹ چکے ہیں کہ کیا اسے حاصل کرنا مناسب ہے؟ ہم نے اس مسئلے کا ہر طرف سے مطالعہ کرنا شروع کر دیا، کیونکہ ہمارے پاس کوئی مہارت نہیں تھی۔ اور یہاں وہ غلط فہمیاں ہیں جنہوں نے ہمیں ایک بار پھر اس مسئلے کے بارے میں سوچنے پر مجبور کیا۔

غلط فہمی نمبر 1۔
ہمیں امید تھی کہ معیار ہمیں ایک تفصیلی چیک لسٹ، پالیسیوں کی فہرست اور دیگر قانونی دستاویزات فراہم کرے گا۔ حقیقت میں، یہ پتہ چلا کہ ISO/IEC 27001 خود انفارمیشن سیکیورٹی مینجمنٹ سسٹم اور تعمیر کیے جانے والے عمل کی ضروریات کا ایک مجموعہ ہے۔ ان کی بنیاد پر، یہ آزادانہ طور پر فیصلہ کرنا ضروری تھا کہ معیار کے تقاضوں کی تعمیل کرنے کے لیے ہماری کمپنی میں کیا لکھنا/ نافذ کرنا ہے۔

غلط فہمی نمبر 2۔
ہم خلوص دل سے یقین رکھتے تھے کہ ہمارے لیے ایک دستاویز کا مطالعہ کرنا اور اسے نسبتاً کم وقت میں خود ہی نافذ کرنا کافی ہوگا۔ حقیقت میں، دستاویز کو پڑھتے ہوئے، ہم نے محسوس کیا کہ ہمارا معیار کتنے متعلقہ معیارات سے "چپٹا" ہے، ہمیں کتنے معیارات سے واقف ہونے کی ضرورت ہے (کم از کم سطحی طور پر)۔ کیک پر "چیری" عوامی ڈومین میں موجودہ معیار کے متن کی کمی تھی - انہیں سرکاری ISO ویب سائٹ سے خریدنا پڑا۔

غلط فہمی نمبر 3۔
ہمیں یقین تھا کہ ہمیں کھلے ذرائع میں سرٹیفیکیشن کی تیاری کے لیے درکار ہر چیز مل جائے گی۔ انٹرنیٹ پر آئی ایس او 27001 پر واقعی بہت سارے مواد موجود تھے، لیکن ان میں تفصیلات کی کمی تھی۔ سرٹیفیکیشن کی تیاری کے لیے عملی طور پر کوئی آسان فہم مرحلہ وار ہدایات نہیں تھیں، نیز ان کمپنیوں کے حقیقی معاملات جنہوں نے اس معیار کو نافذ کیا تھا۔

غلط فہمی نمبر 4۔
ہم پالیسیاں لکھیں گے، لیکن وہ کام نہیں کریں گے! ٹھیک ہے، یہ سچ ہے، ہماری کمپنی کے پاس پہلے ہی بہت سارے اصول ہیں، کوئی بھی مزید 3 درجن نئی پالیسیوں کی تعمیل نہیں کرے گا۔ حقیقت میں، خوش قسمتی سے، ہمارے ملازمین نے ذمہ داری کے ساتھ نئے قواعد میں مہارت حاصل کرنے کا کام لیا اور انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی دستاویزات کے علم کے لیے ٹیسٹ میں کامیابی سے کامیابی حاصل کی۔

غلط فہمی نمبر 5۔
اس وقت، ہم واضح طور پر اندازہ نہیں لگا سکتے تھے کہ ہمیں اپنی کوششوں سے کیا فوائد حاصل ہوں گے۔ اس وقت، اس سرٹیفکیٹ کے لیے درخواستوں کی تعداد اتنی زیادہ نہیں تھی، اور ہمارے پاس اپنا کلیدی اور سب سے زیادہ مطالبہ کرنے والا کلائنٹ سرٹیفیکیشن سے بہت پہلے تھا۔ تجربے سے پتہ چلتا ہے کہ ہم نے بغیر کسی معیار کے انتظام کیا۔

کسی وقت، ہم نے محسوس کیا کہ ہم کلائنٹ کی ضروریات کی وجہ سے ایک یا دوسرے ابھرتے ہوئے خلا کو افراتفری سے بند کر رہے ہیں۔ ہر بار ہم کچھ نئی پالیسیاں یا حل لے کر آئے۔ اور آخر کار ہم آزادانہ طور پر اس نتیجے پر پہنچے کہ اس عمل کو منظم کرنا بہت آسان ہوگا، جس سے ہمیں مستقبل میں مزدوری کے بہت زیادہ اخراجات بھی بچ جائیں گے۔ معیار کا مقصد اس کام کو آسان بنانا تھا۔

اب، دو سال بعد، ہم بڑے بین الاقوامی کلائنٹس کی جانب سے اس مسئلے میں درخواستوں اور دلچسپی میں اضافہ دیکھ رہے ہیں۔

آخری فیصلہ.

آخر میں، ہم یہ کہنا چاہیں گے کہ ہماری صنعت کے رہنماؤں نے ISO/IEC 27001 سرٹیفیکیشن حاصل کر لیا ہے، جس نے دیگر تمام بڑے فراہم کنندگان (بشمول ہم) کو اس مسئلے کے بارے میں سوچنے پر مجبور کر دیا ہے۔ بلاشبہ، کمپنی کے مارکیٹنگ مواد میں ایک خوبصورت لائن - ویب سائٹ پر، سوشل نیٹ ورکس پر، اشتہاری بروشرز وغیرہ میں۔ - ایک خوشگوار بونس سمجھا جا سکتا ہے، لیکن کیا اس کے لیے اتنے وسائل خرچ کرنے کے قابل ہے؟ ہم نے خود فیصلہ کیا کہ ہمارے لیے یہ ایک خوبصورت لائن سے زیادہ نہیں ہے، اور ہم اس پروجیکٹ میں شامل ہو گئے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں