O'zgarishlarga hissiy munosabatning to'rtinchi bosqichi - depressiya. Ushbu maqolada biz sizga eng cho'zilgan va yoqimsiz bosqichni boshdan kechirish tajribamiz - ISO 27001 standartiga muvofiqligini ta'minlash uchun kompaniyaning biznes jarayonlaridagi o'zgarishlar haqida gapirib beramiz.
Kutish
Sertifikatlash organi va maslahatchini tanlaganimizdan so'ng o'zimizga bergan birinchi savol - barcha kerakli o'zgarishlarni amalga oshirish uchun qancha vaqt kerak bo'ladi?
Dastlabki ish rejasi shunday tuzilganki, biz uni 3 oy ichida bajarishimiz kerak edi.
Hammasi oddiy ko'rinardi: bir necha o'nlab siyosatlarni yozish va ichki jarayonlarimizni biroz o'zgartirish kerak edi; keyin hamkasblaringizni o'zgarishlarga o'rgating va yana 3 oy kuting (shunda "yozuvlar" paydo bo'ladi, ya'ni siyosatning ishlashini tasdiqlaydi). Bu hammasi bo'lib tuyuldi - va sertifikat bizning cho'ntagimizda edi.
Bundan tashqari, biz siyosatni noldan yozmoqchi emas edik - oxir-oqibat, biz o'ylaganimizdek, bizga barcha "to'g'ri" shablonlarni berishi kerak bo'lgan maslahatchimiz bor edi.
Ushbu xulosalar natijasida biz har bir siyosatni tayyorlash uchun 3 kun ajratdik.
Texnik o'zgarishlar ham qo'rqinchli ko'rinmadi: voqealarni yig'ish va saqlashni o'rnatish, zaxira nusxalari biz yozgan siyosatga mos kelishini tekshirish, kerak bo'lganda ofislarni kirishni boshqarish tizimlari bilan ta'mirlash va boshqa bir nechta kichik narsalarni qilish kerak edi. .
Sertifikatlash uchun zarur bo'lgan barcha narsalarni tayyorlaydigan guruh ikki kishidan iborat edi. Ular asosiy vazifalari bilan parallel ravishda amalga oshirishga jalb etilishini va buning har biriga kuniga maksimal 1,5-2 soat vaqt ketishini rejalashtirgan edik.
Xulosa qilib aytadigan bo'lsak, kelgusi ish ko'lami haqidagi nuqtai nazarimiz ancha optimistik edi.
Haqiqat
Aslida, hamma narsa tabiiy ravishda boshqacha edi: maslahatchi tomonidan taqdim etilgan siyosat shablonlari asosan bizning kompaniyamiz uchun mos emas edi; Nima va qanday qilish kerakligi haqida Internetda deyarli aniq ma'lumot yo'q edi. Siz tasavvur qilganingizdek, "3 kun ichida bitta siyosat yozish" rejasi muvaffaqiyatsizlikka uchradi. Shunday qilib, biz loyihaning boshidanoq muddatlarni bajarishni to'xtatdik va kayfiyatimiz asta-sekin tusha boshladi.
Jamoaning tajribasi halokatli darajada kichik edi - shunchalik ko'pki, maslahatchiga to'g'ri savollar berish ham etarli emas edi (aytmoqchi, u unchalik tashabbus ko'rsatmagan). Ishlar yanada sekinroq harakat qila boshladi, chunki amalga oshirish boshlanganidan 3 oy o'tgach (ya'ni hamma narsa tayyor bo'lishi kerak bo'lgan paytda) ikkita asosiy ishtirokchidan biri jamoani tark etdi. Uning o'rniga IT xizmatining yangi rahbari tayinlandi, u amalga oshirish jarayonini tezda yakunlashi va axborot xavfsizligini boshqarish tizimini texnik nuqtai nazardan eng zarur bo'lgan barcha narsalar bilan ta'minlashi kerak edi. Vazifa qiyin ko'rindi... Mas'ullar tushkunlikka tusha boshladi.
Bundan tashqari, masalaning texnik tomoni ham "nuanslarga" ega bo'lib chiqdi. Bizning oldimizda ish stantsiyalarida ham, server uskunalarida ham global dasturiy ta'minotni modernizatsiya qilish vazifasi turibdi. Hodisalarni (jurnallarni) yig'ish uchun tizimni o'rnatishda tizimning normal ishlashi uchun bizda etarli apparat resurslari yo'qligi ma'lum bo'ldi. Va zaxira dasturiy ta'minot ham modernizatsiyaga muhtoj edi.
Buzg'unchi: Natijada 6 oy ichida AXBT qahramonona amalga oshirildi. Va hatto hech kim o'lmadi!
Eng ko'p nima o'zgardi?
Albatta, standartni amalga oshirish jarayonida kompaniya jarayonlarida ko'p sonli kichik o'zgarishlar yuz berdi. Biz siz uchun eng muhim o'zgarishlarni ta'kidladik:
- Xatarlarni baholash jarayonini rasmiylashtirish
Ilgari kompaniyada xatarlarni rasmiy baholash jarayoni yo'q edi - u faqat umumiy strategik rejalashtirishning bir qismi sifatida amalga oshirildi. Sertifikatlash doirasida hal qilingan eng muhim vazifalardan biri kompaniyaning ushbu jarayonning barcha bosqichlarini va har bir bosqich uchun mas'ul shaxslarni tavsiflovchi risklarni baholash siyosatini amalga oshirish edi.
- Olinadigan saqlash vositalarini boshqarish
Biznes uchun jiddiy xavflardan biri shifrlanmagan USB flesh-disklardan foydalanish edi: aslida har qanday xodim flesh-diskga o'zi uchun mavjud bo'lgan har qanday ma'lumotni yozishi va eng yaxshi holatda uni yo'qotishi mumkin edi. Sertifikatlash doirasida har qanday ma'lumotni flesh-disklarga yuklab olish imkoniyati barcha xodimlarning ish stantsiyalarida o'chirib qo'yildi - ma'lumotlarni yozib olish faqat IT bo'limiga murojaat qilish orqali mumkin bo'ldi.
- Super foydalanuvchi nazorati
Asosiy muammolardan biri IT bo'limining barcha xodimlari kompaniyaning barcha tizimlarida mutlaq huquqlarga ega bo'lishlari edi - ular barcha ma'lumotlardan foydalanish imkoniyatiga ega edi. Shu bilan birga, ularni hech kim nazorat qilmadi.
Biz ma'lumotlar yo'qotilishining oldini olish (DLP) tizimini joriy qildik - xavfli va samarasiz harakatlar haqida tahlil qiladigan, bloklaydigan va ogohlantiruvchi xodimlarning harakatlarini monitoring qilish dasturi. Endilikda IT boβlimi xodimlarining xatti-harakatlari haqidagi ogohlantirishlar kompaniyaning operatsion direktorining elektron pochta manziliga yuboriladi.
- Axborot infratuzilmasini tashkil etishga yondashuv
Sertifikatlash global o'zgarishlar va yondashuvlarni talab qildi. Ha, yuk ortganligi sababli bir qator server uskunalarini yangilashga majbur bo'ldik. Xususan, biz hodisalarni yig'ish tizimlari uchun alohida server ajratdik. Server katta va tez SSD disklari bilan jihozlangan. Biz zaxira dasturiy ta'minotidan voz kechdik va barcha kerakli funksiyalarga ega saqlash tizimlarini tanladik. Biz "infratuzilmani kod sifatida" kontseptsiyasiga bir qancha katta qadamlar qo'ydik, bu bizga bir qator serverlarning zaxira nusxasini yo'q qilish orqali ko'p disk maydonini tejash imkonini berdi. Eng qisqa vaqt ichida (1 hafta) ish stantsiyalaridagi barcha dasturiy ta'minot Win10 ga yangilandi. Modernizatsiya hal qilingan muammolardan biri shifrlashni yoqish qobiliyati edi (Pro versiyasida).
- Qog'oz hujjatlarini nazorat qilish
Kompaniya qog'oz hujjatlardan foydalanish bilan bog'liq jiddiy xavflarga ega edi: ular yo'qolishi, noto'g'ri joyda qoldirilgan yoki noto'g'ri yo'q qilinishi mumkin. Ushbu xavfni minimallashtirish uchun biz barcha qog'oz hujjatlarni maxfiylik darajasiga ko'ra belgiladik va har xil turdagi hujjatlarni yo'q qilish tartibini ishlab chiqdik. Endi, xodim jildni ochganda yoki hujjat olib, bu ma'lumot qaysi toifaga tegishli ekanligini va uni qanday boshqarishni aniq biladi.
- Zaxira ma'lumotlar markazini ijaraga olish
Ilgari barcha kompaniya ma'lumotlari uchinchi tomon xavfsiz ma'lumotlar markazida joylashgan serverlarda saqlangan. Biroq, ushbu ma'lumot markazida favqulodda tartib-qoidalar mavjud emas edi. Yechim zaxira bulutli ma'lumotlar markazini ijaraga olish va u erda eng muhim ma'lumotlarni zaxiralash edi. Ayni paytda kompaniya ma'lumotlari ikkita geografik uzoqdagi ma'lumotlar markazida saqlanadi, bu esa uning yo'qolishi xavfini kamaytiradi.
- Biznes uzluksizligi testi
Bizning kompaniyamizda bir necha yillardan buyon ishning uzluksizligi siyosati (BCP) mavjud bo'lib, unda xodimlar turli xil salbiy stsenariylarda (ofisga kirishning yo'qolishi, epidemiya, elektr ta'minotidagi uzilishlar va h.k.) nima qilishlari kerakligini tavsiflaydi. Biroq, biz hech qachon uzluksizlik testini o'tkazmaganmiz - ya'ni biz ushbu vaziyatlarning har birida biznesni tiklash uchun qancha vaqt ketishini hech qachon o'lchamaganmiz. Sertifikatlash auditiga tayyorgarlik ko'rish jarayonida biz nafaqat buni amalga oshirdik, balki kelgusi yil uchun biznesning uzluksizligini tekshirish rejasini ishlab chiqdik. Taβkidlash joizki, oradan bir yil oβtib, masofaviy ishlashga toβliq oβtish zarurati bilan toβqnash kelganimizda, biz bu vazifani uch kunda bajardik.
Shuni ta'kidlash kerak, sertifikatlash uchun tayyorlanayotgan barcha kompaniyalar turli xil boshlang'ich shartlariga ega - shuning uchun sizning holatlaringizda butunlay boshqacha o'zgarishlar talab qilinishi mumkin.
Xodimlarning o'zgarishlarga munosabati
G'alati - bu erda biz eng yomonini kutgandik - bu unchalik yomon emas edi. Hamkasblar sertifikatlash haqidagi xabarni katta ishtiyoq bilan qabul qilishdi, deb aytish mumkin emas, ammo quyidagilar aniq edi:
- Barcha asosiy xodimlar ushbu tadbirning muhimligi va muqarrarligini tushunishdi;
- Boshqa barcha xodimlar asosiy xodimlarga qarashdi.
Albatta, bizning sohamizning o'ziga xos xususiyatlari bizga ko'p yordam berdi - buxgalteriya funktsiyalarini autsorsing qilish. Xodimlarimizning aksariyati Rossiya qonunchiligidagi doimiy o'zgarishlarni yaxshi engishadi. Shunga ko'ra, hozir rioya qilinishi kerak bo'lgan o'nlab yangi qoidalarning kiritilishi ular uchun g'ayrioddiy narsa emas edi.
Biz barcha xodimlarimiz uchun yangi majburiy ISO 27001 o'qitish va testlarini tayyorladik. Hamma itoatkorlik bilan monitoridan parollar yozilgan yopishqoq qog'ozlarni olib tashladi va hujjatlar bilan to'ldirilgan stollarni tozaladi. Hech qanday norozilik sezilmadi - umuman olganda, biz xodimlarimiz bilan juda omadli edik.
Shunday qilib, biz biznes jarayonlarimizdagi o'zgarishlar bilan bog'liq bo'lgan eng og'riqli bosqich - "depressiya" ni bosib o'tdik. Bu qiyin va qiyin bo'ldi, lekin yakunda natija barcha kutganimizdan oshib ketdi.
Seriyadan oldingi materiallarni o'qing:
ISO/IEC 5 sertifikatining muqarrarligining 27001 bosqichi. Depressiya.
ISO/IEC 5 sertifikatining muqarrarligining 27001 bosqichi. Farzand asrab olish.
Manba: www.habr.com