Kompaniya uchun har qanday strategik muhim qarorni qabul qilishda xodimlar o'zgarishlarga javob berishning 5 bosqichi deb nomlanuvchi asosiy himoya mexanizmidan o'tadilar (E. KΓΌbler-Ross tomonidan). Bir marta taniqli psixolog hissiy reaktsiyalarni ta'riflab, hissiy reaktsiyaning 5 asosiy bosqichini ta'kidladi: inkor qilish, g'azab, savdolashish, depressiya va nihoyat, Farzand asrab olish. Biz ISO 27001 sertifikatiga bag'ishlangan bir qator maqolalar tayyorladik, unda biz har bir bosqichni ko'rib chiqamiz. Bugun biz ulardan birinchisi - rad etish haqida gapiramiz.
ISO 27001 sertifikatini "namoyish uchun" olish juda shubhali zavqdir, chunki bu uzoq va qimmat tayyorgarlikni talab qiladi. Bundan tashqari, ko'rsatilganidek , ushbu standart Rossiya Federatsiyasida juda mashhur emas: hozirgi kunga qadar faqat 70 ta kompaniya muvofiqlik sertifikatiga ega. Shu bilan birga, bu xorijdagi eng ommabop standartlardan biri boβlib, axborot xavfsizligi sohasidagi biznesning oβsib borayotgan talablariga javob beradi.
Kompaniyamiz buxgalteriya hisobi funktsiyalari uchun autsorsing xizmatlarining to'liq spektrini taqdim etadi: buxgalteriya hisobi va soliq hisobi, ish haqi va xodimlarni boshqarish. Biz bozorda etakchi o'rinlardan birini egallab turibmiz, xususan, Rossiyada filiallari bo'lgan xorijiy kompaniyalar o'zlarining maxfiy ma'lumotlari bilan bizga ishonishadi. Bu nafaqat mijozlarimizning moliyaviy jarayonlariga, balki biz har kuni ishlaydigan shaxsiy ma'lumotlarimizga ham tegishli. Shu munosabat bilan axborot xavfsizligini taβminlash masalasi bizning ustuvor vazifalarimizdan biridir.
Ko'pincha, Rossiya bo'linmalarining barcha biznes jarayonlari xorijiy kompaniyalarning bosh ofislari tomonidan nazorat qilinadi va e'lon qilinadi va shuning uchun ular ichki guruh standartlariga mos kelishi kerak. So'nggi paytlarda ba'zi asosiy mijozlarimiz xavfsizlik siyosatini ularni kuchaytirish yo'nalishida qayta ko'rib chiqishni boshladilar. Albatta, bu kiberhujumlar sonining ortib borayotgan global tendentsiyalari va axborot xavfsizligini buzish hodisalari bilan bog'liq yo'qotishlar bilan bog'liq.Agar kompaniyaning axborot xavfsizligini oshirishga qaratilgan himoya choralari, siyosati va tartiblarini amalga oshirish zarur bo'lsa, siz ISOsiz ham qila olasiz. /IEC 27001 sertifikati, bu ko'p pul, vaqt va asablarni tejaydi.
Bugungi kunda kompaniyadagi mavjud axborot xavfsizligiga qo'yiladigan talablar chet ellik buyurtmachilarning tenderlarida paydo bo'la boshladi. Ba'zilar tekshirishni soddalashtirish va yondashuvni birlashtirish uchun majburiy baholash mezonini - ISO/IEC 27001 sertifikatining mavjudligini o'rnatadilar.
Biz ko'rgan narsamiz: ushbu standart bo'yicha sertifikatlangan asosiy xalqaro mijozlarimizdan biri o'zining global axborot xavfsizligi jamoasini sezilarli darajada kuchaytirganga o'xshaydi. Biz bu haqda qayerdan bildik? Ular bizning axborot xavfsizligini boshqarish tizimimizni tekshirishga qaror qilishdi, chunki biz ularga buxgalteriya xizmatlari va xodimlarni boshqarish xizmatlarini taqdim etamiz - va shunga mos ravishda bizning axborot tizimlarimiz xavfsizligi ular uchun juda muhim. Oldingi audit 3 yil oldin bo'lib o'tdi - o'sha paytda hamma narsa juda og'riqsiz o'tdi.
Bu safar hindlarning do'stona jamoasi bizga hujum qilib, xavfsizlikni boshqarish tizimimizdagi o'nlab kamchiliklarni aniqladi. Audit jarayoni Samsara g'ildiragiga o'xshardi - ular auditning bir qismi sifatida yakuniy nuqtaga erishish maqsadiga ega bo'lmaganga o'xshaydi. Bu cheksiz savollar, mulohazalar, sharhlarimiz va ularning haqiqatining isboti, konferentsiya qo'ng'iroqlari va mijozning IT xavfsizligi guruhining urg'usini tan olishga urinishdagi uzoq falsafiy suhbatlar edi. Aytgancha, audit bugungi kungacha turli darajadagi intensivlik bilan davom etmoqda - vaqt o'tishi bilan biz bu bilan kelishib oldik. Shunday qilib, sertifikatlashtirish zarurati o'z-o'zidan paydo bo'ldi.
Ehtimol, biz ISO 9001 bilan ishlay olamizmi?
ISO standartlarining har qandayiga muvofiq sertifikatlash masalasida ko'proq yoki kamroq bilimga ega bo'lgan har bir kishi, ularning har biri uchun asos ISO 9001 "Sifat menejmenti tizimi" sertifikati ekanligini tushunadi. Bu, ehtimol, hozirda ISO standartlari qatorida eng mashhur sertifikatdir. Bizda yo'q edi - va biz uni olmaslikka qaror qildik. Buning bir qancha sabablari bor edi:
- ushbu sertifikatga ega bo'lgan kompaniyaning shubhali iqtisodiy samaradorligi;
- bizning ichki jarayonlarimiz, asosan, ushbu standartga yaqin edi;
- Ushbu sertifikatni olish qo'shimcha vaqt va pul talab qiladi.
Shunga ko'ra, biz "zajigalka" 27001 dan boshlamasdan darhol ISO 9001 ni joriy etishga qaror qildik.
Yoki bu hali ham kerak emasmi?
Oldinga qarab, biz uni olish maqsadga muvofiqmi degan savolga ko'p marta qaytdik. Biz bu masalani har tomondan o'rganishni boshladik, chunki bizda mutlaqo tajriba yo'q edi. Mana, bizni bu masala haqida yana bir bor o'ylashga majbur qilgan noto'g'ri tushunchalar.
Noto'g'ri tushuncha β1.
Biz standart bizga batafsil nazorat ro'yxati, siyosatlar ro'yxati va boshqa normativ hujjatlarni taqdim etishiga umid qildik. Aslida, ISO/IEC 27001 axborot xavfsizligini boshqarish tizimining o'zi va qurilayotgan jarayonga qo'yiladigan talablar to'plami ekanligi ma'lum bo'ldi. Ularga asoslanib, standart talablariga rioya qilish uchun kompaniyamizda nima yozish / amalga oshirishni mustaqil ravishda hal qilish kerak edi.
Noto'g'ri tushuncha β2.
Bitta hujjatni oβrganib, uni nisbatan qisqa muddatda oβz kuchimiz bilan amalga oshirishimiz kifoya qiladi, deb chin dildan ishondik. Haqiqatan ham, hujjatni o'qib chiqqach, biz standartimiz qanchalik bog'liq standartlarga "yopishganini" va qancha standartlar bilan tanishishimiz kerakligini (hech bo'lmaganda yuzaki) angladik. Tortdagi "gilos" jamoat mulki bo'lgan amaldagi standartlar matnlarining yo'qligi edi - ularni ISO rasmiy veb-saytida sotib olish kerak edi.
Noto'g'ri tushuncha β3.
Sertifikatlashga tayyorgarlik ko'rish uchun kerak bo'lgan hamma narsani ochiq manbalardan topishimizga ishonchimiz komil edi. Haqiqatan ham Internetda ISO 27001 bo'yicha juda ko'p materiallar mavjud edi, ammo ularda o'ziga xos xususiyatlar yo'q edi. Sertifikatlashga tayyorgarlik ko'rish bo'yicha tushunarli bosqichma-bosqich ko'rsatmalar, shuningdek, ushbu standartni amalga oshirgan kompaniyalarning haqiqiy holatlari deyarli yo'q edi.
Noto'g'ri tushuncha β4.
Biz siyosat yozamiz, lekin ular ishlamaydi! To'g'ri, bizning kompaniyamiz allaqachon juda ko'p qoidalarga ega, hech kim yana 3 o'nlab yangi siyosatlarga rioya qilmaydi. Darhaqiqat, baxtimizga, xodimlarimiz yangi qoidalarni oβzlashtirish vazifasini masβuliyat bilan oβz zimmalariga oldilar va axborot xavfsizligini boshqarish tizimi hujjatlarini bilish sinovidan muvaffaqiyatli oβtishdi.
Noto'g'ri tushuncha β5.
O'shanda biz sa'y-harakatlarimizdan qanday foyda olishimizni aniq baholay olmadik. O'sha paytda ushbu sertifikat uchun so'rovlar soni unchalik ko'p emas edi va bizda sertifikatlashdan ancha oldin asosiy va eng talabchan mijoz bor edi. Tajriba shuni ko'rsatdiki, biz standartsiz boshqarganmiz.
Bir nuqtada, biz mijozning talablari tufayli u yoki bu paydo bo'lgan bo'shliqni xaotik tarzda yopayotganimizni angladik. Har safar biz yangi siyosat yoki yechimlar bilan chiqdik. Va nihoyat, biz mustaqil ravishda jarayonni tizimlashtirish ancha oson bo'ladi degan xulosaga keldik, bu esa kelajakda bizni ko'p mehnat xarajatlarini tejash imkonini beradi. Standart ushbu vazifani soddalashtirish uchun mo'ljallangan edi.
Endi, ikki yil o'tgach, biz yirik xalqaro mijozlar tomonidan ushbu masala bo'yicha so'rovlar va qiziqishlar soni ortib borayotganini ko'rmoqdamiz.
Yakuniy qaror.
Xulosa qilib shuni aytishni istardikki, bizning soha rahbarlarimiz ISO/IEC 27001 sertifikatini oldilar, bu esa boshqa barcha yirik provayderlarni (shu jumladan bizni ham) bu masala haqida oβylashga majbur qildi. Shubhasiz, kompaniyaning marketing materiallarida - veb-saytda, ijtimoiy tarmoqlarda, reklama broshyuralarida va hokazolarda chiroyli chiziq. - yoqimli bonus deb hisoblash mumkin, lekin buning uchun juda ko'p resurslarni sarflashga arziydimi? Biz o'zimiz uchun bu biz uchun shunchaki chiroyli chiziq emas, deb qaror qildik va biz ushbu loyihada ishtirok etdik.
Manba: www.habr.com