Khi đưa ra bất kỳ quyết định quan trọng mang tính chiến lược nào đối với công ty, nhân viên đều phải trải qua cơ chế bảo vệ cơ bản, được gọi là 5 giai đoạn ứng phó với sự thay đổi (của E. Kübler-Ross). Một nhà tâm lý học lỗi lạc từng mô tả các phản ứng cảm xúc, nêu bật 5 giai đoạn chính của phản ứng cảm xúc: sự phủ nhận, tức giận, mặc cả, trầm cảm và cuối cùng, Nhận con nuôi. Chúng tôi đã chuẩn bị một loạt bài viết dành riêng cho chứng nhận ISO 27001, trong đó chúng tôi sẽ xem xét từng giai đoạn. Hôm nay chúng ta sẽ nói về điều đầu tiên – sự từ chối.
Đạt được chứng chỉ ISO 27001 “để trưng bày” là một niềm vui rất đáng ngờ, bởi vì nó đòi hỏi sự chuẩn bị lâu dài và tốn kém. Hơn nữa, như nó cho thấy , tiêu chuẩn này cực kỳ không được ưa chuộng ở Liên bang Nga: cho đến nay, chỉ có 70 công ty được chứng nhận tuân thủ. Đồng thời, đây là một trong những tiêu chuẩn phổ biến nhất ở nước ngoài, đáp ứng nhu cầu ngày càng cao của doanh nghiệp trong lĩnh vực an toàn thông tin.
Công ty chúng tôi cung cấp đầy đủ các dịch vụ outsourcing cho các chức năng kế toán: kế toán và kế toán thuế, tính lương và quản trị nhân sự. Chúng tôi chiếm một trong những vị trí dẫn đầu thị trường, đặc biệt là do các công ty nước ngoài có chi nhánh ở Nga tin tưởng cung cấp thông tin bí mật của họ cho chúng tôi. Điều này không chỉ áp dụng cho quy trình tài chính của khách hàng mà còn áp dụng cho dữ liệu cá nhân mà chúng tôi xử lý hàng ngày. Về vấn đề này, vấn đề bảo mật thông tin là một trong những ưu tiên của chúng tôi.
Thông thường, tất cả các quy trình kinh doanh của các bộ phận ở Nga đều do trụ sở chính của các công ty nước ngoài kiểm soát và công bố, do đó chúng phải tuân thủ các tiêu chuẩn nội bộ của toàn tập đoàn. Gần đây, một số khách hàng quan trọng của chúng tôi đã bắt đầu sửa đổi chính sách bảo mật của họ theo hướng thắt chặt chúng. Tất nhiên, điều này là do xu hướng toàn cầu về số lượng các cuộc tấn công mạng và tổn thất liên quan đến các sự cố vi phạm an ninh thông tin ngày càng tăng.Nếu cần thực hiện các biện pháp, chính sách và quy trình bảo vệ nhằm tăng cường bảo mật thông tin của công ty, bạn có thể thực hiện mà không cần ISO /Chứng nhận IEC 27001, nhờ đó tiết kiệm rất nhiều tiền bạc, thời gian và công sức.
Ngày nay, các yêu cầu về bảo mật thông tin hiện có trong công ty đã bắt đầu xuất hiện trong các cuộc đấu thầu từ các khách hàng nước ngoài. Một số, để đơn giản hóa việc xác minh và thống nhất cách tiếp cận, đã đặt ra tiêu chí đánh giá bắt buộc - sự hiện diện của chứng nhận ISO/IEC 27001.
Đây là những gì chúng tôi đã thấy: Một trong những khách hàng quốc tế quan trọng của chúng tôi được chứng nhận theo tiêu chuẩn này dường như đã tăng cường đáng kể đội ngũ bảo mật thông tin toàn cầu của mình. Làm thế nào chúng ta biết về điều này? Họ quyết định kiểm tra hệ thống quản lý bảo mật thông tin của chúng tôi vì chúng tôi cung cấp cho họ các dịch vụ kế toán và quản trị nhân sự - và theo đó, tính bảo mật của hệ thống thông tin của chúng tôi là cực kỳ quan trọng đối với họ. Cuộc kiểm toán trước đó diễn ra cách đây 3 năm - thời điểm đó mọi thứ diễn ra khá suôn sẻ.
Lần này, một nhóm người Ấn Độ thân thiện đã tấn công chúng tôi, khéo léo phát hiện ra hàng chục thiếu sót trong hệ thống quản lý an ninh của chúng tôi. Quá trình kiểm tra giống như bánh xe Luân hồi - có vẻ như về nguyên tắc, họ không có mục tiêu đạt được bất kỳ điểm cuối cùng nào trong quá trình kiểm tra. Đó là một chuỗi vô tận các câu hỏi, nhận xét, nhận xét và bằng chứng của chúng tôi về thực tế của chúng, các cuộc gọi hội nghị và các cuộc trò chuyện triết học kéo dài nhằm cố gắng nhận ra giọng nói của nhóm bảo mật CNTT của khách hàng. Nhân tiện, cuộc kiểm toán vẫn tiếp tục với cường độ khác nhau cho đến ngày nay - theo thời gian, chúng tôi đã chấp nhận điều này. Vì vậy, nhu cầu chứng nhận đã tự nó nảy sinh.
Có lẽ chúng ta có thể thực hiện được với ISO 9001?
Tất cả những ai ít nhiều hiểu biết về vấn đề chứng nhận theo bất kỳ tiêu chuẩn ISO nào đều hiểu rằng cơ sở cho mỗi tiêu chuẩn đó là chứng chỉ “Hệ thống quản lý chất lượng” ISO 9001. Đây có lẽ là chứng chỉ phổ biến nhất hiện nay trong toàn bộ dòng tiêu chuẩn ISO. Chúng tôi không có nó - và chúng tôi quyết định không lấy nó. Có nhiều lý do cho việc này:
- hiệu quả kinh tế có vấn đề của công ty có giấy chứng nhận này;
- Phần lớn các quy trình nội bộ của chúng tôi đã gần đạt được tiêu chuẩn này;
- Để có được chứng chỉ này sẽ cần thêm thời gian và tiền bạc.
Theo đó, chúng tôi quyết định triển khai ngay ISO 27001 mà không bắt đầu với 9001 “nhẹ nhàng hơn”.
Hoặc có thể nó vẫn không cần thiết?
Nhìn về phía trước, chúng tôi đã nhiều lần quay lại câu hỏi liệu có nên lấy nó hay không. Chúng tôi bắt đầu nghiên cứu vấn đề từ mọi phía, vì chúng tôi hoàn toàn không có chuyên môn. Và đây là những quan niệm sai lầm khiến chúng ta phải suy nghĩ lại về vấn đề này một lần nữa.
Quan niệm sai lầm số 1.
Chúng tôi hy vọng rằng tiêu chuẩn này sẽ cung cấp cho chúng tôi danh sách kiểm tra chi tiết, danh sách các chính sách và các tài liệu pháp lý khác. Trên thực tế, ISO/IEC 27001 là bộ yêu cầu đối với chính hệ thống quản lý an ninh thông tin và quy trình đang được xây dựng. Dựa trên chúng, cần phải quyết định một cách độc lập những gì cần viết/thực hiện trong công ty của chúng tôi để tuân thủ các yêu cầu của tiêu chuẩn.
Quan niệm sai lầm số 2.
Chúng tôi chân thành tin rằng chỉ cần chúng tôi nghiên cứu một tài liệu và tự mình thực hiện nó trong thời gian tương đối ngắn là đủ. Trên thực tế, khi đọc tài liệu, chúng tôi nhận ra rằng tiêu chuẩn của chúng tôi “bám” vào bao nhiêu tiêu chuẩn liên quan, bao nhiêu tiêu chuẩn chúng tôi cần phải làm quen (ít nhất là bề ngoài). “Quả anh đào” trên chiếc bánh là việc thiếu các văn bản tiêu chuẩn hiện hành trong phạm vi công cộng - chúng phải được mua trên trang web chính thức của ISO.
Quan niệm sai lầm số 3.
Chúng tôi tự tin rằng chúng tôi sẽ tìm thấy mọi thứ chúng tôi cần để chuẩn bị cho việc chứng nhận trong các nguồn mở. Thực sự có khá nhiều tài liệu về ISO 27001 trên Internet nhưng chúng khá thiếu chi tiết cụ thể. Thực tế không có hướng dẫn từng bước dễ hiểu để chuẩn bị chứng nhận, cũng như các trường hợp thực tế về các công ty đã triển khai tiêu chuẩn này.
Quan niệm sai lầm số 4.
Chúng tôi sẽ viết các chính sách, nhưng chúng sẽ không có tác dụng! Đúng là công ty chúng ta đã có quá nhiều quy định rồi, thêm 3 chục chính sách mới nữa sẽ không có ai tuân thủ. Trên thực tế, thật may mắn là các nhân viên của chúng tôi đã nhận nhiệm vụ nắm vững các quy định mới một cách có trách nhiệm và đã vượt qua thành công bài kiểm tra kiến thức về các tài liệu hệ thống quản lý an toàn thông tin.
Quan niệm sai lầm số 5.
Vào thời điểm đó, chúng tôi không thể đánh giá rõ ràng những lợi ích mà chúng tôi sẽ nhận được từ những nỗ lực của mình. Vào thời điểm đó, số lượng yêu cầu cấp chứng chỉ này không quá lớn và chúng tôi đã có một khách hàng quan trọng và khó tính nhất từ rất lâu trước khi được chứng nhận. Kinh nghiệm cho thấy chúng tôi quản lý mà không có tiêu chuẩn.
Tại một thời điểm nào đó, chúng tôi nhận ra rằng chúng tôi đang thu hẹp lỗ hổng này hoặc lỗ hổng mới nổi khác một cách hỗn loạn do yêu cầu của khách hàng. Mỗi lần chúng tôi đưa ra một số chính sách hoặc giải pháp mới. Và cuối cùng chúng tôi đã độc lập đi đến kết luận rằng việc hệ thống hóa quy trình sẽ dễ dàng hơn nhiều, điều này thậm chí còn giúp chúng tôi tiết kiệm rất nhiều chi phí lao động trong tương lai. Tiêu chuẩn này nhằm mục đích đơn giản hóa nhiệm vụ này.
Bây giờ, hai năm sau, chúng tôi nhận thấy xu hướng ngày càng tăng về số lượng yêu cầu và sự quan tâm đến vấn đề này từ các khách hàng quốc tế lớn.
Quyết định cuối cùng.
Tóm lại, chúng tôi muốn nói rằng các nhà lãnh đạo trong ngành của chúng tôi đã nhận được chứng nhận ISO/IEC 27001, điều này đã buộc tất cả các nhà cung cấp lớn khác (bao gồm cả chúng tôi) phải suy nghĩ về vấn đề này. Không còn nghi ngờ gì nữa, một dòng chữ hay trong tài liệu tiếp thị của công ty - trên trang web, trên mạng xã hội, trong tài liệu quảng cáo, v.v. – có thể coi là một phần thưởng thú vị, nhưng liệu nó có đáng để bạn bỏ ra nhiều nguồn lực như vậy không? Chúng tôi tự quyết định rằng đối với chúng tôi, đây không chỉ là một đường nét đẹp đẽ và chúng tôi đã tham gia vào dự án này.
Nguồn: www.habr.com