对变化的情绪反应的第四阶段是抑郁。 在这篇文章中,我们将向您讲述我们经历的最漫长、最不愉快的阶段的经历——关于公司业务流程的改变,以实现其符合 ISO 27001 标准。
期望
选择认证机构和顾问后,我们问自己的第一个问题是我们真正需要多少时间来进行所有必要的更改?
最初的工作计划是这样安排的,我们必须在3个月内完成。
一切看起来都很简单:需要编写几十个政策并稍微改变我们的内部流程; 然后对同事进行有关更改的培训,并再等待 3 个月(以便出现“记录”,即政策发挥作用的证据)。 似乎仅此而已 - 证书就在我们的口袋里。
此外,我们不会从头开始编写策略 - 毕竟,我们有一位顾问,正如我们所想的那样,他应该为我们提供所有“正确”的模板。
根据这些结论,我们分配了 3 天的时间来准备每项政策。
技术变化看起来也并不令人畏惧:有必要设置事件的收集和存储,检查备份是否符合我们编写的策略,在必要时用访问控制系统改造办公室,以及其他一些小事情。
准备认证所需一切的团队由两人组成。 我们计划让他们在履行主要职责的同时参与实施,这将占用他们每天最多 1,5-2 小时的时间。
总而言之,我们可以说我们对即将到来的工作范围的看法相当乐观。
现实
事实上,一切自然不同:顾问提供的政策模板对我们公司来说大多不适用; 互联网上几乎没有关于做什么以及如何做的明确信息。 可想而知,“三天写一份保单”的计划惨遭失败。 所以我们几乎从项目一开始就不再按时完成任务,我们的情绪也开始慢慢下降。
该团队的专业知识非常少,以至于甚至不足以向顾问提出正确的问题(顺便说一句,顾问没有表现出太多主动性)。 事情开始变得更加缓慢,因为在实施开始三个月后(也就是一切应该准备就绪的时刻),两名关键参与者之一离开了团队。 他被新的 IT 服务负责人取代,后者必须快速完成实施过程,并为信息安全管理系统提供从技术角度来看最必要的一切。 任务看起来很艰巨……负责人开始郁闷起来。
此外,技术方面的问题也存在“细微差别”。 我们面临着工作站和服务器设备上的全球软件现代化的任务。 在设置系统收集事件(日志)时,发现我们没有足够的硬件资源来保证系统的正常运行。 备份软件也需要现代化。
剧透:结果,ISMS 在 6 个月内就被英勇地实施了。 甚至没有人死亡!
变化最大的是什么?
当然,在标准实施过程中,公司的流程发生了大量的小变化。 我们为您重点介绍了最重要的变化:
- 风险评估流程正式化
此前,该公司没有正式的风险评估流程——只是作为整体战略规划的一部分顺便完成。 作为认证的一部分解决的最重要的任务之一是实施公司的风险评估政策,该政策描述了该过程的所有阶段以及每个阶段的负责人。
- 对可移动存储介质的控制
企业面临的重大风险之一是使用未加密的 USB 闪存驱动器:事实上,任何员工都可以在闪存驱动器上写入任何可用的信息,但最多可能会丢失。 作为认证的一部分,所有员工工作站都禁用了将任何信息下载到闪存驱动器的功能 - 只有通过向 IT 部门申请才能记录信息。
- 超级用户控制
主要问题之一是所有 IT 部门员工在所有公司系统中都拥有绝对权利 - 他们可以访问所有信息。 与此同时,没有人真正控制他们。
我们实施了数据丢失防护 (DLP) 系统,这是一个监控员工行为的计划,可分析、阻止和警告危险和非生产性活动。 现在,有关 IT 部门员工行为的警报会发送到公司运营总监的电子邮件地址。
- 组织信息基础设施的方法
认证需要全球性的变革和方法。 是的,由于负载增加,我们不得不升级一些服务器设备。 特别是,我们为事件收集系统提供了专用的单独服务器。 该服务器配备了大型且快速的 SSD 驱动器。 我们放弃了备份软件,并选择了具有开箱即用的所有必要功能的存储系统。 我们朝着“基础设施即代码”的概念迈出了几大步,这使我们能够通过消除大量服务器的备份来节省大量磁盘空间。 在最短的时间内(1周),工作站上的所有软件均升级至Win10。 现代化解决的问题之一是启用加密的能力(在专业版中)。
- 对纸质文件的控制
该公司面临着与使用纸质文档相关的重大风险:它们可能会丢失、留在错误的地方或被不当销毁。 为了最大限度地降低这种风险,我们根据机密级别对所有纸质文件进行了标记,并制定了销毁不同类型文件的程序。 现在,当员工打开文件夹或获取文档时,他确切地知道这些信息属于哪个类别以及如何处理它。
- 租用备份数据中心
此前,所有公司信息都存储在位于第三方安全数据中心的服务器上。 然而,该数据中心没有制定应急程序。 解决方案是租用一个备份云数据中心并在那里备份最重要的信息。 目前,该公司的信息存储在两个地理位置偏远的数据中心,最大限度地降低了信息丢失的风险。
- 业务连续性测试
我们公司多年来一直制定业务连续性政策(BCP),该政策描述了员工在各种负面情况(无法进入办公室、流行病、停电等)下应该做什么。 然而,我们从未进行过连续性测试——也就是说,我们从未测量过在每种情况下恢复业务需要多长时间。 在准备认证审核的过程中,我们不仅做到了这一点,还制定了来年的业务连续性测试计划。 值得注意的是,一年后,当我们面临完全切换到远程工作的需要时,我们在三天内完成了这项任务。
重要的是要注意,所有准备认证的公司都有不同的起始条件 - 因此,就您而言,可能需要完全不同的更改。
员工对变革的反应
奇怪的是——我们做了最坏的打算——结果并没有那么糟糕。 不能说同事们收到认证消息时热情高涨,但可以明确以下几点:
- 所有骨干员工都明白此次活动的重要性和必然性;
- 所有其他员工都尊敬关键员工。
当然,我们行业的具体情况对我们帮助很大——会计职能外包。 我们绝大多数员工都能很好地应对俄罗斯立法的不断变化。 因此,现在必须遵守的几十条新规则的出台对他们来说并不是什么不寻常的事情。
我们为所有员工准备了新的强制性 ISO 27001 培训和测试。 大家都乖乖地撕掉了显示器上贴有密码的贴纸,并清理了桌子上堆满的文件。 没有注意到任何强烈的不满——总的来说,我们的员工非常幸运。
因此,我们已经度过了与业务流程变化相关的最痛苦的阶段——“抑郁”阶段。 虽然很艰难,但最终的结果超出了我们所有最疯狂的预期。
阅读该系列之前的材料:
ISO/IEC 5 认证不可避免的 27001 个阶段。 沮丧。
ISO/IEC 5 认证不可避免的 27001 个阶段。 采用。
来源: habr.com