在为公司做出任何具有战略意义的决策时,员工都会经历一种基本的防御机制,即众所周知的应对变革的 5 个阶段(作者:E. Kübler-Ross)。 一位著名的心理学家曾经描述过情绪反应,强调了情绪反应的 5 个关键阶段: 拒绝, 愤怒, 拍卖, 萧条 终于 采用。 我们准备了一系列专门针对 ISO 27001 认证的文章,我们将研究其中的每个阶段。 今天我们要谈谈第一个——否认。
“为了展示”获得 ISO 27001 证书是一种非常可疑的乐趣,因为它需要漫长而昂贵的准备。 而且,正如它所表明的 ,该标准在俄罗斯联邦极不受欢迎:迄今为止,只有 70 家公司获得了合规认证。 同时,这是国外最流行的标准之一,满足了信息安全领域不断增长的业务需求。
我们公司为会计职能提供全方位的外包服务:会计和税务会计、工资和人事管理。 我们占据领先的市场地位之一,特别是因为在俄罗斯设有分支机构的外国公司信任我们将其机密信息提供给我们。 这不仅适用于我们客户的财务流程,也适用于我们日常处理的个人数据。 在这方面,信息安全问题是我们的首要任务之一。
通常,俄罗斯部门的所有业务流程均由外国公司总部控制和声明,因此必须遵守集团内部标准。 最近,我们的一些主要客户已经开始修改其安全策略,以加强安全策略。 当然,这是由于全球网络攻击和与信息安全漏洞事件相关的损失不断增加的趋势。如果有必要实施旨在提高公司信息安全的保护措施、政策和程序,则可以不用ISO /IEC 27001认证,从而节省大量金钱、时间和精力。
如今,公司现有信息安全的要求已经开始出现在国外客户的招标中。 有些为了简化验证并统一方法,设置了强制性评估标准 - ISO/IEC 27001 认证的存在。
以下是我们所看到的情况:通过该标准认证的我们的主要国际客户之一似乎显着加强了其全球信息安全团队。 我们是怎么知道这个的? 他们决定审核我们的信息安全管理体系,因为我们为他们提供会计服务和人事管理——因此,我们信息系统的安全对他们来说至关重要。 上一次审计是在三年前进行的——当时一切都进展顺利。
这次,一支友好的印度队伍袭击了我们,巧妙地发现了我们安全管理系统中的几十个缺陷。 审计过程就像轮回之轮——原则上他们似乎没有目标作为审计的一部分达到任何最终点。 这是一连串没完没了的问题、评论、我们的评论和现实证据、电话会议和冗长的哲学对话,试图识别客户 IT 安全团队的口音。 顺便说一句,审计至今仍在以不同程度的强度进行——随着时间的推移,我们已经接受了这一点。 因此,认证的需求自然而然地出现了。
也许我们可以用 ISO 9001 凑合一下吗?
每个对任何 ISO 标准的认证问题或多或少有了解的人都知道,每个标准的基础都是 ISO 9001“质量管理体系”证书。 这可能是目前整个 ISO 标准中最受欢迎的证书。 我们没有——而且我们决定不得到它。 造成这种情况的原因有几个:
- 持有该证书的公司的经济效益值得怀疑;
- 我们的内部流程在很大程度上已经接近这个标准;
- 获得此证书需要额外的时间和金钱。
因此,我们决定立即实施 ISO 27001,而不是从“更轻”的 9001 开始。
或者也许仍然没有必要?
展望未来,我们多次回到是否值得获得它的问题。 我们开始从各个方面研究这个问题,因为我们完全没有专业知识。 以下是一些误解,让我们再次思考这个问题。
误解#1。
我们希望该标准能为我们提供详细的清单、政策清单和其他法定文件。 事实上,ISO/IEC 27001 是对信息安全管理体系本身和正在构建的流程的一组要求。 基于这些,有必要独立决定在我们公司编写/实施什么以符合标准的要求。
误解#2。
我们真诚地相信,仅凭我们自己的力量,在较短的时间内研究并落实一个文件就足够了。 事实上,在阅读文档的同时,我们意识到我们的标准“坚持”了多少相关标准,有多少标准需要我们熟悉(至少表面上)。 蛋糕上的“樱桃”是缺乏公共领域的现行标准文本——它们必须在 ISO 官方网站上购买。
误解#3。
我们相信我们会在开源中找到准备认证所需的一切。 网上关于ISO 27001的资料确实不少,但比较缺乏具体内容。 实际上没有易于理解的准备认证的分步说明,也没有实施该标准的公司的真实案例。
误解#4。
我们会制定政策,但它们不会起作用! 嗯,确实如此,我们公司已经有太多的规定了,再有三打新的规定,没有人会遵守。 事实上,幸运的是,我们的员工认真负责地承担了掌握新规则的任务,并顺利通过了信息安全管理体系文件知识的测试。
误解#5。
当时,我们无法清楚地评估我们的努力会带来什么好处。 当时,申请该证书的数量还不是很多,而且早在认证之前我们就有了我们的关键客户和要求最高的客户。 经验表明,我们的管理没有标准。
在某些时候,我们意识到,由于客户的要求,我们正在混乱地缩小一个或另一个新出现的差距。 每次我们都会提出一些新的政策或解决方案。 而且我们最终独立得出的结论是,流程系统化会容易得多,甚至可以为我们未来节省大量的人力成本。 该标准旨在简化这项任务。
两年后的现在,我们看到主要国际客户对此问题的请求数量和兴趣呈增加趋势。
最终决定。
总之,我们想说的是,我们的行业领导者已经获得了 ISO/IEC 27001 认证,这迫使所有其他主要提供商(包括我们)思考这个问题。 毫无疑问,这是公司营销材料中的一句漂亮的话——在网站、社交网络、广告手册等上。 – 可以算是一个令人愉快的奖励,但是值得花费这么多资源吗? 我们自己决定,这对我们来说不仅仅是一条美丽的线路,因此我们参与了这个项目。
来源: habr.com