對變化的情緒反應的第四階段是憂鬱。 在這篇文章中,我們將向您講述我們經歷的最漫長、最不愉快的階段的經歷——關於公司業務流程的改變,以實現其符合 ISO 27001 標準。
期望
選擇認證機構和顧問後,我們問自己的第一個問題是我們真正需要多少時間來進行所有必要的更改?
最初的工作計畫是這樣安排的,我們必須在3個月內完成。
一切看起來都很簡單:需要寫幾十個政策並稍微改變我們的內部流程; 然後對同事進行有關更改的培訓,並再等待 3 個月(以便出現“記錄”,即政策發揮作用的證據)。 似乎僅此而已 - 證書就在我們的口袋裡。
此外,我們不會從頭開始編寫策略 - 畢竟,我們有一位顧問,正如我們所想的那樣,他應該為我們提供所有「正確」的模板。
根據這些結論,我們分配了 3 天的時間來準備每項政策。
技術變化看起來也不令人畏懼:有必要設置事件的收集和存儲,檢查備份是否符合我們編寫的策略,在必要時用訪問控制系統改造辦公室,以及其他一些小事情。
準備認證所需一切的團隊由兩人組成。 我們計劃讓他們在履行主要職責的同時參與實施,這將佔用他們每天最多 1,5-2 小時的時間。
總而言之,我們可以說我們對即將到來的工作範圍的看法相當樂觀。
現實
事實上,一切自然不同:顧問提供的政策範本對我們公司來說大多不適用; 網路上幾乎沒有關於做什麼以及如何做的明確資訊。 可想而知,「三天寫一份保單」的計畫慘遭失敗。 所以我們幾乎從專案一開始就不再準時完成任務,我們的情緒也開始慢慢下降。
團隊的專業知識非常少,以至於甚至不足以向顧問提出正確的問題(順便說一句,顧問沒有表現出太多主動性)。 事情開始變得更加緩慢,因為在實施開始三個月後(也就是一切應該準備就緒的時刻),兩名關鍵參與者之一離開了團隊。 他被新的 IT 服務負責人取代,後者必須快速完成實施過程,並為資訊安全管理系統提供從技術角度來看最必要的一切。 任務看起來很艱鉅……負責人開始鬱悶。
此外,技術方面的問題也存在「細微差別」。 我們面臨著工作站和伺服器設備上的全球軟體現代化的任務。 在設定係統收集事件(日誌)時,發現我們沒有足夠的硬體資源來確保系統的正常運作。 備份軟體也需要現代化。
劇透:結果,ISMS 在 6 個月內就被英勇地實施了。 甚至沒有人死亡!
變化最大的是什麼?
當然,在標準實施過程中,公司的流程發生了大量的小變化。 我們為您重點介紹了最重要的變化:
- 風險評估流程正式化
在此之前,該公司沒有正式的風險評估流程——只是作為整體策略規劃的一部分順便完成。 作為認證的一部分解決的最重要的任務之一是實施公司的風險評估政策,該政策描述了流程的所有階段以及每個階段的負責人。
- 可移動儲存媒體的控制
企業面臨的重大風險之一是使用未加密的 USB 隨身碟:事實上,任何員工都可以在隨身碟上寫入任何可用的信息,但最多可能會遺失。 作為認證的一部分,所有員工工作站都禁用了將任何資訊下載到隨身碟的功能 - 只有透過向 IT 部門申請才能記錄資訊。
- 超級用戶控制
主要問題之一是所有 IT 部門員工在所有公司係統中都擁有絕對權利 - 他們可以存取所有資訊。 同時,沒有人真正控制他們。
我們實施了資料遺失防護 (DLP) 系統,這是一個監控員工行為的計劃,可分析、阻止和警告危險和非生產性活動。 現在,有關 IT 部門員工行為的警報會發送到公司營運總監的電子郵件地址。
- 組織資訊基礎設施的方法
認證需要全球性的變革和方法。 是的,由於負載增加,我們不得不升級一些伺服器設備。 特別是,我們為事件收集系統提供了專用的單獨伺服器。 該伺服器配備了大型且快速的 SSD 硬碟。 我們放棄了備份軟體,並選擇了具有開箱即用的所有必要功能的儲存系統。 我們朝著「基礎設施即程式碼」的概念邁出了幾大步,這使我們能夠透過消除大量伺服器的備份來節省大量磁碟空間。 在最短的時間內(1週),工作站上的所有軟體都升級到了Win10。 現代化解決的問題之一是啟用加密的能力(在專業版中)。
- 對紙本文件的控制
該公司面臨著與使用紙本文件相關的重大風險:它們可能會遺失、留在錯誤的地方或被不當銷毀。 為了最大限度地降低這種風險,我們根據機密等級對所有紙本文件進行了標記,並制定了銷毀不同類型文件的程序。 現在,當員工打開資料夾或取得文件時,他確切地知道這些資訊屬於哪個類別以及如何處理它。
- 租用備份資料中心
此前,所有公司資訊都儲存在位於第三方安全資料中心的伺服器上。 然而,該資料中心並沒有製定應急程序。 解決方案是租用一個備份雲端資料中心並在那裡備份最重要的資訊。 目前,該公司的資訊儲存在兩個地理位置偏遠的資料中心,最大限度地降低了資訊遺失的風險。
- 業務連續性測試
我們公司多年來一直制定業務連續性政策(BCP),該政策描述了員工在各種負面情況(無法進入辦公室、流行病、停電等)下應該做什麼。 然而,我們從未進行過連續性測試——也就是說,我們從未測量過在每種情況下恢復業務需要多長時間。 在準備認證審核的過程中,我們不僅做到了這一點,還制定了來年的業務連續性測試計畫。 值得注意的是,一年後,當我們面臨完全切換到遠距工作的需求時,我們在三天內完成了這項任務。
重要的是要注意,所有準備認證的公司都有不同的起始條件 - 因此,就您而言,可能需要完全不同的變更。
員工對變革的反應
奇怪的是——我們做了最壞的打算——結果並沒有那麼糟。 不能說同事收到認證訊息時熱情高漲,但可以明確以下幾點:
- 所有骨幹員工都明白這項活動的重要性與必然性;
- 所有其他員工都尊敬關鍵員工。
當然,我們行業的具體情況對我們幫助很大——會計職能外包。 我們絕大多數員工都能很好地應對俄羅斯立法的不斷變化。 因此,現在必須遵守的幾十條新規則的出台對他們來說並不是什麼不尋常的事情。
我們為所有員工準備了新的強制性 ISO 27001 培訓和測試。 大家都乖乖地把顯示器上寫著密碼的便條紙拿掉,並清理了辦公桌上堆滿的文件。 沒有註意到任何強烈的不滿——總的來說,我們的員工非常幸運。
因此,我們已經度過了與業務流程變化相關的最痛苦的階段—「憂鬱」階段。 雖然很艱難,但最終的結果超出了我們所有最瘋狂的預期。
閱讀該系列之前的材料:
ISO/IEC 5 認證不可避免的 27001 個階段。 沮喪。
ISO/IEC 5 認證不可避免的 27001 個階段。 採用。
來源: www.habr.com