在為公司做出任何具有策略意義的決策時,員工都會經歷一種基本的防禦機制,即眾所周知的應對變革的 5 個階段(作者:E. Kübler-Ross)。 一位著名的心理學家曾經描述過情緒反應,強調了情緒反應的 5 個關鍵階段: 否定, 憤怒, 便宜貨, 蕭條 最後, 採用。 我們準備了一系列專門針對 ISO 27001 認證的文章,我們將研究其中的每個階段。 今天我們要談第一個──否認。
「為了展示」獲得 ISO 27001 證書是一種非常可疑的樂趣,因為它需要漫長而昂貴的準備。 而且,正如它所表明的 ,該標準在俄羅斯聯邦極不受歡迎:迄今為止,只有 70 家公司獲得了合規認證。 同時,這是國外最受歡迎的標準之一,滿足了資訊安全領域不斷增長的業務需求。
我們公司為會計職能提供全方位的外包服務:會計和稅務會計、薪資和人事管理。 我們佔據領先的市場地位之一,特別是因為在俄羅斯設有分支機構的外國公司信任我們將其機密資訊提供給我們。 這不僅適用於我們客戶的財務流程,也適用於我們日常處理的個人資料。 在這方面,資訊安全問題是我們的首要任務之一。
通常,俄羅斯部門的所有業務流程均由外國公司總部控制和聲明,因此必須遵守集團內部標準。 最近,我們的一些主要客戶已經開始修改其安全策略,以加強安全策略。 當然,這是由於全球網路攻擊和資訊安全漏洞事件相關損失不斷增加的趨勢。如果有必要實施旨在提高公司資訊安全的保護措施、政策和程序,則可以不用ISO /IEC 27001認證,從而節省大量金錢、時間和精力。
如今,公司現有資訊安全的要求已經開始出現在國外客戶的招標中。 有些為了簡化驗證並統一方法,設定了強制性評估標準 - ISO/IEC 27001 認證的存在。
以下是我們所看到的情況:通過此標準認證的我們的主要國際客戶之一似乎顯著加強了其全球資訊安全團隊。 我們是怎麼知道這個的? 他們決定審查我們的資訊安全管理體系,因為我們為他們提供會計服務和人事管理——因此,我們資訊系統的安全對他們來說至關重要。 上一次審計是在三年前進行的——當時一切都很順利。
這一次,一支友好的印度隊伍襲擊了我們,巧妙地發現了我們安全管理系統中的數十個缺陷。 審計過程就像輪迴之輪一樣——原則上他們似乎沒有目標作為審計的一部分達到任何最終點。 這是一連串沒完沒了的問題、評論、我們的評論和現實證據、電話會議和冗長的哲學對話,試圖識別客戶 IT 安全團隊的口音。 順便說一句,審計至今仍在以不同程度的強度進行——隨著時間的推移,我們已經接受了這一點。 因此,認證的需求自然而然地出現了。
或許我們可以用 ISO 9001 湊合一下嗎?
每個對任何 ISO 標準的認證問題或多或少有了解的人都知道,每個標準的基礎都是 ISO 9001「品質管理系統」證書。 這可能是目前整個 ISO 標準中最受歡迎的證書。 我們沒有——而且我們決定不得到它。 造成這種情況的原因有幾個:
- 持有該證書的公司的經濟效益值得懷疑;
- 我們的內部流程在很大程度上已經接近這個標準;
- 獲得此證書需要額外的時間和金錢。
因此,我們決定立即實施 ISO 27001,而不是從「更輕」的 9001 開始。
或者也許仍然沒有必要?
展望未來,我們多次回到是否值得獲得它的問題。 我們開始從各個方面研究這個問題,因為我們完全沒有專業知識。 以下是一些誤解,讓我們再次思考這個問題。
誤解#1。
我們希望該標準能為我們提供詳細的清單、政策清單和其他法定文件。 事實上,ISO/IEC 27001 是資訊安全管理系統本身和正在建構的流程的一組要求。 基於這些,有必要獨立決定在我們公司編寫/實施什麼以符合標準的要求。
誤解#2。
我們真誠地相信,僅憑我們自己的力量,在較短的時間內研究並落實一份文件就足夠了。 事實上,在閱讀文件的同時,我們意識到我們的標準「堅持」了多少相關標準,有多少標準需要我們熟悉(至少表面上)。 蛋糕上的「櫻桃」是缺乏公共領域的現行標準文本——它們必須在 ISO 官方網站上購買。
誤解#3。
我們相信我們會在開源中找到準備認證所需的一切。 網路上關於ISO 27001的資料確實不少,但比較缺乏具體內容。 實際上沒有易於理解的準備認證的分步說明,也沒有實施該標準的公司的真實案例。
誤解#4。
我們會制定政策,但它們不會起作用! 嗯,確實如此,我們公司已經有太多的規定了,再有三打新的規定,沒有人會遵守。 事實上,幸運的是,我們的員工認真負責地承擔了掌握新規則的任務,並順利通過了資訊安全管理系統文件知識的測試。
誤解#5。
當時,我們無法清楚評估我們的努力會帶來什麼好處。 當時,申請該證書的數量還不是很多,而且早在認證之前我們就有了我們的關鍵客戶和要求最高的客戶。 經驗表明,我們的管理沒有標準。
在某些時候,我們意識到,由於客戶的要求,我們正在混亂地縮小一個或另一個新出現的差距。 每次我們都會提出一些新的政策或解決方案。 而我們最終獨立得出的結論是,流程系統化會容易得多,甚至可以為我們未來節省大量的人力成本。 該標準旨在簡化這項任務。
兩年後的現在,我們看到主要國際客戶對此問題的請求數量和興趣呈現增加趨勢。
最終決定。
總而言之,我們想說的是,我們的產業領導者已經獲得了 ISO/IEC 27001 認證,這迫使所有其他主要提供者(包括我們)思考這個問題。 毫無疑問,這是公司行銷資料中的一句漂亮的話——在網站、社群網路、廣告手冊等。 – 可以算是令人愉快的獎勵,但是值得花費這麼多資源嗎? 我們自己決定,這對我們來說不僅僅是一條美麗的線路,因此我們參與了這個項目。
來源: www.habr.com