5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. كآبة

المرحلة الرابعة من الاستجابة العاطفية للتغيير هي الاكتئاب. في هذه المقالة ، سنخبرك عن تجربتنا في المرور بأكثر المراحل التي طال أمدها وغير السارة - التغييرات في عمليات أعمال الشركة من أجل تحقيق امتثالها لمعيار ISO 27001.

توقع

كان السؤال الأول الذي طرحناه بعد اختيار جهة تصديق واستشاري هو كم من الوقت سيستغرق الأمر بالنسبة لنا لإجراء جميع التغييرات اللازمة؟



تمت جدولة خطة العمل الأصلية بحيث كان علينا أن نلتقي في غضون 3 أشهر.







بدا كل شيء بسيطًا: كان من الضروري كتابة بضع عشرات من السياسات وإجراء تغيير طفيف في عملياتنا الداخلية ؛ ثم قم بتعليم التغييرات للزملاء وانتظر 3 أشهر أخرى (بحيث تكون هناك "سجلات" ، أي دليل على عمل السياسات). يبدو أن هذا كان كل شيء - والشهادة كانت في جيبنا.

بالإضافة إلى ذلك ، لم نكن نكتب سياسيين من الصفر - بعد كل شيء ، كان لدينا مستشار ، كما اعتقدنا ، كان عليه التخلص من جميع القوالب "الصحيحة" بالنسبة لنا.

نتيجة لهذه الاستنتاجات ، خصصنا 3 أيام لإعداد كل سياسة.



لم تكن التغييرات الفنية أيضًا مخيفة: كان من الضروري إعداد مجموعة الأحداث وتخزينها ، والتحقق مما إذا كانت النسخ الاحتياطية تتوافق مع السياسة التي كتبناها ، وتجهيز خزانات ACS ، عند الضرورة ، وبعض الأشياء الصغيرة الأخرى.

يتألف الفريق الذي يعد كل ما هو مطلوب للحصول على الشهادة من شخصين. خططنا أنهم سيشاركون في التنفيذ بالتوازي مع مسؤولياتهم الرئيسية ، وسيستغرق كل منهم 1.5-2 ساعة كحد أقصى في اليوم.

باختصار ، يمكننا القول إن نظرتنا إلى حجم العمل القادم كانت متفائلة للغاية.

واقع

في الواقع ، كانت الأمور مختلفة بشكل طبيعي: فقد تبين أن نماذج السياسات التي قدمها الاستشاري غير قابلة للتطبيق في الغالب على شركتنا ؛ لم تكن هناك معلومات واضحة تقريبًا على الإنترنت حول ما يجب القيام به وكيفية القيام به. كما يمكنك أن تتخيل ، فشلت خطة "كتابة سياسة واحدة في 3 أيام" فشلاً ذريعاً. لذلك توقفنا عن الوفاء بالمواعيد النهائية تقريبًا منذ بداية المشروع ، وبدأت درجة المزاج تنخفض ببطء.







كانت خبرة الفريق صغيرة بشكل كارثي - لدرجة أنه لم يكن كافيًا طرح الأسئلة الصحيحة على الاستشاري (الذي ، بالمناسبة ، لم يُظهر الكثير من المبادرة). بدأت الحالة تتحرك ببطء أكبر ، لأنه بعد 3 أشهر من بدء التنفيذ (أي في الوقت الذي كان يجب أن يكون كل شيء جاهزًا) ، غادر أحد المشاركين الرئيسيين الفريق. حل محله رئيس جديد لخدمة تكنولوجيا المعلومات ، والذي كان عليه إكمال عملية التنفيذ في وقت قصير وتزويد نظام إدارة أمن المعلومات بكل ما هو ضروري من الناحية الفنية. بدت المهمة شاقة ... بدأ المسؤولون يشعرون بالاكتئاب.



بالإضافة إلى ذلك ، تبين أيضًا أن الجانب الفني للقضية "دقيق". لقد واجهنا التحدي المتمثل في ترقية البرامج العالمية على كل من محطات العمل وأجهزة الخادم. أثناء تكوين النظام لتجميع الأحداث (السجلات) ، اتضح أنه لم يكن لدينا موارد أجهزة كافية للتشغيل العادي للنظام. كما احتاج برنامج النسخ الاحتياطي إلى ترقية.

تنبيه المفسد: نتيجة لذلك ، تم تنفيذ ISMS بشكل بطولي في 6 أشهر. ولم يمت أحد!

ما الذي تغير أكثر؟

بالطبع ، في عملية إدخال المعيار ، حدث عدد كبير من التغييرات الصغيرة في عمليات الشركة. لقد أبرزنا لك أهم التغييرات:

• إضفاء الطابع الرسمي على عملية تقييم المخاطر

في السابق ، لم يكن لدى الشركة أي إجراء رسمي لتقييم المخاطر - فقد تم ذلك فقط بالمرور كجزء من التخطيط الاستراتيجي الشامل. من أهم المهام التي تم حلها في إطار إصدار الشهادات تنفيذ سياسة تقييم مخاطر الشركة ، والتي تصف جميع مراحل هذه العملية والأشخاص المسؤولين عن كل مرحلة.

• السيطرة على الوسائط القابلة للإزالة

كان استخدام محركات أقراص USB المحمولة غير المشفرة أحد المخاطر الكبيرة على الأعمال التجارية: في الواقع ، يمكن لأي موظف كتابة أي معلومات متاحة له على محرك أقراص محمول ، وفي أفضل الأحوال ، يفقدها. كجزء من الشهادة ، تم تعطيل القدرة على تنزيل أي معلومات على محركات أقراص فلاش في جميع محطات عمل الموظفين - أصبح تسجيل المعلومات ممكنًا فقط من خلال تطبيق لقسم تكنولوجيا المعلومات.

• التحكم الخارق

كانت إحدى المشكلات الرئيسية هي حقيقة أن جميع موظفي قسم تكنولوجيا المعلومات لديهم حقوق مطلقة في جميع أنظمة الشركة - كان لديهم حق الوصول إلى جميع المعلومات. في الوقت نفسه ، لم يسيطر عليهم أحد حقًا.



لقد قمنا بتطبيق نظام منع فقدان البيانات (DLP) ، وهو برنامج للتحكم في الموظفين يقوم بتحليل وحظر وتنبيهات الأنشطة الخطرة وغير المنتجة. الآن تأتي الإخطارات حول إجراءات موظفي قسم تكنولوجيا المعلومات إلى بريد COO للشركة.

• نهج لتنظيم البنية التحتية للمعلومات

تتطلب الشهادة تغييرات ونهج عالمية. نعم ، كان علينا ترقية عدد من معدات الخادم بسبب زيادة الحمل. على وجه الخصوص ، قمنا بتخصيص خادم منفصل لأنظمة تجميع الأحداث. تم تجهيز الخادم بمحركات أقراص SSD كبيرة وسريعة. تخلينا عن برنامج النسخ الاحتياطية واخترنا أنظمة التخزين التي تتمتع بجميع الوظائف الضرورية خارج الصندوق. لقد اتخذنا العديد من الخطوات الكبيرة نحو مفهوم "البنية التحتية كرمز" ، والذي وفر الكثير من مساحة القرص من خلال عدم نسخ عدد من الخوادم احتياطيًا. في أقصر وقت ممكن (أسبوع واحد) ، تمت ترقية جميع البرامج الموجودة على محطات العمل إلى Win10. كانت إحدى المشكلات التي تم حلها من خلال الترقية هي القدرة على تمكين التشفير (في إصدار Pro).

• التحكم في المستندات الورقية

واجهت الشركة مخاطر كبيرة مرتبطة باستخدام المستندات الورقية: فقد تُفقد أو تُترك في المكان الخطأ أو تُتلف بشكل غير صحيح. لتقليل هذه المخاطر ، قمنا بتمييز جميع المستندات الورقية وفقًا لدرجة السرية وقمنا بتطوير إجراء لإتلاف أنواع مختلفة من المستندات. الآن ، عندما يفتح موظف مجلدًا أو يأخذ مستندًا ، فهو يعرف بالضبط الفئة التي تقع فيها هذه المعلومات وكيفية التعامل معها.

• استئجار مركز احتياطي للبيانات

في السابق ، تم تخزين جميع معلومات الشركة على خوادم موجودة في مركز بيانات آمن تابع لجهة خارجية. ومع ذلك ، لم تكن هناك إجراءات طارئة في مركز البيانات هذا. كان الحل هو استئجار مركز بيانات سحابي احتياطي وعمل نسخة احتياطية من أهم المعلومات هناك. الآن يتم تخزين معلومات الشركة في مركزي بيانات عن بعد جغرافيًا ، مما يقلل من مخاطر فقدانها.

• اختبار استمرارية الأعمال

لعدة سنوات ، كانت لشركتنا سياسة استمرارية الأعمال (BCP) التي تصف الإجراء الخاص بالموظفين للتصرف في سيناريوهات سلبية مختلفة (فقدان الوصول إلى المكتب ، والوباء ، وانقطاع التيار الكهربائي ، وما إلى ذلك). ومع ذلك ، لم نختبر الاستمرارية مطلقًا - أي أننا لم نقيس أبدًا المدة التي سيستغرقها استرداد نشاط تجاري في كل من هذه المواقف. كجزء من التحضير لتدقيق الشهادة ، لم نقم بذلك فحسب ، بل طورنا أيضًا خطة اختبار استمرارية الأعمال للعام المقبل. وتجدر الإشارة إلى أنه بعد مرور عام ، عندما واجهتنا الحاجة إلى التحول الكامل إلى التشغيل عن بُعد ، تعاملنا مع هذه المهمة في غضون ثلاثة أيام.







من المهم أن نلاحظأن جميع الشركات التي تستعد للحصول على الشهادة لها شروط بدء مختلفة - لذلك ، في حالتك ، قد تكون هناك حاجة لتغييرات مختلفة تمامًا.

رد فعل الموظف على التغييرات

الغريب - هنا توقعنا الأسوأ - اتضح أنه ليس سيئًا للغاية. لا يمكن القول إن الزملاء تلقوا الأخبار الخاصة بالشهادة بحماس كبير ، لكن ما يلي كان واضحًا:

• فهم جميع الموظفين الرئيسيين أهمية وحتمية هذا الحدث ؛
• جميع الموظفين الآخرين متساوون مع الموظفين الرئيسيين.

بالطبع ، ساعدتنا تفاصيل صناعتنا كثيرًا - الاستعانة بمصادر خارجية لوظائف المحاسبة. تقوم الغالبية العظمى من موظفينا بعمل ممتاز مع التغييرات المستمرة في تشريعات الاتحاد الروسي. وبناءً على ذلك ، فإن إدخال بضع عشرات من القواعد الجديدة ، التي يجب الآن مراعاتها ، لم يصبح شيئًا غير عادي بالنسبة لهم.



لقد قمنا بإعداد تدريب واختبار ISO 27001 إلزامي جديد لجميع موظفينا. أزال الجميع بطاعة الملصقات بكلمات مرور من شاشاتهم وفككوا الطاولات المليئة بالوثائق. لم يلاحظ أي استياء صاخب - بشكل عام ، كنا محظوظين جدًا مع الموظفين.



وبالتالي ، فقد تجاوزنا المرحلة الأكثر إيلامًا - "الاكتئاب" - المرتبطة بالتغيرات في عملياتنا التجارية. كان الأمر صعبًا وصعبًا ، لكن النتيجة تجاوزت في النهاية كل التوقعات الجامحة.



اقرأ المواد السابقة من الدورة:



5 مراحل حتمية اعتماد شهادة ISO / IEC 27001. الرفض: مفاهيم خاطئة حول شهادة ISO 27001: 2013 ، وجدوى الحصول على الشهادة.



5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. الغضب: من أين نبدأ؟ بيانات أولية. نفقات. اختيار مزود.



5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. المساومة: إعداد خطة التنفيذ ، وتقييم المخاطر ، وكتابة السياسات.



5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. كآبة.



5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. تبني.