期望
在选择认证机构和顾问后,我们提出的第一个问题是我们需要多长时间进行所有必要的更改?
最初的工作计划已经安排好了,所以我们必须在3个月内见面。
一切看起来都很简单:有必要编写几十个策略并略微更改我们的内部流程;然后将变更通知给同事,然后再等待3个月(以便有“记录”,即政策生效的证据)。似乎仅此而已-证书就在我们的口袋里。
此外,我们不会从头开始写政客-毕竟,我们有一位顾问,正如我们认为的那样,必须为我们抛弃所有“正确”的模板。根据这些推论,我们为每个政策的准备留出了3天的时间。
技术更改也看上去并不令人生畏:必须设置事件的收集和存储,检查备份是否符合我们编写的策略,在必要时重新配备ACS机柜,以及其他一些小事情。
准备认证所需的一切的团队由两个人组成。我们计划让他们与主要职责并行进行实施,并且每个人每天最多需要1.5到2个小时。
总而言之,我们可以说我们对即将开展的工作量的看法是非常乐观的。
现实
实际上,情况自然是不同的:顾问提供的策略模板在很大程度上不适用于我们公司;互联网上几乎没有关于做什么和怎么做的明确信息。可以想象,“在3天之内编写一项策略”的计划失败了。因此,我们几乎从项目开始就停止了截止日期,心情开始慢慢下降。
团队的专业知识非常少,以至于无法向顾问提出正确的问题(顺便说一句,他并没有表现出太多的主动性),甚至还不够。从实施开始三个月以来(即一切准备就绪之时),案件开始变得更加缓慢,两名主要参与者之一离开了团队。接任IT服务的新负责人,他不得不在短时间内完成实施过程,并从技术角度为信息安全管理系统提供所有最必要的信息。任务看起来很艰巨……负责人开始感到沮丧。
另外,问题的技术方面也被证明是“细微的”。我们在工作站和服务器硬件上都面临着全球软件现代化的任务。在将系统配置为收集事件(日志)时,事实证明我们没有足够的硬件资源来正常运行系统。备份软件也需要升级。
扰流板警报:结果,在6个月内英勇地实施了ISMS。甚至没有人死!
变化最大的是什么?
当然,在引入标准的过程中,公司的过程中发生了许多小的变化。我们为您重点介绍了最重要的变化:
- 风险评估过程的正式化
以前,该公司没有任何正式的风险评估程序-只是作为整体战略计划的一部分而通过的。在认证框架内解决的最重要任务之一是公司风险评估政策的实施,该政策描述了该过程的所有阶段以及每个阶段的负责人。
- 控制可移动媒体
业务面临的重大风险之一是使用未加密的USB闪存驱动器:实际上,任何员工都可以在闪存驱动器上写给他的任何可用信息,充其量会丢失。作为认证的一部分,在员工的所有工作站上都禁止将任何信息下载到闪存驱动器的功能-信息记录只有通过IT部门的应用程序才能实现。
- 超级用户控制
主要问题之一是,IT部门的所有员工在公司所有系统中都拥有绝对权利-他们可以访问所有信息。同时,没有人真正控制他们。
我们已经实施了数据丢失预防(DLP)系统,这是一个员工控制程序,可以分析,阻止和警告危险和非生产性活动。现在,有关IT部门员工行动的通知会发送到公司COO的邮件中。
- 一种组织信息基础架构的方法
认证需要全球性的变化和方法。是的,由于负载增加,我们不得不升级许多服务器设备。特别是,我们为事件收集系统分配了单独的服务器。该服务器配备了大型且快速的SSD驱动器。我们放弃了用于备份的软件,而选择了具有开箱即用的所有必需功能的存储系统。我们朝着“基础架构即代码”的概念迈出了几大步,通过不备份许多服务器来节省了大量磁盘空间。在最短的时间内(1周),工作站上的所有软件都升级到Win10。升级解决的问题之一是启用加密的能力(在Pro版本中)。
- 控制纸质文件
该公司在使用纸质文件方面存在重大风险:它们可能会丢失,遗留在错误的位置或被不当破坏。为了最大程度地降低这种风险,我们已根据机密程度对所有纸质文件进行了标记,并制定了销毁各种类型文件的程序。现在,当员工打开文件夹或获取文件时,他确切地知道此信息属于什么类别以及如何处理。
- 租赁备用数据中心
以前,所有公司信息都存储在第三方安全数据中心中的服务器上。但是,该数据中心没有紧急程序。解决方案是租用备份云数据中心并在那里备份最重要的信息。现在,公司的信息存储在两个地理位置遥远的数据中心中,从而最大程度地降低了丢失信息的风险。
- 业务连续性测试
几年来,我们公司制定了业务连续性政策(BCP),其中描述了员工在各种负面情况(失去办公机会,流行病,停电等)中采取行动的程序。但是,我们从未测试过连续性-也就是说,我们从未衡量过在每种情况下恢复业务所需的时间。作为准备认证审核的一部分,我们不仅进行了这项工作,还制定了明年的业务连续性测试计划。值得注意的是,一年后,当我们面对完全切换到远程操作的需求时,我们在三天内完成了这项任务。
重要的是要注意所有准备认证的公司都有不同的起始条件-因此,在您的情况下,可能需要完全不同的更改。
员工对变化的反应
奇怪的是-在这里我们预料到了最坏的-事实并非如此糟糕。不能说同事们热情洋溢地收到了有关认证的消息,但以下内容显而易见:
- 所有关键员工都了解这次活动的重要性和必然性。
- 所有其他雇员与主要雇员相同。
当然,我们行业的细节对我们很有帮助-会计功能外包。我们的绝大多数员工在俄罗斯联邦法律不断变化的情况下都做得很好。因此,引入几十个新规则(现在需要遵守这些规则)对于他们来说并没有什么不同寻常。
我们为所有员工准备了新的强制性ISO 27001培训和测试。所有人都乖乖地从显示器上取下了带有密码的贴纸,并拆除了散落着文件的桌子。没有发现很大的不满-总的来说,我们对员工很幸运。
因此,我们已经经历了与业务流程变更相关的最痛苦的阶段-“抑郁症”。艰辛与艰辛,但结果最终超出了所有最疯狂的期望。
阅读该周期中的先前材料:
不可避免地要通过ISO / IEC 27001认证的5个阶段。拒绝:对ISO 27001:2013认证的误解,以及获得证书的可行性。
不可避免地要通过ISO / IEC 27001认证的5个阶段。昂热:从哪里开始?初始数据。花费。选择提供者。
不可避免地要通过ISO / IEC 27001认证的5个阶段。讨价还价:准备实施计划,评估风险,制定政策。
不可避免地要通过ISO / IEC 27001认证的5个阶段。萧条。
不可避免地要通过ISO / IEC 27001认证的5个阶段。采用。