5 tahap adopsi sertifikasi ISO / IEC 27001 yang tidak terhindarkan. Tawar

Tahap ketiga dari respons emosional terhadap perubahan adalah tawar-menawar. Setelah berurusan dengan kemarahan dan komponen emosional kami, kami mulai berpikir tentang apa yang benar-benar perlu dilakukan agar semuanya bekerja untuk kami. Saatnya mempelajari standar lebih terinci, menerapkannya pada situasi kita saat ini dan menyesuaikan persyaratannya untuk perusahaan kita. Di sini penting dilakukan dengan "darah kecil" sambil memenuhi persyaratan standar. Setiap perubahan harus memadai - yaitu, sepadan dengan risiko yang sesuai. Biaya perlindungan tidak boleh melebihi kemungkinan kerusakan dari realisasi risiko.



gambar



Di jalan ini, kami harus menyelesaikan banyak pertanyaan yang belum pernah kami temui sebelumnya:



Memilih alat untuk bekerja di perpustakaan kebijakan



Pertanyaan pertama (tampaknya sangat sederhana) yang kami hadapi adalah di mana membuat dan bagaimana menyimpan semua dokumen yang diperlukan dari sistem manajemen keamanan informasi? Sangat penting bagi kami untuk mempertahankan versi dokumen dan dapat "memutar kembali" versi kebijakan beberapa revisi kembali. Setelah meninjau penawaran di pasar, kami memutuskan pada wiki Confluence - dan kami menggunakannya hingga hari ini.



Kita bisa menggunakan git sebagai sistem versi (kontrol versi), tetapi untuk kenyamanan pengguna, kami memilih solusi portal (Confluence). Kami berhasil membatasi diri ke versi gratis (hingga 10 pengguna yang berwenang): kami tidak perlu lagi, karena yang tidak sah dapat melihat perpustakaan.



Mempersiapkan rencana implementasi



Di sini kami tidak menerapkan metode kreatif apa pun - kami hanya meminta konsultan kami untuk daftar kebijakan yang diperlukan, menunjuk orang yang bertanggung jawab untuk penulisan dan persetujuan mereka, menuliskan tanggal-tanggal penting dan menjadikan semuanya dalam bentuk bagan Gantt (yang juga diunggah ke Confluence).



Penilaian risiko perusahaan



Jelas, untuk memilih cara perlindungan, kami perlu menilai risiko (untuk menghabiskan sumber daya hanya di tempat yang benar-benar dibutuhkan). Untuk melakukan ini, kami membuat daftar aset perusahaan yang kami rencanakan untuk lindungi - termasuk aset fisik (workstation, server, dokumen kertas, dll.) Dan tidak berwujud (informasi klien dalam bentuk elektronik, kata sandi, dll.) ).



Dengan bantuan tim ahli, setiap aset diberi nilai tertentu. Selanjutnya, kami menautkan ke masing-masing aset satu atau beberapa risiko di mana aset ini dapat terpapar (misalnya, dokumen kertas dapat dicuri, dihancurkan, dll.) Kemudian kami mengevaluasi signifikansi setiap risiko sebagai produk dari dua parameter: probabilitas risiko dan signifikansi konsekuensi dari realisasi risiko.



Setelah risiko dikategorikan ke dalam kelompok, kami memahami di antara mereka kita harus bekerja dengan di tempat pertama:







1. Kesenjangan dalam pengetahuan karyawan



Risiko yang paling umum adalah faktor manusia. Selain itu, kami disertifikasi untuk pertama kalinya, jadi kami memiliki pertanyaan tentang mengajarkan dasar-dasar keamanan informasi. Setelah mengembangkan program, kami menghadapi masalah mengotomatisasi proses ini dan mengendalikan sisa pengetahuan. Sebagai hasilnya, kami mulai menggunakan sistem pengujian yang telah kami bangun ke dalam portal perusahaan kami.



2. Kurangnya daya komputasi cadangan



Masalah ini membutuhkan sumber daya keuangan dan manusia yang besar, jadi pada akhirnya meninggalkannya salah. Kami telah memilih situs untuk membuat cadangan layanan utama kami: pada tahap awal, kami menggunakan IaaS (infrastruktur sebagai layanan), yang memungkinkan kami untuk dengan cepat dan anggaran mengatur cadangan layanan utama perusahaan; kemudian kami membeli peralatan tambahan dan menyiapkan cadangan di pusat data terpisah (lokasi bersama). Selanjutnya, kami meninggalkan solusi "cloud" untuk mendukung pusat data karena besarnya jumlah data.



3. Kontrol atas "pengguna super", serta atas mereka yang bekerja dengan informasi "khusus, sensitif"



Dengan kata lain, kami perlu melakukan kontrol terhadap pengguna yang memiliki akses luas ke informasi rahasia. Kami memecahkan masalah ini dengan bantuan sistem DLP. Kami memilih StaffCop perangkat lunak dalam negeri karena harganya yang wajar dan dukungan teknis yang baik.



Kebijakan penulisan



Di sini kami telah menghubungkan semua sumber daya yang mungkin:

- Menggunakan kebijakan perusahaan lain yang ditemukan dalam domain publik;

- contoh kebijakan yang diminta dari konsultan implementasi kami;

- menyusun teks kebijakan secara independen, berdasarkan persyaratan standar.
Pada akhirnya, itu adalah yang ketiga (jalur paling sulit) yang paling berhasil. Butuh waktu yang cukup lama, tetapi pada akhirnya kami menerima dokumen yang dirancang dengan baik, khusus untuk perusahaan kami. Jadi di pintu keluar kami mendapat 36 kebijakan dasar Sistem Manajemen Keamanan Informasi .



Distribusi peran



Jelas, tidak semua kebijakan ini benar-benar diperlukan bagi karyawan kami dalam pekerjaan sehari-hari. Agar tidak memaksa mereka membaca terlalu banyak, kami melakukan hal berikut: menugaskan setiap karyawan satu atau lebih peran dalam SMKI. Ada 5 dari mereka secara total:







Benar-benar semua karyawan memiliki setidaknya satu peran - "pengguna".



Dalam paspor masing-masing peran, kami menetapkan tanggung jawab yang sesuai di bidang keamanan informasi dengan lampiran daftar kebijakan yang harus dipatuhi karyawan dengan peran tertentu. Selain itu, untuk kenyamanan, kami telah membuat struktur organisasi grafis perusahaan yang menunjukkan peran setiap karyawan di dalamnya.



Melibatkan rekan kerja



Selain manajer proyek dan kepala departemen IT / IS, COO perusahaan terlibat dalam menilai risiko dan menggambarkan persyaratan pemangku kepentingan. Butuh keterlibatan signifikan dari kepala departemen SDM - dia perlu menjelaskan dalam kebijakan itu siklus hidup penuh karyawan: dari aplikasi untuk lowongan hingga periode setelah pemecatannya. Untungnya, semua kolega kami memahami pentingnya sertifikasi dan pergi menemui kami.



Aspek teknik



Selama proses persiapan, kami menyadari bahwa untuk memenuhi persyaratan standar, kami membutuhkan setidaknya yang berikut:

  • Pindahkan server ke pusat data eksternal;
  • Lengkapi semua kantor dengan ACS (kontrol akses dan sistem manajemen).
Di masa depan, banyak hal lain ditambahkan ke dua poin ini: pengenalan sistem DLP, peluncuran pusat data cadangan, pengenalan otorisasi dua faktor, dll.



Jadi, untuk menyesuaikan persyaratan standar dengan perusahaan kami, kami harus melakukan sejumlah besar pekerjaan.



Dalam materi sebelumnya:



5 tahap keniscayaan dari adopsi sertifikasi ISO / IEC 27001. Penolakan : kesalahpahaman tentang sertifikasi ISO 27001: 2013, keinginan sertifikasi /

5 tahap keniscayaan sertifikasi ISO / IEC 27001. Kemarahan : Mulai dari mana? Data awal. Beban. Memilih penyedia layanan.



All Articles