Harapan
Pertanyaan pertama yang kami tanyakan setelah memilih otoritas sertifikasi dan konsultan adalah berapa lama waktu yang kami butuhkan untuk membuat semua perubahan yang diperlukan?
Rencana kerja awal dijadwalkan sehingga kami harus bertemu dalam 3 bulan.
Semuanya tampak sederhana: perlu menulis beberapa lusin kebijakan dan sedikit mengubah proses internal kami; kemudian ajarkan perubahan tersebut kepada rekan kerja dan tunggu 3 bulan lagi (agar ada "catatan", yaitu bukti berfungsinya kebijakan). Tampaknya hanya itu - dan sertifikat itu ada di saku kami.
Selain itu, kami tidak akan menulis politisi dari nol - lagipula, kami memiliki konsultan yang, seperti yang kami duga, harus membuang semua templat yang "benar" untuk kami.Sebagai hasil dari kesimpulan ini, kami menyisihkan 3 hari untuk persiapan setiap kebijakan.
Perubahan teknis juga tidak terlihat mengintimidasi: perlu menyiapkan pengumpulan dan penyimpanan acara, memeriksa apakah cadangan sesuai dengan kebijakan yang kami tulis, melengkapi lemari ACS, jika perlu, dan beberapa hal kecil lainnya.
Tim yang mempersiapkan segala keperluan untuk sertifikasi terdiri dari dua orang. Kami merencanakan bahwa mereka akan dilibatkan dalam implementasi sejalan dengan tanggung jawab utama mereka, dan masing-masing akan memakan waktu maksimal 1,5-2 jam sehari.
Singkatnya, kami dapat mengatakan bahwa pandangan kami tentang volume pekerjaan yang akan datang cukup optimis.
Realitas
Faktanya, tentu saja, semuanya berbeda: templat kebijakan yang disediakan oleh konsultan ternyata sebagian besar tidak dapat diterapkan oleh perusahaan kami; hampir tidak ada informasi yang jelas di Internet tentang apa dan bagaimana melakukannya. Seperti yang dapat Anda bayangkan, rencana untuk "menulis satu polis dalam 3 hari" gagal total. Jadi kami berhenti memenuhi tenggat waktu hampir sejak awal proyek, dan tingkat suasana hati mulai menurun secara perlahan.
Keahlian tim sangat kecil - begitu banyak sehingga bahkan tidak cukup untuk mengajukan pertanyaan yang tepat kepada konsultan (yang, omong-omong, tidak menunjukkan banyak inisiatif). Kasus ini mulai bergerak lebih lambat, sejak 3 bulan setelah dimulainya implementasi (yaitu, pada saat segala sesuatu seharusnya sudah siap), salah satu dari dua peserta kunci keluar dari tim. Sebagai gantinya datanglah seorang kepala layanan TI yang baru, yang harus menyelesaikan proses implementasi dalam waktu singkat dan menyediakan sistem manajemen keamanan informasi dengan semua yang paling diperlukan dari sudut pandang teknis. Tugas itu tampak menakutkan ... Mereka yang bertanggung jawab mulai mengalami depresi.
Selain itu, masalah sisi teknis juga ternyata "bernuansa". Kami menghadapi tugas modernisasi perangkat lunak global baik di workstation maupun di perangkat keras server. Saat mengonfigurasi sistem untuk mengumpulkan peristiwa (log), ternyata kami tidak memiliki sumber daya perangkat keras yang cukup untuk berfungsinya sistem secara normal. Dan perangkat lunak cadangan juga perlu ditingkatkan.
Peringatan spoiler: Akibatnya, ISMS diimplementasikan secara heroik dalam 6 bulan. Dan bahkan tidak ada yang mati!
Apa yang paling berubah?
Tentu saja, dalam proses pengenalan standar, sejumlah besar perubahan kecil terjadi dalam proses perusahaan. Kami telah menyoroti perubahan paling signifikan untuk Anda:
- Formalisasi proses penilaian risiko
Sebelumnya, perusahaan tidak memiliki prosedur penilaian risiko formal - hal itu dilakukan hanya sepintas sebagai bagian dari perencanaan strategis secara keseluruhan. Salah satu tugas terpenting yang diselesaikan dalam kerangka sertifikasi adalah pelaksanaan Kebijakan Penilaian Risiko Perusahaan, yang menjelaskan semua tahapan proses ini dan orang-orang yang bertanggung jawab untuk setiap tahap.
- Kontrol atas media yang dapat dilepas
Salah satu risiko signifikan bagi bisnis adalah penggunaan flash drive USB yang tidak terenkripsi: sebenarnya, setiap karyawan dapat menulis informasi apa pun yang tersedia untuknya di USB flash drive dan, paling banter, kehilangannya. Sebagai bagian dari sertifikasi, kemampuan untuk mengunduh informasi apa pun ke flash drive dinonaktifkan di semua workstation karyawan - merekam informasi menjadi mungkin hanya melalui aplikasi ke departemen TI.
- Kontrol pengguna super
Salah satu masalah utama adalah kenyataan bahwa semua karyawan departemen TI memiliki hak mutlak di semua sistem perusahaan - mereka memiliki akses ke semua informasi. Pada saat yang sama, tidak ada yang benar-benar mengendalikan mereka.
Kami telah menerapkan sistem Pencegahan Kehilangan Data (DLP), sebuah program untuk memantau tindakan karyawan yang menganalisis, memblokir, dan memberi peringatan tentang aktivitas berbahaya dan tidak produktif. Sekarang pemberitahuan tentang tindakan karyawan departemen TI datang ke surat COO perusahaan.
- Pendekatan untuk mengatur infrastruktur informasi
Sertifikasi membutuhkan perubahan dan pendekatan global. Ya, kami harus meningkatkan sejumlah peralatan server karena peningkatan beban. Secara khusus, kami telah mengalokasikan server terpisah untuk sistem kumpulan acara. Server dilengkapi dengan drive SSD yang besar dan cepat. Kami meninggalkan perangkat lunak untuk pencadangan dan memilih sistem penyimpanan yang memiliki semua fungsi yang diperlukan di luar kotak. Kami mengambil beberapa langkah besar menuju konsep "infrastruktur sebagai kode", yang menghemat banyak ruang disk dengan tidak mencadangkan sejumlah server. Dalam waktu sesingkat mungkin (1 minggu), semua perangkat lunak di workstation ditingkatkan ke Win10. Salah satu masalah yang diselesaikan oleh pemutakhiran adalah kemampuan untuk mengaktifkan enkripsi (dalam versi Pro).
- Kontrol atas dokumen kertas
Perusahaan memiliki risiko signifikan terkait dengan penggunaan dokumen kertas: dokumen tersebut bisa hilang, ditinggalkan di tempat yang salah, atau dihancurkan dengan tidak semestinya. Untuk meminimalkan risiko ini, kami telah menandai semua dokumen kertas sesuai dengan tingkat kerahasiaannya dan telah mengembangkan prosedur untuk penghancuran berbagai jenis dokumen. Sekarang, ketika seorang karyawan membuka folder atau mengambil dokumen, dia tahu persis apa kategori informasi ini dan bagaimana menanganinya.
- Sewa pusat data cadangan
Sebelumnya, semua informasi perusahaan disimpan di server yang terletak di pusat data aman pihak ketiga. Namun, tidak ada prosedur darurat di pusat data ini. Solusinya adalah menyewa pusat data cloud cadangan dan mencadangkan informasi terpenting di sana. Sekarang informasi perusahaan disimpan di dua pusat data yang jauh secara geografis, yang meminimalkan risiko kehilangannya.
- Pengujian Kontinuitas Bisnis
Selama beberapa tahun, perusahaan kami telah memiliki Business Continuity Policy (BCP), yang menjelaskan prosedur bagi karyawan untuk bertindak dalam berbagai skenario negatif (kehilangan akses ke kantor, wabah penyakit, pemadaman listrik, dan sebagainya). Namun, kami tidak pernah menguji kontinuitas - yaitu, kami tidak pernah mengukur berapa lama waktu yang dibutuhkan untuk memulihkan bisnis dalam setiap situasi ini. Sebagai bagian dari persiapan audit sertifikasi, kami tidak hanya melakukan ini, tetapi juga mengembangkan rencana uji keberlanjutan bisnis untuk tahun depan. Perlu dicatat bahwa setahun kemudian, ketika kami dihadapkan pada kebutuhan untuk sepenuhnya beralih ke operasi jarak jauh, kami mengatasi tugas ini dalam tiga hari.
Ini penting untuk diperhatikanbahwa semua perusahaan yang mempersiapkan sertifikasi memiliki kondisi awal yang berbeda - oleh karena itu, dalam kasus Anda, perubahan yang sama sekali berbeda mungkin diperlukan.
Reaksi karyawan terhadap perubahan
Anehnya - di sini kami mengharapkan yang terburuk - ternyata tidak terlalu buruk. Tidak bisa dikatakan bahwa rekan kerja menerima berita tentang sertifikasi dengan sangat antusias, namun yang jelas berikut ini:
- Semua karyawan kunci memahami pentingnya dan keniscayaan acara ini;
- Semua karyawan lainnya setara dengan karyawan kunci.
Tentu saja, kami sangat terbantu dengan spesifikasi industri kami - alih daya fungsi akuntansi. Sebagian besar karyawan kami melakukan pekerjaan luar biasa dengan perubahan konstan dalam undang-undang Federasi Rusia. Oleh karena itu, pengenalan beberapa lusin aturan baru, yang sekarang perlu dicermati, tidak menjadi sesuatu yang luar biasa bagi mereka.
Kami telah menyiapkan pelatihan dan pengujian ISO 27001 wajib baru untuk semua karyawan kami. Semua dengan patuh melepas stiker dengan kata sandi dari monitor mereka dan membongkar meja yang dipenuhi dokumen. Tidak ada ketidakpuasan yang terdengar - secara umum, kami sangat beruntung dengan karyawan.
Jadi, kita telah melewati tahap yang paling menyakitkan - "depresi" - terkait dengan perubahan dalam proses bisnis kita. Itu sulit dan sulit, tetapi hasilnya pada akhirnya melebihi semua harapan terliar.
Baca materi sebelumnya dari siklus:
5 tahap yang tidak dapat dihindari dari penerapan sertifikasi ISO / IEC 27001. Penolakan: kesalahpahaman tentang sertifikasi ISO 27001: 2013, kelayakan untuk mendapatkan sertifikat.
5 tahap penerapan sertifikasi ISO / IEC 27001 yang tak terhindarkan. Kemarahan: Mulai dari mana? Data awal. Beban. Memilih penyedia.
5 tahap penerapan sertifikasi ISO / IEC 27001 yang tak terhindarkan. Tawar-menawar: menyiapkan rencana implementasi, menilai risiko, menulis kebijakan.
5 tahap penerapan sertifikasi ISO / IEC 27001 yang tak terhindarkan. Depresi.
5 tahap penerapan sertifikasi ISO / IEC 27001 yang tak terhindarkan. Adopsi.