期待
認証機関とコンサルタントを選んだ後、最初に尋ねた質問は、必要な変更をすべて行うのにどれくらいの時間がかかるかということでした。
当初の作業計画は、3か月で会わなければならないように予定されていました。
すべてが単純に見えました。数十のポリシーを作成し、内部プロセスをわずかに変更する必要がありました。次に、変更を同僚に教え、さらに3か月待ちます(「記録」、つまりポリシーの機能の証拠があるように)。それがすべてのようでした-そして証明書は私たちのポケットにありました。
さらに、私たちは政治家を一から書くつもりはありませんでした。結局のところ、私たちにはコンサルタントがいて、私たちが思っていたように、すべての「正しい」テンプレートを捨てなければなりませんでした。これらの推論の結果として、各ポリシーの準備のために3日間を確保しました。
技術的な変更も威圧的に見えませんでした。イベントの収集と保存を設定し、バックアップが作成したポリシーに準拠しているかどうかを確認し、必要に応じてACSキャビネットを装備するなど、その他の小さなことを行う必要がありました。
認証に必要なすべてを準備するチームは2人で構成されていました。私たちは、彼らが主な責任と並行して実施に従事することを計画しました、そして、彼らのそれぞれは1日あたり最大1.5-2時間かかります。
要約すると、今後の作業量に対する私たちの見方は非常に楽観的だったと言えます。
現実
実際、状況は当然異なっていました。コンサルタントによって提供されたポリシーテンプレートは、当社にはほとんど適用できないことが判明しました。何をどのように行うかについての明確な情報はインターネット上にほとんどありませんでした。ご想像のとおり、「3日で1つのポリシーを作成する」という計画は惨めに失敗しました。そのため、プロジェクトのほぼ最初から締め切りに間に合わせるのをやめ、気分はゆっくりと落ち始めました。
チームの専門知識は悲惨なほど小さかったので、コンサルタントに適切な質問をするだけでは十分ではありませんでした(ちなみに、コンサルタントはあまりイニシアチブを示していませんでした)。実装開始から3か月後(つまり、すべての準備が整ったはずの瞬間)、2人の主要な参加者のうちの1人がチームを去ったため、ケースの進行はさらに遅くなりました。彼の代わりに、ITサービスの新しい責任者が就任しました。彼は、実装プロセスを短時間で完了し、技術的な観点から最も必要なすべてを情報セキュリティ管理システムに提供する必要がありました。仕事は大変そうに見えました...担当者は落ち込んでいました。
さらに、この問題の技術的な側面も「微妙な違い」があることが判明しました。ワークステーションとサーバーハードウェアの両方で、グローバルなソフトウェアの最新化という課題に直面しました。イベント(ログ)を収集するようにシステムを構成しているときに、システムが正常に機能するための十分なハードウェアリソースがないことが判明しました。また、バックアップソフトウェアもアップグレードする必要がありました。
ネタバレ注意:その結果、ISMSは6か月で英雄的に実装されました。そして、誰も死にませんでした!
何が一番変わったのですか?
もちろん、規格導入の過程で、会社のプロセスに小さな変更が多数発生しました。最も重要な変更点を強調しました。
- リスク評価プロセスの形式化
以前は、会社には正式なリスク評価手順がありませんでした。これは、全体的な戦略的計画の一部として合格した場合にのみ行われました。認証の枠組みの中で解決された最も重要なタスクの1つは、このプロセスのすべての段階と各段階の責任者を説明する会社のリスク評価ポリシーの実装でした。
- リムーバブルメディアの制御
ビジネスに対する重大なリスクの1つは、暗号化されていないUSBフラッシュドライブの使用でした。実際、従業員は誰でも利用可能な情報をフラッシュドライブに書き込んで、せいぜいそれを失う可能性があります。認定の一環として、従業員のすべてのワークステーションでフラッシュドライブに情報をダウンロードする機能が無効になりました。情報の記録は、IT部門へのアプリケーションを通じてのみ可能になりました。
- スーパーユーザーコントロール
主な問題の1つは、IT部門のすべての従業員が会社のすべてのシステムで絶対的な権利を持っていたという事実でした-彼らはすべての情報にアクセスできました。同時に、誰も実際にそれらを制御していませんでした。
危険で非生産的な活動を分析、ブロック、警告する従業員管理プログラムであるデータ損失防止(DLP)を実装しました。現在、IT部門の従業員の行動に関する通知が会社のCOOのメールに届きます。
- 情報インフラストラクチャを編成するためのアプローチ
認定には、グローバルな変更とアプローチが必要でした。はい、負荷が増加したため、多くのサーバー機器をアップグレードする必要がありました。特に、イベント収集システム用に別のサーバーを割り当てました。サーバーには、大きくて高速なSSDドライブが装備されていました。私たちはバックアップソフトウェアを放棄し、必要なすべての機能をすぐに使用できるストレージシステムを選択しました。多数のサーバーをバックアップしないことで多くのディスクスペースを節約する「コードとしてのインフラストラクチャ」の概念に向けて、いくつかの大きな一歩を踏み出しました。最短時間(1週間)で、ワークステーション上のすべてのソフトウェアがWin10にアップグレードされました。アップグレードによって解決された問題の1つは、暗号化を有効にする機能でした(Proバージョン)。
- 紙の文書の管理
同社には、紙の文書の使用に関連する重大なリスクがありました。紙の文書を紛失したり、間違った場所に置いたり、不適切に破壊したりする可能性があります。このリスクを最小限に抑えるために、機密性の程度に応じてすべての紙の文書にマークを付け、さまざまな種類の文書を破棄する手順を開発しました。これで、従業員がフォルダを開いたりドキュメントを取得したりするときに、この情報がどのカテゴリに分類され、どのように処理されるかを正確に把握できます。
- バックアップデータセンターのリース
以前は、すべての会社情報は、サードパーティの安全なデータセンターにあるサーバーに保存されていました。ただし、このデータセンターには緊急手順はありませんでした。解決策は、バックアップクラウドデータセンターを借りて、そこで最も重要な情報をバックアップすることでした。現在、会社の情報は地理的に離れた2つのデータセンターに保存されているため、情報を失うリスクが最小限に抑えられています。
- ビジネス継続性テスト
当社は、数年前から、従業員がさまざまなネガティブなシナリオ(オフィスへのアクセスの喪失、流行、停電など)で行動するための手順を説明するビジネス継続性ポリシー(BCP)を持っています。ただし、継続性をテストしたことはありません。つまり、これらの各状況でビジネスを回復するのにかかる時間を測定したことはありません。認定監査の準備の一環として、これを行うだけでなく、来年の事業継続性テスト計画も作成しました。なお、1年後、完全に遠隔操作に切り替える必要が生じたとき、3日で対応しました。
注意することが重要です認定の準備をしている企業はすべて開始条件が異なるため、あなたの場合、まったく異なる変更が必要になる場合があります。
変化に対する従業員の反応
奇妙なことに、ここでは最悪の事態が予想されましたが、それほど悪くはありませんでした。同僚が熱心に認証に関するニュースを受け取ったとは言えませんが、次のことが明らかでした。
- すべての主要な従業員は、このイベントの重要性と必然性を理解していました。
- 他のすべての従業員は主要な従業員と同等でした。
もちろん、私たちの業界の詳細は私たちに大いに役立ちました-会計機能のアウトソーシング。当社の従業員の大多数は、ロシア連邦の法律が絶えず変更されており、優れた仕事をしています。したがって、今や遵守する必要のある数十の新しい規則の導入は、彼らにとって異常なことにはなりませんでした。
すべての従業員向けに、新しい必須のISO27001トレーニングとテストを用意しました。全員がモニターからパスワード付きのステッカーを素直に取り除き、書類が散らばっているテーブルを解体しました。大きな不満は見られませんでした-一般的に、私たちは従業員に非常に幸運でした。
このように、私たちはビジネスプロセスの変化に関連する最も苦痛な段階である「うつ病」を過ぎました。それは困難で困難でしたが、結果は最終的にすべての最も野蛮な期待を上回りました。
サイクルから前の資料を読んでください:
ISO / IEC27001認証の採用の必然性の5つの段階。拒否:ISO 27001:2013認定に関する誤解、認定取得の実現可能性。
ISO / IEC27001認証の必然的な採用の5つの段階。怒り:どこから始めますか?初期データ。費用。プロバイダーの選択。
ISO / IEC27001認証の必然的な採用の5つの段階。交渉:実施計画の作成、リスクの評価、ポリシーの作成。
ISO / IEC27001認証の必然的な採用の5つの段階。うつ病。
ISO / IEC27001認証の必然的な採用の5つの段階。可決。