Get best of the week

5 مراحل من حتمية اعتماد شهادة ISO / IEC 27001. الغضب

المرحلة الثانية من الاستجابة العاطفية للتغيير هي الغضب. هذا يتوافق مع مرحلة النضال مع صعوبات التحضير الأولي للشهادة - وهو موضوع قصتنا اليوم.

صورة

بدأنا المسار إلى الشهادة بالبيانات الأولية التالية:

  • شروط التصديق: في أقرب وقت ممكن ؛
  • الميزانية: كلما كان أصغر كلما كان ذلك أفضل (ولكن بحيث يكون كل شيء لائق) ؛
  • الفريق: 1.5-2 شخص (مدير المشروع + موظفي قسم تكنولوجيا المعلومات والإدارة بشكل دوري) ؛
  • معرفة الفريق في مجال أمن المعلومات.

صورة

لا تبدو مثيرة للإعجاب للغاية ، أليس كذلك؟ لم نتخيل حتى عدد الصعوبات التي سنواجهها في عملية العمل وما عدد القرارات الجدية التي يتعين علينا اتخاذها.

لا نعرف أي شيء على الإطلاق!


كانت إحدى الصعوبات الرئيسية أنه لم يكن لدى أي شخص في شركتنا خبرة كافية في مجال أمن المعلومات. لم يكن لدى أي من الموظفين أي شهادات مهنية أو خبرة مهنية في تطبيق نظام إدارة أمن المعلومات. تسبب هذا في قلق شديد: هل سنتعامل مع هذا؟ ربما نحتاج إلى بعض التدريب أولاً؟ أم أنه من الضروري توظيف شخص لديه بالفعل مثل هذه التجربة؟

المفسد:
, 70 .

في الواقع ، يمكنك تعيين مستشار ، ولكن كيف يمكننا تقييم مهنيته إذا لم نفهم أي شيء عن هذا؟

بالنظر إلى المستقبل ، يمكننا القول: حتى مع هذه البيانات الأولية ، تبين أن المشكلة قابلة للحل تمامًا. الشيء الرئيسي هو أن الفريق لديه منطق وحس عام وفهم واضح لماذا تحتاج الشركة إلى الشهادة.

ربما مجرد جوجل ذلك؟


لم يكن لدينا بالفعل أي خبرة ، ولكن في عصر التكنولوجيا الحديثة ، تتوفر لنا تقريبًا أي معلومات - مجانًا أو مقابل القليل من المال. لذلك ، في بداية المشروع ، اعتقدنا أنه يمكننا بسهولة العثور على جميع المعلومات اللازمة للتحضير الناجح للشهادة على الإنترنت ، وكذلك تنزيل عينات من جميع المستندات اللازمة بسهولة.

في الواقع ، تبين أن كل شيء خاطئ تمامًا:

أولاً وقبل كل شيء ، من حيث المبدأ ، لم نفهم تمامًا ما نحتاجه بالتحديد لـ "google".

ثانيًا ، كل شيء وجدناه في المجال العام كان ضبابيًا جدًا - لا تفاصيل ، ولا حالات حقيقية.

ثالثا، كانت جميع عينات المستندات التي وجدناها على الإنترنت غير ذات صلة تمامًا بشركتنا. وحتى في اللغة الإنجليزية ، لم يكن هناك عمليا تعليمات سهلة الفهم خطوة بخطوة وحالات الشركات التي اجتازت الشهادة بنجاح. وهكذا ، كان علينا أن نتلمس الطريق إلى الشهادة بأنفسنا.

في أي نهاية تبدأ في حل التشابك؟


بعد بحث مكثف عن المعلومات على الإنترنت ، أدركنا أنه بالنسبة للمبتدئين يجب أن نقرر ما يلي:

  • هيئة إصدار الشهادات؛
  • مستشار الشهادة (لأننا لا نمتلك أي خبرة - وتحتاج إلى العثور على شخص لديه بالفعل) ؛
  • الأدوات التكنولوجية لتطوير وصيانة النظام (في المقالات اللاحقة سنفتح هذه النقطة المهمة بمزيد من التفصيل).

الأول والثاني هما الأطراف المقابلة الرئيسية أثناء الاعتماد ؛ يجب أن يتم اختيارهم بعناية فائقة (وهو ما فعلناه). وبالتالي ، فإن أول شيء قررنا التركيز عليه هو عقد مناقصتين لاختيار هذه الأطراف المقابلة الرئيسية.

كيفية اختيار المرجع المصدق؟


بالطبع ، يعتمد اختيار هيئة التصديق على الأسباب التي دفعتك إلى الاستعداد للشهادة. إذا وصلت إلى هذا المكان في المقالة ، فربما تحتاج إلى شهادة ليس فقط للعرض ، وإلا كنت ستستخدم خدمات الشركات التي تقدم لعمل شهادة في ساعة و 10 آلاف روبل. وفقًا لذلك ، يجب عليك التركيز على هيئات منح الشهادات التي لديها ممارسة دولية واسعة النطاق ومعتمدة في البلدان التي تهمك.

لا يوجد الكثير من الشركات المستعدة لاعتمادك في روسيا وفقًا لمعيار ISO 27001 - لقد اخترنا حوالي 10 مشاركين لائقين للعطاء. كانت المعايير الرئيسية للاختيار:

  • توافر الاعتماد الدولي ،
  • محفظة العملاء وتوصياتهم ،
  • السعر.

من المدهش أنه في النقطة الأخيرة حصلنا على انتشار ما يقرب من 10 مرات ! ومع ذلك ، قال بعض مقدمي العطاءات إنهم لا يمكنهم تزويدنا إلا بمراجع حسابات أجنبي. هذا يعني تلقائيًا اجتياز تدقيق الشهادات باللغة الإنجليزية ، والذي ، من حيث المبدأ ، لم يكن مشكلة كبيرة بالنسبة لنا ، لأن جميع الموظفين الرئيسيين يعرفون ذلك على مستوى عال ، ولكن بالنسبة لشخص ما ، يمكن أن يصبح هذا مشكلة بالتأكيد.

علمنا لاحقًا أن هناك عدد قليل جدًا من المتخصصين الذين يمكنهم إجراء عمليات تدقيق الشهادات وفقًا لهذا المعيار في بلدنا. يعمل جميعهم تقريبًا مع العديد من هيئات إصدار الشهادات وهم على دراية ببعضهم البعض.

كيفية اختيار استشاري إعداد الشهادات؟


هناك الكثير من الشركات التي تقدم خدماتها استعدادًا للحصول على الشهادة. ومع ذلك ، لا يمكن أن تساعدهم جميعًا حقًا - فبعضهم ، في الواقع ، يرسل لك ببساطة قوالب السياسة حيث تحتاج إلى إدراج اسم شركتك ، دون الخوض في عمليات عملك. وبطبيعة الحال ، سيساعدك هذا النهج قليلاً مع الشهادات.

من الناحية النظرية ، هناك حلان للمشكلة:

  • يقوم المستشار بإعداد جميع المستندات الجاهزة . هذا النهج سيسمح لك بلا شك بعدم إثقال كاهل موظفيك بالتحضير للشهادة. ومع ذلك ، هناك خطر من أن عملياتك وإجراءاتك لن يتم توثيقها بشكل كاف.
  • يقوم المستشار بفحص المستندات التي أعدها موظفيك. هنا ، على الأرجح ، ستكون جودة الوثائق أفضل ، لأنه سيتم إعدادها من قبل هؤلاء الموظفين المطلعين على العمليات.

في التحضير للشهادة ، تصرفنا في السيناريو الثاني. بناءً على خبرتنا ، يمكنك تقديم بعض النصائح حول اختيار مستشار للشهادة:

صورة

  • اطلب توصيات من الشركات الاستشارية من هيئات التصديق ، ومن بينها تقوم بتقديم مناقصة - هكذا وجدنا مناقصتنا.
  • قم بالتفاوض والإصلاح المسبق لنطاق ونطاق العمل ، بالإضافة إلى مسؤولية كل طرف.
  • ابق على اتصال مع استشاري بانتظام طوال فترة التحضير للحصول على الشهادة - وهذا سيوفر الوقت ويتجنب الحاجة إلى إعادة إصدار كميات كبيرة من الوثائق.

حسنًا ، ولكن هل كل شيء بخير الآن؟


في عملية جمع المواد اللازمة للتحضير للشهادة ، تحولت الأمور المفاجئة. على سبيل المثال ، حقيقة أن ISO 27001 مرتبط بعدد من المعايير ذات الصلة (والتي يجب قراءتها سطحيًا على الأقل).

هذه ، على سبيل المثال ، معايير مثل:

  • ISO 19011 - إرشادات لتدقيق أنظمة الإدارة
  • ISO 22301 - أنظمة إدارة استمرارية الأعمال
  • ISO 31000 - إدارة المخاطر. المبادئ والمبادئ التوجيهية
  • ISO 27003 - طرق ووسائل السلامة. نظم إدارة أمن المعلومات

القائمة أعلاه أساسية ، ولكنها ليست شاملة. تقوم كل شركة بتشكيلها بناءً على احتياجاتها الخاصة. لقد اخترنا عدم "إعادة اختراع العجلة" ، على سبيل المثال ، في مسائل إدارة المخاطر ومراجعة أنظمة الإدارة ، اعتمدنا على ISO 31000 و ISO 19011 ، على التوالي. ساعدنا المعيار الداعم ISO 27003 بمعلوماته المصاحبة حول تنفيذ 27001. ولكن الأهم من ذلك كله عملنا مع ISO 22301 ، وهو أمر ضروري لوصف جزء من السياسات المسؤولة عن خطة استمرارية الأعمال (BCP).

المفسد:
, .

كان "الكرز" في الكعكة هو عدم وجود نصوص ذات صلة بهذه المعايير في المجال العام. إذا كنت تريد التعرف على المحتوى ، فقم بشراء النص الرسمي على موقع ISO على الويب مقابل 10 آلاف روبل تقريبًا.

وكم سيكلف؟


في إطار التحضير لبدء المشروع ، قررنا بطبيعة الحال حساب مقدار الشهادة التي ستكلفنا.

المفسد
100 3 1 ( – ).
كان الهيكل العام لتكاليف الشهادة في حالتنا على النحو التالي:

- أتعاب مقابل رسوم لهيئة التصديق ،
- تكاليف استشاري للتحضير للحصول على الشهادة ،
- نفقات سفر مراجع الحسابات ،
- نفقات الضيافة ،
- تكاليف وسم المستندات (لجميع المجلدات ذات المستندات هناك مبلغ لا يصدق في شركة المحاسبة ، كان علي أن ألصق ملصقات بألوان مختلفة) ،
- تكاليف شراء النصوص الرسمية للمعايير ،
- تكاليف تجهيز جميع الغرف التي تذهب إلى المنطقة المشتركة لمراكز الأعمال ، وأنظمة التحكم في الوصول (أنظمة التحكم في الوصول والإدارة) ،
- تكاليف البرامج ( نظام منع فقدان البيانات ، وتنفيذ التفويض بعاملين ، وما إلى ذلك) ،
- تحديث أجهزة الشركة (الخادم والتشغيل) ،
- التكاليف الإضافية لمركز (مراكز) البيانات ،
- ساعات العمل للموظفين المشاركين في إصدار الشهادات.

صورة

نوصي بشدة بوضع احتياطي في الميزانية ، لأنه من الصعب للغاية توقع جميع التكاليف اللازمة قبل بدء المشروع.

وهكذا ، في بداية مشروع الاعتماد ، عانينا من قدر كبير جدًا من الغضب - لحسن الحظ ، تمكنا في النهاية من التعامل مع هذا. :)

اقرأ أيضًا:

5 مراحل من حتمية اعتماد شهادة ISO / IEC 27001. الرفض : مفاهيم خاطئة حول شهادة ISO 27001: 2013 ، استصواب الحصول على شهادة /
5 مراحل من حتمية قبول شهادة ISO / IEC 27001. الغضب: من أين تبدأ؟ البيانات الأولية. نفقات. اختيار الموفر.

More articles:


All Articles