Get best of the week

5 Stufen der Unvermeidlichkeit der Annahme der ISO / IEC 27001-Zertifizierung. Zorn

Die zweite Stufe einer emotionalen Reaktion auf Veränderungen ist Wut. Dies entspricht unserer Phase des Kampfes mit den Schwierigkeiten bei der ersten Vorbereitung auf die Zertifizierung - darum geht es in unserer heutigen Geschichte.

Bild

Wir haben den Pfad zum Zertifikat mit den folgenden Anfangsdaten begonnen:

  • Zertifizierungsbedingungen: so bald wie möglich;
  • Budget: je kleiner desto besser (aber damit alles anständig ist);
  • Team: 1,5-2 Personen (Projektmanager + regelmäßig verbundene Mitarbeiter und Management der IT-Abteilung);
  • Kenntnisse des Teams im Bereich der Informationssicherheit: so lala.

Bild

Es sieht nicht sehr beeindruckend aus, oder? Wir haben uns nicht einmal vorgestellt, auf wie viele Schwierigkeiten wir im Arbeitsprozess stoßen würden und welche ernsthaften Entscheidungen wir treffen müssten.

Wir wissen überhaupt nichts!


Eine der Hauptschwierigkeiten bestand darin, dass niemand in unserem Unternehmen über ausreichende Fachkenntnisse auf dem Gebiet der Informationssicherheit verfügte. Keiner der Mitarbeiter verfügte über Berufszertifikate oder Berufserfahrung in der Implementierung eines Informationssicherheits-Managementsystems. Dies gab Anlass zu ernsthafter Besorgnis: Werden wir damit fertig? Vielleicht brauchen wir zuerst etwas Training? Oder ist es notwendig, eine Person einzustellen, die bereits eine solche Erfahrung hat?

Spoiler:
, 70 .

Sie können zwar einen Berater einstellen, aber wie können wir seine Professionalität bewerten, wenn wir selbst nichts davon verstehen?

Mit Blick auf die Zukunft können wir sagen: Selbst mit solchen Anfangsdaten erwies sich das Problem als ziemlich lösbar. Die Hauptsache ist, dass das Team über Logik, gesunden Menschenverstand und ein klares Verständnis dafür verfügt, warum das Unternehmen eine Zertifizierung benötigt.

Vielleicht einfach googeln?


Wir hatten wirklich kein Fachwissen, aber im Zeitalter der modernen Technologie stehen uns fast alle Informationen zur Verfügung - kostenlos oder für sehr wenig Geld. Daher waren wir zu Beginn des Projekts der Ansicht, dass wir mit Leichtigkeit alle notwendigen Informationen für eine erfolgreiche Vorbereitung auf die Zertifizierung im Internet finden und problemlos Muster aller erforderlichen Dokumente herunterladen können.

In Wirklichkeit stellte sich heraus, dass alles völlig falsch war:

Zunächst einmal haben wir im Prinzip nicht ganz verstanden, was genau wir zum „googeln“ brauchten.

Zweitens war alles, was wir gemeinfrei fanden, sehr verschwommen - keine Einzelheiten, keine wirklichen Fälle.

DrittensAlle Muster von Dokumenten, die wir im Internet gefunden haben, waren für unser Unternehmen völlig irrelevant. Und selbst auf Englisch gab es praktisch keine leicht verständlichen Schritt-für-Schritt-Anleitungen und Fälle von Unternehmen, die die Zertifizierung erfolgreich bestanden haben. Daher mussten wir den Weg zum Zertifikat selbst abtasten.

An welchem ​​Ende fangen Sie an, das Gewirr zu entwirren?


Nach einer intensiven Suche nach Informationen im Internet wurde uns klar, dass wir uns für den Anfang entscheiden sollten:

  • Zertifizierungsstelle;
  • Zertifizierungsberater (weil wir wirklich kein Fachwissen haben - und Sie jemanden finden müssen, der es bereits hat);
  • technologische Werkzeuge für die Entwicklung und Wartung des Systems (in den folgenden Artikeln werden wir diesen wichtigen Punkt genauer erläutern).

Die ersten beiden sind wichtige Gegenparteien während der Zertifizierung, ihre Auswahl sollte sehr sorgfältig getroffen werden (was wir auch getan haben). Daher haben wir uns zunächst auf zwei Ausschreibungen konzentriert, um diese wichtigen Gegenparteien auszuwählen.

Wie wähle ich eine Zertifizierungsstelle aus?


Die Wahl einer Zertifizierungsstelle hängt natürlich von den Gründen ab, aus denen Sie sich auf die Zertifizierung vorbereitet haben. Wenn Sie diese Stelle im Artikel erreicht haben, benötigen Sie wahrscheinlich ein Zertifikat, das nicht nur zur Schau gestellt wird. Andernfalls hätten Sie die Dienste von Unternehmen in Anspruch genommen, die anbieten, ein Zertifikat in einer Stunde und 10.000 Rubel zu erstellen. Dementsprechend sollten Sie sich auf Zertifizierungsstellen konzentrieren, die über eine umfassende internationale Praxis verfügen und in den für Sie interessanten Ländern akkreditiert sind.

Es gibt nicht so viele Unternehmen, die bereit sind, Sie in Russland gemäß der Norm ISO 27001 zu zertifizieren - wir haben ungefähr 10 anständige Teilnehmer für die Ausschreibung ausgewählt. Wichtige Auswahlkriterien waren:

  • Verfügbarkeit internationaler Akkreditierungen,
  • Kundenportfolio und deren Empfehlungen,
  • Preis.

Es ist erstaunlich, dass wir beim letzten Punkt fast 10 Mal einen Spread bekommen haben ! Einige der Bieter gaben jedoch an, dass sie uns nur einen ausländischen Wirtschaftsprüfer zur Verfügung stellen können. Dies bedeutete automatisch das Bestehen eines Zertifizierungsaudits in englischer Sprache, was für uns im Prinzip kein großes Problem war, da alle wichtigen Mitarbeiter es auf hohem Niveau kennen, aber für jemanden kann dies definitiv zu einem Problem werden.

Später erfuhren wir, dass es in unserem Land nur sehr wenige Spezialisten gibt, die Zertifizierungsaudits nach diesem Standard durchführen können. Fast alle arbeiten für mehrere Zertifizierungsstellen und sind miteinander vertraut.

Wie wähle ich einen Berater für die Zertifizierungsvorbereitung aus?


Es gibt eine ganze Reihe von Unternehmen, die ihre Dienstleistungen zur Vorbereitung auf die Zertifizierung anbieten. Allerdings können nicht alle wirklich helfen - einige von ihnen senden Ihnen lediglich Richtlinienvorlagen, in die Sie den Namen Ihres Unternehmens einfügen müssen, ohne sich mit Ihren Geschäftsprozessen zu befassen. Dieser Ansatz hilft Ihnen natürlich ein wenig bei der Zertifizierung.

Konzeptionell gibt es zwei Lösungen für das Problem:

  • Vorbereitung aller schlüsselfertigen Dokumente durch den Berater . Dieser Ansatz ermöglicht es Ihnen zweifellos, Ihre Mitarbeiter nicht mit der Vorbereitung auf die Zertifizierung zu überlasten. Es besteht jedoch das Risiko, dass Ihre Prozesse und Verfahren nicht ausreichend dokumentiert werden.
  • Berater, der die von Ihren Mitarbeitern erstellten Dokumente überprüft. Hier wird wahrscheinlich die Qualität der Dokumentation besser sein, da sie von den Mitarbeitern erstellt wird, die mit den Prozessen vertraut sind.

In Vorbereitung auf die Zertifizierung haben wir im zweiten Szenario gehandelt. Basierend auf unserer Erfahrung können Sie einige Tipps zur Auswahl eines Beraters für die Zertifizierung geben:

Bild

  • Fragen Sie die Zertifizierungsstellen nach Empfehlungen von Beratungsunternehmen, unter denen Sie eine Ausschreibung durchführen - so haben wir unsere gefunden.
  • Verhandeln und fixieren Sie im Voraus den Umfang und den Umfang der Arbeit sowie die Verantwortung jeder Partei.
  • Bleiben Sie während der gesamten Vorbereitungszeit für die Zertifizierung regelmäßig mit einem Berater in Kontakt. Dies spart Zeit und vermeidet die Notwendigkeit, große Dokumentationen zu wiederholen.

Okay, aber ist jetzt alles in Ordnung?


Bei der Sammlung der für die Vorbereitung der Zertifizierung erforderlichen Materialien stellten sich überraschende Dinge heraus. Zum Beispiel die Tatsache, dass ISO 27001 an eine Reihe verwandter Normen gebunden ist (die zumindest oberflächlich gelesen werden sollten).

Dies sind zum Beispiel Standards wie:

  • ISO 19011 - Richtlinien für die Prüfung von Managementsystemen
  • ISO 22301 - Business Continuity Management-Systeme
  • ISO 31000 - Risikomanagement. Grundsätze und Richtlinien
  • ISO 27003 - Methoden und Mittel der Sicherheit. Managementsysteme für Informationssicherheit

Die obige Liste ist grundlegend, aber nicht umfassend. Jedes Unternehmen bildet es nach seinen eigenen Bedürfnissen. Wir haben uns entschieden, das Rad nicht neu zu erfinden, und haben uns beispielsweise in Fragen des Risikomanagements und der Prüfung von Managementsystemen auf ISO 31000 bzw. ISO 19011 verlassen. Die unterstützende Norm ISO 27003 hat uns mit den dazugehörigen Informationen zur Implementierung von 27001 geholfen. Vor allem aber haben wir mit ISO 22301 gearbeitet, die erforderlich ist, um den Teil der Richtlinien zu beschreiben, die für den Business Continuity Plan (BCP) verantwortlich sind.

Spoiler:
, .

Die „Kirsche“ auf dem Kuchen war das Fehlen relevanter Texte dieser Standards im öffentlichen Bereich. Wenn Sie sich mit dem Inhalt vertraut machen möchten, kaufen Sie den offiziellen Text auf der ISO-Website für ~ 10.000 Rubel.

Und wie viel kostet es?


In Vorbereitung auf den Start des Projekts haben wir uns natürlich entschlossen zu berechnen, wie viel uns die Zertifizierung kosten würde.

Spoiler
100 3 1 ( – ).
Die allgemeine Struktur der Zertifizierungskosten war in unserem Fall wie folgt:

- Kosten der Gebühr für die Zertifizierungsstelle,
- Kosten der Gebühr für den Berater zur Vorbereitung der Zertifizierung,
- Reisekosten des Prüfers
,
- Kosten für die Bewirtung, - Kosten für die Kennzeichnung von Dokumenten (für alle Ordner mit Dokumenten, von denen Es gibt eine unglaubliche Menge in der Buchhaltungsfirma, ich musste Aufkleber in verschiedenen Farben kleben),
- die Kosten für den Kauf der offiziellen Texte der Normen,
- die Kosten für die Ausstattung aller Räume, die in den gemeinsamen Bereich von Geschäftszentren gehen, Zugangskontrollsysteme (Zugangskontroll- und -verwaltungssysteme),
- die Kosten für Software ( DLP-System, Implementierung einer Zwei-Faktor-Autorisierung usw.),
- Modernisierung der Hardware des Unternehmens (sowohl Server als auch Betrieb),
- zusätzliche Kosten für das Rechenzentrum (die Rechenzentren),
- Arbeitsstunden der an der Zertifizierung beteiligten Mitarbeiter.

Bild

Wir empfehlen dringend, dass Sie eine Reserve in das Budget aufnehmen, da es äußerst schwierig ist, alle erforderlichen Kosten vor Beginn des Projekts vorherzusagen.

So waren wir zu Beginn des Zertifizierungsprojekts sehr wütend - zum Glück haben wir es am Ende geschafft, damit fertig zu werden. :)

Lesen Sie auch:

5 Stufen der Unvermeidlichkeit der Annahme der ISO / IEC 27001-Zertifizierung. Ablehnung : Missverständnisse über die Zertifizierung von ISO 27001: 2013, der Wunsch, ein Zertifikat zu erhalten /
5 Stufen der Unvermeidlichkeit der Akzeptanz der ISO / IEC 27001-Zertifizierung. Wut: Wo soll ich anfangen? Ausgangsdaten. Kosten. Die Wahl des Anbieters.

More articles:


All Articles