Get best of the week

5 étapes d'inévitabilité de l'adoption de la certification ISO / IEC 27001. Colère

La deuxième étape d'une réponse émotionnelle au changement est la colère. Cela correspond à notre étape de la lutte avec les difficultés de la préparation initiale à la certification - qui est l'histoire de notre aujourd'hui.

image

Nous avons commencé le chemin vers le certificat avec les données initiales suivantes:

  • conditions de certification: dès que possible;
  • budget: le plus petit est le mieux (mais pour que tout soit décent);
  • équipe: 1,5-2 personnes (chef de projet + personnel et direction du service informatique connectés périodiquement);
  • connaissance de l'équipe dans le domaine de la sécurité de l'information: so-so.

image

Ça n'a pas l'air très impressionnant, n'est-ce pas? Nous n’imaginions même pas combien de difficultés nous rencontrerions dans le processus de travail et quel nombre sérieux de décisions nous devions prendre.

Nous ne savons rien du tout!


L'une des principales difficultés était que personne dans notre entreprise n'avait une expertise suffisante dans le domaine de la sécurité de l'information. Aucun des employés n'avait de certificat professionnel ni d'expérience professionnelle dans la mise en œuvre d'un système de gestion de la sécurité de l'information. Cela a suscité de sérieuses inquiétudes: allons-nous y faire face? Peut-être que nous avons besoin d'une formation en premier? Ou est-il nécessaire d'embaucher une personne qui a déjà une telle expérience?

Divulgacher:
, 70 .

En effet, vous pouvez engager un consultant, mais comment évaluer son professionnalisme si nous-mêmes ne comprenons rien à ce sujet?

Pour l'avenir, nous pouvons dire: même avec de telles données initiales, le problème s'est avéré tout à fait résoluble. L'essentiel est que l'équipe ait de la logique, du bon sens et une compréhension claire des raisons pour lesquelles l'entreprise a besoin d'une certification.

Peut-être juste google?


Nous n'avions vraiment aucune expertise, mais à l'ère de la technologie moderne, presque toutes les informations sont à notre disposition - gratuitement ou pour très peu d'argent. Par conséquent, au début du projet, nous pensions que nous trouverions facilement toutes les informations nécessaires à une préparation réussie à la certification sur Internet, ainsi que télécharger facilement des échantillons de tous les documents nécessaires.

En réalité, tout s'est avéré être complètement faux:

tout d'abord , en principe, nous ne comprenions pas très bien ce dont nous avions besoin spécifiquement pour «google».

Deuxièmement , tout ce que nous avons trouvé dans le domaine public était très flou - pas de détails, pas de cas réels.

Troisièmement, tous les échantillons de documents que nous avons trouvés sur Internet n'étaient absolument pas pertinents pour notre entreprise. Et même en anglais, il n'y avait pratiquement pas d'instructions étape par étape faciles à comprendre et de cas d'entreprises ayant réussi la certification. Nous avons donc dû nous-mêmes tâtonner le chemin du certificat.

À quelle fin commencez-vous à démêler l'enchevêtrement?


Après une recherche intensive d'informations sur Internet, nous avons réalisé que pour commencer, nous devons décider:

  • Autorité de certification;
  • consultant en certification (parce que nous n'avons vraiment aucune expertise - et vous devez trouver quelqu'un qui l'a déjà);
  • des outils technologiques pour le développement et la maintenance du système (dans les articles suivants nous ouvrirons ce point important plus en détail).

Les deux premiers sont des contreparties clés lors de la certification; leur choix doit être pris très soigneusement (ce que nous avons fait). Ainsi, la première chose sur laquelle nous avons décidé de nous concentrer est de tenir deux appels d'offres pour sélectionner ces contreparties clés.

Comment choisir une autorité de certification?


Bien entendu, le choix d'un organisme de certification dépend des raisons qui vous ont poussé à vous préparer à la certification. Si vous êtes venu à cet endroit dans l'article, vous avez probablement besoin d'un certificat non seulement pour le spectacle, sinon vous auriez utilisé les services d'entreprises qui proposent de faire un certificat en une heure et 10 mille roubles. Par conséquent, vous devez vous concentrer sur les organismes de certification qui ont une vaste pratique internationale et sont accrédités dans les pays qui vous intéressent.

Il n'y a pas tellement d'entreprises prêtes à vous certifier en Russie selon la norme ISO 27001 - nous avons sélectionné environ 10 participants décents pour l'appel d'offres. Les principaux critères de sélection étaient les suivants:

  • disponibilité d'accréditations internationales,
  • portefeuille clients et leurs recommandations,
  • prix.

Il est étonnant que sur le dernier point, nous avons eu un écart de près de 10 fois ! Cependant, certains soumissionnaires ont déclaré qu'ils ne pouvaient nous fournir qu'un auditeur étranger. Cela signifiait automatiquement passer un audit de certification en anglais, ce qui, en principe, n'était pas un gros problème pour nous, car tous les employés clés le savent à un niveau élevé, mais pour quelqu'un, cela peut certainement être un problème.

Plus tard, nous avons appris qu'il y a très peu de spécialistes capables de mener des audits de certification selon cette norme dans notre pays. Presque tous travaillent pour plusieurs organismes de certification et se connaissent.

Comment choisir un consultant en préparation à la certification?


De nombreuses entreprises proposent leurs services en vue de la certification. Cependant, tous ne peuvent pas vraiment aider - certains d'entre eux, en fait, vous envoient simplement des modèles de stratégie où vous devez insérer le nom de votre entreprise, sans plonger dans vos processus métier. Naturellement, cette approche vous aidera un peu avec la certification.

Conceptuellement, il existe 2 solutions au problème:

  • Préparation par le consultant de tous les documents clé en main . Cette approche vous permettra sans aucun doute de ne pas surcharger vos employés de préparation à la certification. Cependant, il existe un risque que vos processus et procédures ne soient pas correctement documentés.
  • Consultant vérifiant les documents préparés par vos employés. Ici, probablement, la qualité de la documentation sera meilleure, car elle sera préparée par les employés qui connaissent les processus.

En préparation à la certification, nous avons agi dans le deuxième scénario. Sur la base de notre expérience, vous pouvez donner quelques conseils sur le choix d'un consultant pour la certification:

image

  • Demandez des recommandations aux sociétés de conseil des autorités de certification, parmi lesquelles vous effectuez un appel d'offres - c'est ainsi que nous avons trouvé la nôtre.
  • Négocier et fixer à l'avance la portée et la portée des travaux, ainsi que la responsabilité de chaque partie.
  • Restez en contact avec un consultant régulièrement pendant toute la période de préparation à la certification - cela vous fera gagner du temps et vous évitera de refaire de gros documents.

D'accord, mais tout va bien maintenant?


Dans le processus de collecte des matériaux nécessaires à la préparation de la certification, des choses surprenantes se sont avérées. Par exemple, le fait que l'ISO 27001 est liée à un certain nombre de normes connexes (qui doivent être lues au moins superficiellement).

Ce sont, par exemple, des normes telles que:

  • ISO 19011 - Lignes directrices pour l'audit des systèmes de management
  • ISO 22301 - Systèmes de gestion de la continuité des opérations
  • ISO 31000 - Gestion des risques. Principes et directives
  • ISO 27003 - Méthodes et moyens de sécurité. Systèmes de gestion de la sécurité de l'information

La liste ci-dessus est fondamentale, mais pas exhaustive. Chaque entreprise la forme en fonction de ses propres besoins. Nous avons choisi de ne pas «réinventer la roue» et, par exemple, en matière de gestion des risques et d'audit des systèmes de management, nous nous sommes appuyés respectivement sur ISO 31000 et ISO 19011. La norme de support ISO 27003 nous a aidés avec ses informations d'accompagnement sur la mise en œuvre de 27001. Mais surtout, nous avons travaillé avec ISO 22301, qui est nécessaire pour décrire la partie des politiques qui sont responsables du plan de continuité des activités (BCP).

Divulgacher:
, .

La «cerise sur le gâteau» était le manque de textes pertinents de ces normes dans le domaine public. Si vous souhaitez vous familiariser avec le contenu, achetez le texte officiel sur le site Web de l'ISO pour environ 10 000 roubles.

Et combien cela coûtera-t-il?


En prévision du démarrage du projet, nous avons naturellement décidé de calculer le prix de la certification.

Divulgacher
100 3 1 ( – ).
La structure générale des coûts de certification dans notre cas était la suivante:

- honoraires pour honoraires d'un organisme de certification,
- coûts pour un consultant pour la préparation à la certification,
- frais de voyage d'un auditeur,
- frais d'accueil,
- frais de marquage de documents (pour tous les dossiers contenant des documents il y a une quantité incroyable dans la société comptable, j'ai dû coller des autocollants de différentes couleurs),
- les coûts d'achat des textes officiels des normes,
- les coûts d'équipement de toutes les salles qui vont à l'espace commun des centres d'affaires, les systèmes de contrôle d'accès (systèmes de contrôle et de gestion des accès),
- les coûts des logiciels ( Système DLP, mise en place d'une autorisation à deux facteurs, etc.),
- modernisation du matériel de l'entreprise (serveur et exploitation),
- coûts supplémentaires pour le (s) centre (s) de données,
- heures de travail des employés impliqués dans la certification.

image

Nous vous recommandons fortement de mettre une réserve dans le budget, car il est extrêmement difficile de prévoir tous les coûts nécessaires avant de démarrer le projet.

Ainsi, au début du projet de certification, nous avons connu une très grande colère - heureusement, finalement, nous avons réussi à y faire face. :)

Lire aussi:

5 étapes d'inéluctabilité de l'adoption de la certification ISO / IEC 27001. Déni : idées fausses sur la certification ISO 27001: 2013, l'opportunité d'obtenir un certificat /
5 étapes de l'inévitabilité de l'acceptation de la certification ISO / IEC 27001. Colère: par où commencer? Donnée initiale. Dépenses. Le choix du prestataire.

More articles:


All Articles