Get best of the week

5 tahap pengelakan adopsi sertifikasi ISO / IEC 27001. Marah

Tahap kedua dari respons emosional terhadap perubahan adalah kemarahan. Ini sesuai dengan tahap perjuangan kami dengan kesulitan-kesulitan persiapan awal untuk sertifikasi - yang merupakan cerita tentang hari ini.

gambar

Kami memulai jalur ke sertifikat dengan data awal berikut:

  • ketentuan sertifikasi: sesegera mungkin;
  • anggaran: semakin kecil semakin baik (tetapi agar semuanya layak);
  • tim: 1,5-2 orang (manajer proyek + staf dan manajemen departemen TI yang terhubung secara berkala);
  • pengetahuan tim di bidang keamanan informasi: begitu-begitu.

gambar

Itu tidak terlihat sangat mengesankan, bukan? Kami bahkan tidak membayangkan berapa banyak kesulitan yang akan kami temui dalam proses kerja dan betapa banyaknya keputusan yang harus kami buat.

Kami sama sekali tidak tahu apa-apa!


Salah satu kesulitan utama adalah bahwa tidak ada seorang pun di perusahaan kami yang memiliki keahlian yang memadai di bidang keamanan informasi. Tidak ada karyawan yang memiliki sertifikat profesional atau pengalaman profesional dalam menerapkan sistem manajemen keamanan informasi. Ini menimbulkan kekhawatiran serius: akankah kita mengatasinya? Mungkin kita perlu pelatihan dulu? Atau perlukah mempekerjakan orang yang sudah memiliki pengalaman seperti itu?

Spoiler:
Orang-orang seperti itu, pada prinsipnya, sangat sedikit di pasar, karena ada 70 sertifikat yang berlaku untuk seluruh negara.

Memang, Anda bisa menyewa konsultan, tetapi bagaimana kita bisa mengevaluasi profesionalismenya jika kita sendiri tidak mengerti apa-apa tentang ini?

Ke depan, kita dapat mengatakan: bahkan dengan data awal seperti itu, masalahnya ternyata cukup dapat dipecahkan. Yang utama adalah bahwa tim memiliki logika, akal sehat dan pemahaman yang jelas tentang mengapa perusahaan membutuhkan sertifikasi.

Mungkin hanya google saja?


Kami benar-benar tidak memiliki keahlian apa pun, tetapi di zaman teknologi modern, hampir semua informasi tersedia bagi kami - gratis atau dengan sedikit uang. Oleh karena itu, pada awal proyek, kami berpikir bahwa dengan mudah kami akan menemukan semua informasi yang diperlukan untuk persiapan yang sukses untuk sertifikasi di Internet, serta dengan mudah mengunduh sampel dari semua dokumen yang diperlukan.

Pada kenyataannya, semuanya ternyata benar-benar salah:

Pertama-tama , pada prinsipnya, kami tidak begitu mengerti apa yang secara spesifik kami butuhkan untuk “google”.

Kedua , semua yang kami temukan di domain publik sangat buram - tidak ada yang spesifik, tidak ada kasus nyata.

Ketiga, semua sampel dokumen yang kami temukan di Internet sama sekali tidak relevan bagi perusahaan kami. Dan bahkan dalam bahasa Inggris praktis tidak ada instruksi langkah demi langkah yang mudah dipahami dan kasus-kasus perusahaan yang berhasil lulus sertifikasi. Jadi, kami harus meraba-raba jalur ke sertifikat sendiri.

Di ujung mana Anda mulai mengurai pertikaian?


Setelah pencarian intensif untuk informasi di Internet, kami menyadari bahwa sebagai permulaan kami harus memutuskan:

  • otoritas sertifikasi;
  • konsultan sertifikasi (karena kami benar-benar tidak memiliki keahlian apa pun - dan Anda perlu menemukan seseorang yang sudah memilikinya);
  • alat teknologi untuk pengembangan dan pemeliharaan sistem (dalam artikel selanjutnya kami akan membuka poin penting ini secara lebih rinci).

Dua yang pertama adalah mitra kunci selama sertifikasi, pilihan mereka harus diambil dengan sangat hati-hati (yang kami lakukan). Jadi, hal pertama yang kami putuskan untuk fokus adalah memegang dua tender untuk memilih rekanan utama ini.

Bagaimana cara memilih otoritas sertifikasi?


Tentu saja, pilihan lembaga sertifikasi tergantung pada alasan yang mendorong Anda untuk bersiap untuk sertifikasi. Jika Anda telah mencapai tempat ini dalam artikel, maka Anda mungkin memerlukan sertifikat tidak hanya untuk pertunjukan, jika tidak, Anda akan menggunakan layanan dari perusahaan yang menawarkan untuk membuat sertifikat dalam satu jam dan 10 ribu rubel. Dengan demikian, Anda harus fokus pada lembaga sertifikasi yang memiliki praktik internasional yang luas dan terakreditasi di negara-negara yang menarik bagi Anda.

Tidak ada begitu banyak perusahaan yang siap untuk mensertifikasi Anda di Rusia sesuai dengan standar ISO 27001 - kami memilih sekitar 10 peserta yang layak untuk tender. Kriteria utama untuk seleksi adalah:

  • ketersediaan akreditasi internasional,
  • portofolio pelanggan dan rekomendasinya,
  • harga.

Sungguh menakjubkan bahwa pada poin terakhir kami mendapat spread hampir 10 kali ! Namun, beberapa penawar mengatakan bahwa mereka hanya dapat memberi kami auditor asing. Ini secara otomatis berarti lulus audit sertifikasi dalam bahasa Inggris, yang, pada prinsipnya, bukan masalah besar bagi kami, karena semua karyawan kunci mengetahuinya pada tingkat tinggi, tetapi bagi seseorang hal ini pasti bisa menjadi masalah.

Kemudian kami mengetahui bahwa sangat sedikit spesialis yang dapat melakukan audit sertifikasi sesuai dengan standar ini di negara kami. Hampir semuanya bekerja untuk beberapa lembaga sertifikasi dan akrab satu sama lain.

Bagaimana memilih konsultan persiapan sertifikasi?


Ada cukup banyak perusahaan yang menawarkan layanan mereka dalam persiapan untuk sertifikasi. Namun, tidak semua dari mereka benar-benar dapat membantu - beberapa dari mereka, pada kenyataannya, hanya mengirim Anda templat kebijakan di mana Anda perlu memasukkan nama perusahaan Anda, tanpa mempelajari proses bisnis Anda. Tentu saja, pendekatan ini akan sedikit membantu Anda dengan sertifikasi.

Secara konseptual, ada 2 solusi untuk masalah ini:

  • Persiapan oleh konsultan semua dokumen turnkey . Pendekatan ini tidak diragukan lagi akan memungkinkan Anda untuk tidak membebani karyawan Anda dengan persiapan untuk sertifikasi. Namun, ada risiko bahwa proses dan prosedur Anda tidak akan didokumentasikan secara memadai.
  • Konsultan memeriksa dokumen yang disiapkan oleh karyawan Anda. Di sini, mungkin, kualitas dokumentasi akan lebih baik, karena akan disiapkan oleh karyawan yang akrab dengan proses.

Dalam persiapan untuk sertifikasi, kami bertindak dalam skenario kedua. Berdasarkan pengalaman kami, Anda dapat memberikan beberapa tip dalam memilih konsultan untuk sertifikasi:

gambar

  • Mintalah rekomendasi dari perusahaan konsultan dari otoritas sertifikasi, di antaranya Anda melakukan tender - itulah cara kami menemukan tender kami.
  • Bernegosiasi dan memperbaiki terlebih dahulu ruang lingkup dan ruang lingkup pekerjaan, serta tanggung jawab masing-masing pihak.
  • Tetap berhubungan dengan seorang konsultan secara teratur selama seluruh periode persiapan untuk sertifikasi - ini akan menghemat waktu dan menghindari keharusan untuk mengulang kembali dokumentasi yang besar.

Oke, tapi apakah semuanya baik-baik saja sekarang?


Dalam proses mengumpulkan bahan-bahan yang diperlukan untuk mempersiapkan sertifikasi, hal-hal mengejutkan ternyata. Sebagai contoh, fakta bahwa ISO 27001 terkait dengan sejumlah standar terkait (yang harus dibaca setidaknya secara dangkal).

Ini, misalnya, standar seperti:

  • ISO 19011 - Pedoman untuk mengaudit sistem manajemen
  • ISO 22301 - Sistem Manajemen Kontinuitas Bisnis
  • ISO 31000 - Manajemen Risiko. Prinsip dan pedoman
  • ISO 27003 - Metode dan sarana keselamatan. Sistem Manajemen Keamanan Informasi

Daftar di atas adalah fundamental, tetapi tidak komprehensif. Setiap perusahaan membentuknya berdasarkan kebutuhannya sendiri. Kami memilih untuk tidak “menemukan kembali roda” dan, misalnya, dalam hal manajemen risiko dan audit sistem manajemen, kami masing-masing mengandalkan ISO 31000 dan ISO 19011. Standar pendukung ISO 27003 membantu kami dengan informasi yang menyertainya tentang penerapan 27001. Tetapi yang terpenting kami bekerja dengan ISO 22301, yang diperlukan untuk menggambarkan bagian dari kebijakan yang bertanggung jawab atas business continuity plan (BCP).

Spoiler:
, .

"Ceri" pada kue adalah kurangnya teks yang relevan dari standar-standar ini di domain publik. Jika Anda ingin membiasakan diri dengan konten, beli teks resmi di situs web ISO untuk ~ 10 ribu rubel.

Dan berapa biayanya?


Dalam persiapan untuk memulai proyek, kami secara alami memutuskan untuk menghitung berapa biaya sertifikasi.

Spoiler
100 3 1 ( – ).
Struktur umum biaya sertifikasi dalam kasus kami adalah sebagai berikut:

- Biaya untuk biaya kepada lembaga sertifikasi,
- Biaya untuk konsultan untuk persiapan sertifikasi,
- Biaya perjalanan auditor,
- Biaya perhotelan,
- Biaya untuk menandai dokumen (untuk semua folder dengan dokumen ada jumlah yang luar biasa di perusahaan akuntansi, saya harus menempel stiker warna berbeda),
- biaya pembelian teks resmi standar,
- biaya melengkapi semua kamar yang masuk ke area umum pusat bisnis, ACS (kontrol akses dan sistem manajemen),
- biaya perangkat lunak Sistem DLP, implementasi otorisasi dua faktor, dll.),
- modernisasi perangkat keras perusahaan (baik server dan operasi),
- biaya tambahan untuk pusat data,
- jam kerja karyawan yang terlibat dalam sertifikasi.

gambar

Kami sangat menyarankan agar Anda memasukkan cadangan dalam anggaran, karena sangat sulit untuk memperkirakan semua biaya yang diperlukan sebelum memulai proyek.

Jadi, pada awal proyek sertifikasi, kami mengalami kemarahan yang sangat besar - untungnya, pada akhirnya kami berhasil mengatasinya. :)

Baca juga:

5 tahap adopsi sertifikasi ISO / IEC 27001 yang tak terhindarkan. Penolakan : kesalahpahaman tentang sertifikasi ISO 27001: 2013, keinginan mendapatkan sertifikat /
5 tahap dari keniscayaan penerimaan sertifikasi ISO / IEC 27001. Kemarahan: Mulai dari mana? Data awal. Beban. Pilihan penyedia.

More articles:


All Articles