Erwartung
Die erste Frage, die wir nach der Auswahl einer Zertifizierungsstelle und eines Beraters stellten, war, wie lange es dauern würde, bis wir alle erforderlichen Änderungen vorgenommen haben.
Der ursprüngliche Arbeitsplan war so geplant, dass wir uns in 3 Monaten treffen mussten.
Alles sah einfach aus: Es war notwendig, ein paar Dutzend Richtlinien zu schreiben und unsere internen Prozesse leicht zu ändern. Bringen Sie dann die Änderungen den Kollegen bei und warten Sie weitere 3 Monate (so dass "Aufzeichnungen" vorliegen, dh Hinweise auf die Funktionsweise der Richtlinien). Es schien, dass das alles war - und das Zertifikat war in unserer Tasche.
Außerdem wollten wir Politiker nicht von Grund auf neu schreiben - schließlich hatten wir einen Berater, der, wie wir dachten, alle „richtigen“ Vorlagen für uns ablegen musste.Aufgrund dieser Schlussfolgerungen haben wir 3 Tage für die Erstellung jeder Richtlinie vorgesehen.
Die technischen Änderungen sahen auch nicht einschüchternd aus: Es war notwendig, die Erfassung und Speicherung von Ereignissen einzurichten, zu überprüfen, ob die Sicherungen den von uns geschriebenen Richtlinien entsprechen, die ACS-Schränke auszurüsten, falls erforderlich, und einige andere Kleinigkeiten.
Das Team, das alles für die Zertifizierung vorbereitete, bestand aus zwei Personen. Wir planten, dass sie parallel zu ihrer Hauptverantwortung an der Umsetzung beteiligt sind und jeder von ihnen maximal 1,5 bis 2 Stunden pro Tag benötigt.
Zusammenfassend können wir sagen, dass unsere Sicht auf das bevorstehende Arbeitsvolumen recht optimistisch war.
Wirklichkeit
Tatsächlich war das natürlich anders: Die vom Berater bereitgestellten Richtlinienvorlagen erwiesen sich als größtenteils nicht auf unser Unternehmen anwendbar. Im Internet gab es fast keine klaren Informationen darüber, was und wie zu tun ist. Wie Sie sich vorstellen können, ist der Plan, "eine Richtlinie in 3 Tagen zu schreiben", kläglich gescheitert. Wir haben also fast zu Beginn des Projekts aufgehört, die Fristen einzuhalten, und der Stimmungsgrad begann langsam zu sinken.
Das Fachwissen des Teams war katastrophal klein - so sehr, dass es nicht einmal ausreichte, dem Berater (der übrigens nicht viel Initiative zeigte) die richtigen Fragen zu stellen. Der Fall begann sich noch langsamer zu bewegen, da 3 Monate nach Beginn der Implementierung (dh zu dem Zeitpunkt, an dem alles fertig sein sollte) einer der beiden Hauptteilnehmer das Team verließ. An seine Stelle trat ein neuer Leiter des IT-Dienstes, der den Implementierungsprozess in kurzer Zeit abschließen und dem Informationssicherheits-Managementsystem aus technischer Sicht das Nötigste zur Verfügung stellen musste. Die Aufgabe sah entmutigend aus ... Die Verantwortlichen wurden langsam depressiv.
Darüber hinaus erwies sich die technische Seite des Problems als "nuanciert". Wir standen vor der Aufgabe der globalen Softwaremodernisierung sowohl auf Workstations als auch auf Serverhardware. Bei der Konfiguration des Systems zum Sammeln von Ereignissen (Protokollen) stellte sich heraus, dass wir nicht über genügend Hardwareressourcen für die normale Funktionsweise des Systems verfügten. Die Backup-Software musste ebenfalls aktualisiert werden.
Spoiler-Alarm: Infolgedessen wurde das ISMS in 6 Monaten heldenhaft implementiert. Und niemand ist gestorben!
Was hat sich am meisten verändert?
Natürlich gab es bei der Einführung des Standards eine große Anzahl kleiner Änderungen in den Prozessen des Unternehmens. Wir haben die wichtigsten Änderungen für Sie hervorgehoben:
- Formalisierung des Risikobewertungsprozesses
Zuvor hatte das Unternehmen kein formalisiertes Risikobewertungsverfahren - es wurde nur im Vorbeigehen im Rahmen der strategischen Gesamtplanung durchgeführt. Eine der wichtigsten Aufgaben, die im Rahmen der Zertifizierung gelöst wurden, war die Umsetzung der Risikobewertungsrichtlinie des Unternehmens, in der alle Phasen dieses Prozesses und die für jede Phase verantwortlichen Personen beschrieben werden.
- Kontrolle über Wechselmedien
Eines der wesentlichen Geschäftsrisiken war die Verwendung unverschlüsselter USB-Sticks: Tatsächlich konnte jeder Mitarbeiter alle ihm zur Verfügung stehenden Informationen auf einen USB-Sticks schreiben und diese bestenfalls verlieren. Im Rahmen der Zertifizierung wurde das Herunterladen von Informationen auf Flash-Laufwerke an allen Arbeitsstationen der Mitarbeiter deaktiviert. Das Aufzeichnen von Informationen wurde nur durch eine Anwendung bei der IT-Abteilung möglich.
- Superuser-Steuerung
Eines der Hauptprobleme war die Tatsache, dass alle Mitarbeiter der IT-Abteilung absolute Rechte an allen Systemen des Unternehmens hatten - sie hatten Zugriff auf alle Informationen. Gleichzeitig kontrollierte sie niemand wirklich.
Wir haben Data Loss Prevention (DLP) implementiert, ein Mitarbeiter-Kontrollprogramm, das gefährliche und unproduktive Aktivitäten analysiert, blockiert und warnt. Jetzt werden Benachrichtigungen über die Aktionen der Mitarbeiter der IT-Abteilung per Post an den COO des Unternehmens gesendet.
- Ein Ansatz zur Organisation der Informationsinfrastruktur
Die Zertifizierung erforderte globale Änderungen und Ansätze. Ja, wir mussten aufgrund der erhöhten Auslastung eine Reihe von Servergeräten aktualisieren. Insbesondere haben wir einen separaten Server für Ereignissammelsysteme zugewiesen. Der Server war mit großen und schnellen SSD-Laufwerken ausgestattet. Wir haben auf Software für Backups verzichtet und uns für Speichersysteme entschieden, die sofort alle erforderlichen Funktionen bieten. Wir haben mehrere große Schritte in Richtung des Konzepts "Infrastruktur als Code" unternommen, das viel Speicherplatz sparte, indem mehrere Server nicht gesichert wurden. In kürzester Zeit (1 Woche) wurde die gesamte Software auf Workstations auf Win10 aktualisiert. Eines der Probleme, die durch das Upgrade gelöst wurden, war die Möglichkeit, die Verschlüsselung zu aktivieren (in der Pro-Version).
- Kontrolle über Papierdokumente
Das Unternehmen hatte erhebliche Risiken im Zusammenhang mit der Verwendung von Papierdokumenten: Sie konnten verloren gehen, am falschen Ort zurückgelassen oder unsachgemäß zerstört werden. Um dieses Risiko zu minimieren, haben wir alle Papierdokumente nach dem Grad der Vertraulichkeit gekennzeichnet und ein Verfahren zur Vernichtung verschiedener Arten von Dokumenten entwickelt. Wenn ein Mitarbeiter einen Ordner öffnet oder ein Dokument nimmt, weiß er genau, in welche Kategorie diese Informationen fallen und wie er damit umgehen soll.
- Anmietung eines Backup-Rechenzentrums
Zuvor wurden alle Unternehmensinformationen auf Servern in einem sicheren Rechenzentrum eines Drittanbieters gespeichert. In diesem Rechenzentrum gab es jedoch keine Notfallmaßnahmen. Die Lösung bestand darin, ein Backup-Cloud-Rechenzentrum zu mieten und dort die wichtigsten Informationen zu sichern. Jetzt werden die Unternehmensinformationen in zwei geografisch entfernten Rechenzentren gespeichert, wodurch das Risiko eines Verlusts minimiert wird.
- Business Continuity Testing
Seit mehreren Jahren verfügt unser Unternehmen über eine Business Continuity Policy (BCP), die das Verfahren beschreibt, mit dem Mitarbeiter in verschiedenen negativen Szenarien handeln müssen (Verlust des Zugangs zu einem Büro, Epidemie, Stromausfälle usw.). Wir haben jedoch nie die Kontinuität getestet - das heißt, wir haben nie gemessen, wie lange es dauern wird, ein Unternehmen in jeder dieser Situationen wiederherzustellen. Im Rahmen der Vorbereitung auf das Zertifizierungsaudit haben wir dies nicht nur getan, sondern auch einen Business Continuity-Testplan für das nächste Jahr entwickelt. Es sei darauf hingewiesen, dass wir ein Jahr später, als wir vor der Notwendigkeit standen, vollständig auf Fernbetrieb umzusteigen, diese Aufgabe in drei Tagen bewältigten.
Es ist wichtig zu beachtendass alle Unternehmen, die sich auf die Zertifizierung vorbereiten, unterschiedliche Startbedingungen haben - daher können in Ihrem Fall völlig unterschiedliche Änderungen erforderlich sein.
Reaktion der Mitarbeiter auf Veränderungen
Seltsamerweise - hier haben wir das Schlimmste erwartet - stellte sich heraus, dass es nicht so schlimm war. Es kann nicht gesagt werden, dass Kollegen die Nachricht über die Zertifizierung mit großer Begeisterung erhalten haben, aber Folgendes war klar:
- Alle wichtigen Mitarbeiter haben die Bedeutung und Unvermeidlichkeit dieser Veranstaltung verstanden.
- Alle anderen Mitarbeiter waren den Schlüsselmitarbeitern gleichgestellt.
Natürlich haben uns die Besonderheiten unserer Branche - das Outsourcing von Buchhaltungsfunktionen - sehr geholfen. Die überwiegende Mehrheit unserer Mitarbeiter leistet hervorragende Arbeit mit ständigen Änderungen in der Gesetzgebung der Russischen Föderation. Dementsprechend wurde die Einführung von ein paar Dutzend neuen Regeln, die jetzt beachtet werden müssen, für sie nicht ungewöhnlich.
Wir haben für alle unsere Mitarbeiter eine neue obligatorische Schulung und Prüfung nach ISO 27001 vorbereitet. Alle entfernten gehorsam die Aufkleber mit Passwörtern von ihren Monitoren und zerlegten die mit Dokumenten übersäten Tische. Es wurde keine laute Unzufriedenheit bemerkt - im Allgemeinen hatten wir großes Glück mit den Mitarbeitern.
Damit haben wir die schmerzhafteste Phase - "Depression" - durchlaufen, die mit Änderungen in unseren Geschäftsprozessen verbunden ist. Es war schwierig und schwierig, aber das Ergebnis übertraf letztendlich alle wildesten Erwartungen.
Lesen Sie die vorherigen Materialien aus dem Zyklus:
5 Phasen der Unvermeidlichkeit der Annahme der ISO / IEC 27001-Zertifizierung. Ablehnung: Missverständnisse über die Zertifizierung nach ISO 27001: 2013, die Machbarkeit der Erlangung eines Zertifikats.
5 Stufen der unvermeidlichen Übernahme der ISO / IEC 27001-Zertifizierung. Wut: Wo soll ich anfangen? Ausgangsdaten. Kosten. Auswahl eines Anbieters.
5 Stufen der unvermeidlichen Übernahme der ISO / IEC 27001-Zertifizierung. Verhandeln: Erstellung eines Umsetzungsplans, Bewertung von Risiken, Erstellung von Richtlinien.
5 Stufen der unvermeidlichen Übernahme der ISO / IEC 27001-Zertifizierung. Depression.
5 Stufen der unvermeidlichen Übernahme der ISO / IEC 27001-Zertifizierung. Annahme.