«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
3 головні проблеми ISO 27001 та як їх подолати
Зміст
· Вступ
· Ресурсне забезпечення
· Культурний опір
· Досконалість безпеки
· Не стримуйте
Вступ
ISO 27001 , всесвітньо визнаний стандарт систем управління інформаційною безпекою (СУІБ), пропонує надійну основу для захисту конфіденційних даних. Хоча переваги сертифікації ISO 27001 незаперечні, процес впровадження може створювати значні труднощі.
У цій статті ми розглянемо три поширені перешкоди, з якими організації часто стикаються на шляху до впровадження ISO 27001, та запропонуємо практичні стратегії для їх подолання.
Розуміючи та вирішуючи ці проблеми, ви можете успішно впровадити ISO 27001 та отримати вигоду від покращеної інформаційної безпеки.
Ресурсне забезпечення
Перша проблема полягає в тому, що впровадження та функціонування ISO 27001 вимагає навчених та досвідчених людей. Крім того, організації рідко мають такі внутрішні навички, тому ось найпоширеніші підходи до вирішення цієї проблеми:
· Використовуйте інструментальні набори ISO 27001
· Залучити консультантів
· Найняти фахівця з інформаційної безпеки
Навчання існуючого персоналу
Практично, обраний вами варіант залежатиме від вашого розміру, складності та бюджету. Насправді, з часом ви будете використовувати комбінацію цих підходів, але з чого почати?
Найкраще почати з набору інструментів ISO 27001 , оскільки він являє собою найменш витратний та найменш ризикований варіант і забезпечує основу, на якій ви можете будувати далі. Ці набори інструментів, які коштують сотні, а не тисячі, надають усе необхідне. Почавши звідси, ви зможете визначити, яка додаткова допомога вам потрібна, і використовувати її залежно від потреб.
Наступним кроком зазвичай є звернення до консультантів, оскільки вони надають вам необхідні навички та ресурси та можуть неймовірно швидко вирішити певну проблему, хоча й зі значними витратами.
Роль консультанта включає навчання існуючого персоналу, яке слід доповнювати більш формальним навчанням на основі попереднього запису та проведенням курсів.
Саме на цьому етапі, коли ви повністю знаєте та розумієте, що потрібно і що потрібно вам, ви маєте звернутися до фахівця з інформаційної безпеки.
Культурний опір
Впровадження ISO 27001 у вашу організацію разом із існуючими пріоритетами та проектами може бути складним завданням, особливо залежно від вашої загальної культури. Стандарт вимагає великої кількості документації, яку вам доведеться або створити з нуля, або прискорено виконати за допомогою інструментарію ISO 27001, і він вводить концепцію зрілості процесу. Зрілість процесу означає документування процесів та підтвердження їхньої роботи.
Це може бути величезним культурним розривом у сучасних організаціях і тією сферою, яка призведе до вашої невдачі, якщо ви не підійдете до цього правильно.
Проблеми подолання культурного опору ґрунтуються на методах людської психології, а саме на розумінні людей та задоволенні їхніх потреб.
Звичайний підхід до подолання культурного опору такий:
· Аналіз зацікавлених сторін : розуміння ключових гравців, як внутрішніх, так і зовнішніх для організації, та безпосереднє задоволення їхніх потреб.
· Підтримка керівництва : забезпечення вашої прямої узгодженості з бізнес-цілями та підтримки вищого керівництва, яке зобов'язалося допомогти впровадженню та надати необхідні ресурси у вигляді часу, грошей та людей.
· Комунікація : спілкування на всіх етапах впровадження з усіма, на кого це вплине, щоб показати переваги того, що буде зроблено, що фактично буде зроблено, що зміниться та внесок людей.
· Залучення : взаємодія з експертами з предметної області в організації та усвідомлення того, що стандарт не містить усіх відповідей і не диктує, як вести бізнес, або не диктує зміни в бізнес-операціях, а радше те, що ці бізнес-операції враховують інформаційну безпеку.
Досконалість безпеки
Концепція досконалості інформаційної безпеки відсутня у стандарті ISO 27001. ISO 27001 – це система управління ризиками, яка впроваджує засоби контролю та безпеку, пропорційні ризику та виходячи з потреб бізнесу.
Ваша інформаційна безпека не обов'язково має бути ідеальною. Вона має бути достатньою, щоб зменшити ризик, який у вас є, або щоб її сприймати як ризик її відсутності.
Йдеться про прагматичність, а не про ідеал. Йдеться про побудову фундаменту, а потім про постійне вдосконалення та покращення. Постійне вдосконалення є закладеним у стандарт і є одним з основних елементів системи управління. Розуміння того, що з часом все поступово покращується, у тому числі процеси для управління цим.
Не стримуйте
Час розпочати свою подорож до інформаційної безпеки – саме зараз. З правильними інструментами та онлайн-інструкціями кожна подорож починається з кроку. Є труднощі, але не дозволяйте їм зупиняти вас.
Чи це всі труднощі, з якими ви зіткнетеся? Звичайно, це не так, але вони є найпоширенішими.
Чи було щось, що коли-небудь було варте досягнення, простим і без труднощів?
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков,
Мій номер телефону: +380 50 384-21-76, stas@abcgroup.com.ua