Attente
La première question que nous nous sommes posée après avoir choisi une autorité de certification et un consultant était de combien de temps nous faudrait-il pour apporter tous les changements nécessaires?
Le plan de travail original avait été planifié de sorte que nous devions nous réunir dans 3 mois.
Tout semblait simple: il était nécessaire de rédiger une douzaine de politiques et de modifier légèrement nos processus internes; puis enseignez les changements à des collègues et attendez encore 3 mois (pour qu'il y ait des «enregistrements», c'est-à-dire des preuves du fonctionnement des politiques). Il semblait que c'était tout - et le certificat était dans notre poche.
De plus, nous n'allions pas écrire des politiciens à partir de rien - après tout, nous avions un consultant qui, comme nous le pensions, devait nous débarrasser de tous les modèles «corrects».À la suite de ces inférences, nous avons réservé 3 jours pour la préparation de chaque politique.
Les évolutions techniques n'ont pas non plus semblé intimidantes: il a fallu mettre en place la collecte et le stockage des événements, vérifier si les sauvegardes sont conformes à la politique que nous avons écrite, équiper les armoires ACS, le cas échéant, et quelques autres petites choses.
L'équipe préparant tout le nécessaire pour la certification était composée de deux personnes. Nous avions prévu qu'ils seraient engagés dans la mise en œuvre parallèlement à leurs principales responsabilités, et chacun d'eux prendrait un maximum de 1,5 à 2 heures par jour.
En résumé, nous pouvons dire que notre vision du volume de travail à venir était assez optimiste.
Réalité
En fait, les choses étaient naturellement différentes: les modèles de politique fournis par le consultant se sont avérés pour la plupart inapplicables à notre entreprise; il n'y avait presque pas d'informations claires sur Internet sur ce qu'il fallait faire et comment faire. Comme vous pouvez l'imaginer, le projet «d'écrire une politique en 3 jours» a lamentablement échoué. Nous avons donc cessé de respecter les délais presque dès le début du projet et le degré d'humeur a commencé à baisser lentement.
L'expertise de l'équipe était désastreusement réduite - à tel point qu'il ne suffisait même pas de poser les bonnes questions au consultant (qui, d'ailleurs, n'a pas fait preuve de beaucoup d'initiative). L'affaire a commencé à avancer encore plus lentement, puisque 3 mois après le début de la mise en œuvre (c'est-à-dire au moment où tout aurait dû être prêt), l'un des deux acteurs clés a quitté l'équipe. À sa place est venu un nouveau responsable du service informatique, qui a dû terminer le processus de mise en œuvre en peu de temps et fournir au système de gestion de la sécurité de l'information tout le plus nécessaire d'un point de vue technique. La tâche semblait ardue ... Les responsables ont commencé à être déprimés.
De plus, l'aspect technique de la question s'est également avéré "nuancé". Nous avons été confrontés à la tâche de modernisation globale des logiciels tant sur les postes de travail que sur le matériel serveur. Lors de la configuration du système pour collecter les événements (journaux), il s'est avéré que nous ne disposions pas de suffisamment de ressources matérielles pour le fonctionnement normal du système. Et le logiciel de sauvegarde avait également besoin d'être mis à niveau.
Alerte spoiler: En conséquence, le SMSI a été implémenté héroïquement en 6 mois. Et personne n'est même mort!
Qu'est-ce qui a le plus changé?
Bien entendu, lors du processus d'introduction de la norme, un grand nombre de petits changements se sont produits dans les processus de l'entreprise. Nous avons mis en évidence les changements les plus significatifs pour vous:
- Formalisation du processus d'évaluation des risques
Auparavant, l'entreprise ne disposait d'aucune procédure formalisée d'évaluation des risques - cela se faisait uniquement en passant dans le cadre de la planification stratégique globale. L'une des tâches les plus importantes résolues dans le cadre de la certification a été la mise en œuvre de la politique d'évaluation des risques de l'entreprise, qui décrit toutes les étapes de ce processus et les personnes responsables de chaque étape.
- Contrôle des supports amovibles
L'un des risques importants pour les entreprises était l'utilisation de clés USB non chiffrées: en fait, tout employé pouvait écrire toutes les informations dont il disposait sur une clé USB et, au mieux, les perdre. Dans le cadre de la certification, la possibilité de télécharger des informations sur des lecteurs flash a été désactivée sur tous les postes de travail des employés - l'enregistrement des informations n'est devenu possible que via une application au service informatique.
- Contrôle superutilisateur
L'un des principaux problèmes était le fait que tous les employés du service informatique avaient des droits absolus sur tous les systèmes de l'entreprise - ils avaient accès à toutes les informations. En même temps, personne ne les contrôlait vraiment.
Nous avons mis en place le système de prévention des pertes de données (DLP), un programme de contrôle des employés qui analyse, bloque et alerte les activités dangereuses et improductives. Désormais, les notifications sur les actions des employés du service informatique arrivent au courrier du COO de l'entreprise.
- Une approche d'organisation de l'infrastructure de l'information
La certification a nécessité des changements et des approches globaux. Oui, nous avons dû mettre à niveau un certain nombre d'équipements de serveurs en raison de l'augmentation de la charge. En particulier, nous avons alloué un serveur distinct pour les systèmes de collecte d'événements. Le serveur était équipé de disques SSD volumineux et rapides. Nous avons abandonné le logiciel pour les sauvegardes et avons opté pour des systèmes de stockage qui ont toutes les fonctionnalités nécessaires prêtes à l'emploi. Nous avons fait plusieurs pas importants vers le concept d '«infrastructure en tant que code», qui a économisé beaucoup d'espace disque en ne sauvegardant pas un certain nombre de serveurs. Dans les plus brefs délais (1 semaine), tous les logiciels des postes de travail ont été mis à niveau vers Win10. L'un des problèmes résolus par la mise à niveau était la possibilité d'activer le cryptage (dans la version Pro).
- Contrôle des documents papier
L'entreprise présentait des risques importants liés à l'utilisation de documents papier: ils pouvaient être perdus, laissés au mauvais endroit ou détruits de manière inappropriée. Pour minimiser ce risque, nous avons marqué tous les documents papier en fonction du degré de confidentialité et avons développé une procédure de destruction de différents types de documents. Désormais, lorsqu'un employé ouvre un dossier ou prend un document, il sait exactement dans quelle catégorie ces informations appartiennent et comment les gérer.
- Location d'un centre de données de sauvegarde
Auparavant, toutes les informations de l'entreprise étaient stockées sur des serveurs situés dans un centre de données sécurisé tiers. Cependant, il n'y avait aucune procédure d'urgence dans ce centre de données. La solution consistait à louer un centre de données cloud de sauvegarde et à y sauvegarder les informations les plus importantes. Désormais, les informations de l'entreprise sont stockées dans deux centres de données géographiquement distants, ce qui minimise le risque de les perdre.
- Test de continuité d'activité
Depuis plusieurs années, notre entreprise dispose d'une Politique de Continuité d'Activité (PCA), qui décrit la marche à suivre pour que les salariés agissent dans divers scénarios négatifs (perte d'accès à un bureau, épidémie, coupure de courant, etc.). Cependant, nous n'avons jamais testé la continuité, c'est-à-dire que nous n'avons jamais mesuré le temps qu'il faudra pour récupérer une entreprise dans chacune de ces situations. Dans le cadre de la préparation de l'audit de certification, non seulement nous l'avons fait, mais nous avons également élaboré un plan de test de continuité des activités pour l'année suivante. Il est à noter qu'un an plus tard, lorsque nous avons été confrontés à la nécessité de passer complètement à la téléopération, nous avons fait face à cette tâche en trois jours.
Il est important de noterque toutes les entreprises qui se préparent à la certification ont des conditions de départ différentes - par conséquent, dans votre cas, des changements complètement différents peuvent être nécessaires.
Réaction des employés aux changements
Curieusement - ici, nous nous attendions au pire - il s'est avéré pas si mal. On ne peut pas dire que les collègues ont reçu la nouvelle de la certification avec beaucoup d'enthousiasme, mais ce qui suit était clair:
- Tous les employés clés ont compris l'importance et l'inévitabilité de cet événement;
- Tous les autres employés étaient égaux aux employés clés.
Bien sûr, nous avons été grandement aidés par les spécificités de notre industrie - l'externalisation des fonctions comptables. La grande majorité de nos employés font un excellent travail avec des changements constants dans la législation de la Fédération de Russie. En conséquence, l'introduction de deux douzaines de nouvelles règles, qui doivent maintenant être respectées, n'est pas devenue quelque chose d'extraordinaire pour eux.
Nous avons préparé une nouvelle formation et des tests ISO 27001 obligatoires pour tous nos employés. Tous ont docilement enlevé les autocollants avec les mots de passe de leurs moniteurs et ont démonté les tables jonchées de documents. Aucun mécontentement bruyant n'a été remarqué - en général, nous avons eu beaucoup de chance avec les employés.
Ainsi, nous avons franchi l'étape la plus douloureuse - la «dépression» - associée à des changements dans nos processus commerciaux. C'était dur et difficile, mais le résultat a finalement dépassé toutes les attentes les plus folles.
Lisez les précédents matériaux du cycle:
5 étapes de l'inéluctabilité de l'adoption de la certification ISO / IEC 27001. Déni: idées fausses sur la certification ISO 27001: 2013, la faisabilité d'obtenir un certificat.
5 étapes d'adoption inévitable de la certification ISO / IEC 27001. Colère: par où commencer? Donnée initiale. Dépenses. Choisir un fournisseur.
5 étapes d'adoption inévitable de la certification ISO / IEC 27001. Négociation: préparation d'un plan de mise en œuvre, évaluation des risques, rédaction de politiques.
5 étapes d'adoption inévitable de la certification ISO / IEC 27001. Dépression.
5 étapes d'adoption inévitable de la certification ISO / IEC 27001. Adoption.