Вторая стадия эмоционального реагирования на изменения – гнев. Этому соответствует наша стадия борьбы со сложностями начальной подготовки к сертификации – чему и посвящён наш сегодняшний рассказ.
Мы начали путь к сертификату со следующими исходными данными:
Выглядит не очень впечатляюще, правда? Мы даже не представляли, с каким большим количеством сложностей нам придется столкнуться в процессе работы и какое серьезное количество решений нам предстоит принять.
Одна из основных сложностей заключалась в том, что в нашей компании никто не обладал достаточной экспертизой в области информационной безопасности. Ни у кого из сотрудников не было никаких профессиональных сертификатов и профессионального опыта внедрения системы менеджмента информационной безопасности. Это вызывало серьезные опасения: а справимся ли мы с этим? Может быть, нам сначала нужно пройти какое-то обучение? Или необходимо нанять человека, у которого уже есть такой опыт?
Действительно, можно нанять консультанта, но как мы сможем оценить его профессионализм, если мы сами ничего в этом не понимаем?
Забегая вперёд, мы можем сказать: даже с такими исходными данными задача оказалась вполне решаемой. Главное – наличие у команды логики, здравого смысла и чёткого понимания того, зачем компании нужна сертификация.
У нас действительно не было экспертизы, но ведь в век современных технологий нам доступна практически любая информация – бесплатно или за совсем небольшие деньги. Поэтому в начале проекта мы полагали, что с легкостью найдем всю необходимую информацию для успешной подготовки к сертификации в Интернете, а также легко скачаем образцы всех нужных документов.
В реальности всё оказалось совершенно не так:
Во-первых, мы в принципе не совсем понимали, что конкретно нужно «гуглить».
Во-вторых, всё, что мы находили в открытом доступе, было очень размытым – никакой конкретики, никаких реальных кейсов.
В-третьих, все образцы документов, которые мы находили в Интернете, были совсем нерелевантными для нашей компании. И даже на английском языке практически отсутствовали доступные для понимания пошаговые инструкции и кейсы компаний, успешно прошедших сертификацию. Таким образом, путь к сертификату нам пришлось нащупывать самостоятельно.
После усиленного поиска информации в Интернете мы поняли, что для начала нам следует определиться с:
Первые два – это ключевые контрагенты при проведении сертификации, к их выбору стоит отнестись очень внимательно (что мы и сделали). Таким образом, первое, на чём мы решили сфокусироваться – это проведение двух тендеров для выбора этих ключевых контрагентов.
Безусловно, выбор сертифицирующего органа зависит от причин, побудивших вас заняться подготовкой к сертификации. Если Вы дошли до этого места в статье, то, вероятно, сертификат вам нужен не просто для галочки – иначе бы вы уже воспользовались услугами компаний, которые предлагают сделать сертификат за час и 10 тысяч рублей. Соответственно, вам стоит сосредоточить свое внимание на сертифицирующих органах, имеющих обширную международную практику и аккредитованных в интересующих Вас странах.
Компаний, готовых сертифицировать вас в России по стандарту ISO 27001, не так уж много – мы отобрали около 10 приличных участников для тендера. Ключевыми критериями для выбора были:
Удивительно, что по последнему пункту мы получили разброс почти в 10 раз! При этом некоторые из участников тендера заявили, что могут предоставить нам только аудитора-иностранца. Это автоматически означало прохождение сертификационного аудита на английском языке, что для нас, в принципе, не представляло большой проблемы, так как все ключевые сотрудники знают его на высоком уровне, но для кого-то это определенно может стать проблемой.
Позже мы узнали, что специалистов, которые могут проводить сертификационный аудит по этому стандарту, в нашей стране очень немного. Почти все они работают на несколько сертифицирующих органов и знакомы друг с другом.
Компаний, предлагающих свои услуге по подготовке к сертификации, сейчас довольно много. Однако, не все из них реально могут помочь – некоторые из них, по сути, просто вышлют вам шаблоны политик, где нужно вставить имя вашей компании, не вникая при этом в ваши бизнес-процессы. Естественно, такой подход мало поможет вам при сертификации.
Концептуально, есть 2 решения поставленной задачи:
При подготовке к сертификации мы действовали по второму сценарию. Исходя из нашего опыта, можно дать несколько советов по поводу выбора консультанта для сертификации:
В процессе сбора материалов, необходимых для подготовки к сертификации, выяснились удивительные вещи. Например, тот факт, что ISO 27001 завязан на некоторое количество смежных стандартов (с которыми следует ознакомиться хотя бы поверхностно).
Это, например, такие стандарты, как:
Вышеперечисленный список является основополагающим, но не всеобъемлющим. Каждая компания формирует его исходя из собственной потребности. Мы предпочли не «изобретать велосипед» и, например, в вопросах управления рисками и проведения аудита систем менеджмента опирались на ISO 31000 и ISO 19011 соответственно. Вспомогательный стандарт ISO 27003 помог нам своей сопутствующей информацией по внедрению 27001. Но больше всего мы работали с ISO 22301, который необходим для описания той части политик, которые отвечают за business continuity plan (BCP).
«Вишенкой» на торте стало отсутствие актуальных текстов этих стандартов в открытом доступе. Хочешь ознакомиться с содержанием – покупай официальный текст на сайте ISO за ~10 тысяч рублей.
В рамках подготовки к старту проекта мы, естественно, решили посчитать, во сколько нам обойдётся сертификация.
— затраты на гонорар сертифицирующему органу,
— затраты на гонорар консультанту для подготовки к сертификации,
— командировочные расходы аудитора,
— представительские расходы,
— затраты на маркировку документов (на все папки с документами, коих в бухгалтерской компании невероятно много, пришлось наклеить наклейки разных цветов),
— затраты на покупку официальных текстов стандартов,
— затраты на оборудование всех помещений, выходящих на общую территорию бизнес-центров, СКУД (системами контроля и управления доступом),
— затраты на софт (DLP-система, внедрение двухфакторной авторизации и т.д.),
— модернизация «железа» компании (как серверного, так и «операционного»),
— дополнительные затраты на ЦОД(ы),
— человеко-часы сотрудников, вовлеченных в сертификацию.
Очень советуем заложить в бюджете запас, так как все необходимые затраты перед стартом проекта спрогнозировать крайне сложно.
Таким образом, на старте проекта по сертификации мы испытали очень большое количество гнева – к счастью, в итоге нам удалось справиться и с этим. :)
Читайте также:
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата/
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
Мы начали путь к сертификату со следующими исходными данными:
- cроки сертификации: как можно скорее;
- бюджет: чем меньше, тем лучше (но так, чтобы всё было прилично);
- команда: 1,5-2 человека (менеджер проекта + периодически подключавшиеся сотрудники IT-отдела и руководство);
- знания команды в области информационной безопасности: так себе.
Выглядит не очень впечатляюще, правда? Мы даже не представляли, с каким большим количеством сложностей нам придется столкнуться в процессе работы и какое серьезное количество решений нам предстоит принять.
Мы ведь совсем ничего не знаем!
Одна из основных сложностей заключалась в том, что в нашей компании никто не обладал достаточной экспертизой в области информационной безопасности. Ни у кого из сотрудников не было никаких профессиональных сертификатов и профессионального опыта внедрения системы менеджмента информационной безопасности. Это вызывало серьезные опасения: а справимся ли мы с этим? Может быть, нам сначала нужно пройти какое-то обучение? Или необходимо нанять человека, у которого уже есть такой опыт?
Спойлер:
Таких людей в принципе очень мало на рынке, так как на всю страну есть 70 действующих сертификатов.
Действительно, можно нанять консультанта, но как мы сможем оценить его профессионализм, если мы сами ничего в этом не понимаем?
Забегая вперёд, мы можем сказать: даже с такими исходными данными задача оказалась вполне решаемой. Главное – наличие у команды логики, здравого смысла и чёткого понимания того, зачем компании нужна сертификация.
Может просто «загуглить»?
У нас действительно не было экспертизы, но ведь в век современных технологий нам доступна практически любая информация – бесплатно или за совсем небольшие деньги. Поэтому в начале проекта мы полагали, что с легкостью найдем всю необходимую информацию для успешной подготовки к сертификации в Интернете, а также легко скачаем образцы всех нужных документов.
В реальности всё оказалось совершенно не так:
Во-первых, мы в принципе не совсем понимали, что конкретно нужно «гуглить».
Во-вторых, всё, что мы находили в открытом доступе, было очень размытым – никакой конкретики, никаких реальных кейсов.
В-третьих, все образцы документов, которые мы находили в Интернете, были совсем нерелевантными для нашей компании. И даже на английском языке практически отсутствовали доступные для понимания пошаговые инструкции и кейсы компаний, успешно прошедших сертификацию. Таким образом, путь к сертификату нам пришлось нащупывать самостоятельно.
С какого конца начать распутывать клубок?
После усиленного поиска информации в Интернете мы поняли, что для начала нам следует определиться с:
- сертифицирующим органом;
- консультантом по сертификации (ведь у нас реально нет экспертизы – и нужно найти кого-то, у кого она уже есть);
- технологические средства для разработки и ведения системы (в последующих статьях мы более детально раскроем этот немаловажный пункт).
Первые два – это ключевые контрагенты при проведении сертификации, к их выбору стоит отнестись очень внимательно (что мы и сделали). Таким образом, первое, на чём мы решили сфокусироваться – это проведение двух тендеров для выбора этих ключевых контрагентов.
Как выбрать сертифицирующий орган?
Безусловно, выбор сертифицирующего органа зависит от причин, побудивших вас заняться подготовкой к сертификации. Если Вы дошли до этого места в статье, то, вероятно, сертификат вам нужен не просто для галочки – иначе бы вы уже воспользовались услугами компаний, которые предлагают сделать сертификат за час и 10 тысяч рублей. Соответственно, вам стоит сосредоточить свое внимание на сертифицирующих органах, имеющих обширную международную практику и аккредитованных в интересующих Вас странах.
Компаний, готовых сертифицировать вас в России по стандарту ISO 27001, не так уж много – мы отобрали около 10 приличных участников для тендера. Ключевыми критериями для выбора были:
- наличие международных аккредитаций,
- портфолио клиентов и их рекомендации,
- цена.
Удивительно, что по последнему пункту мы получили разброс почти в 10 раз! При этом некоторые из участников тендера заявили, что могут предоставить нам только аудитора-иностранца. Это автоматически означало прохождение сертификационного аудита на английском языке, что для нас, в принципе, не представляло большой проблемы, так как все ключевые сотрудники знают его на высоком уровне, но для кого-то это определенно может стать проблемой.
Позже мы узнали, что специалистов, которые могут проводить сертификационный аудит по этому стандарту, в нашей стране очень немного. Почти все они работают на несколько сертифицирующих органов и знакомы друг с другом.
Как выбрать консультанта по подготовке к сертификации?
Компаний, предлагающих свои услуге по подготовке к сертификации, сейчас довольно много. Однако, не все из них реально могут помочь – некоторые из них, по сути, просто вышлют вам шаблоны политик, где нужно вставить имя вашей компании, не вникая при этом в ваши бизнес-процессы. Естественно, такой подход мало поможет вам при сертификации.
Концептуально, есть 2 решения поставленной задачи:
- Подготовка консультантом всех документов «под ключ». Этот подход, несомненно, позволит не сильно загружать своих сотрудников подготовкой к сертификации. Однако, здесь риск того, что ваши процессы и процедуры будут задокументированы недостаточно достоверно.
- Проверка консультантом документов, подготовленных вашими сотрудниками. Здесь, вероятно, качество документации будет лучше, поскольку её будут готовить те сотрудники, которые хорошо знакомы с процессами.
При подготовке к сертификации мы действовали по второму сценарию. Исходя из нашего опыта, можно дать несколько советов по поводу выбора консультанта для сертификации:
- Просите рекомендации компаний-консультантов у сертифицирующих органов, среди которых вы проводите тендер – именно так мы нашли своего.
- Заранее обговаривайте и фиксируйте в договоре объем и состав работ, а также ответственность каждой стороны.
- Поддерживайте связь с консультантом регулярно на протяжении всего периода подготовки к сертификации – это позволит сэкономить время и избежать необходимости переделывать большие куски документации.
Окей, но теперь-то всё нормально?
В процессе сбора материалов, необходимых для подготовки к сертификации, выяснились удивительные вещи. Например, тот факт, что ISO 27001 завязан на некоторое количество смежных стандартов (с которыми следует ознакомиться хотя бы поверхностно).
Это, например, такие стандарты, как:
- ISO 19011 – Руководящие указания по аудиту систем менеджмента
- ISO 22301 – Системы менеджмента непрерывности бизнеса
- ISO 31000 – Менеджмент рисков. Принципы и руководящие указания
- ISO 27003 – Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности
Вышеперечисленный список является основополагающим, но не всеобъемлющим. Каждая компания формирует его исходя из собственной потребности. Мы предпочли не «изобретать велосипед» и, например, в вопросах управления рисками и проведения аудита систем менеджмента опирались на ISO 31000 и ISO 19011 соответственно. Вспомогательный стандарт ISO 27003 помог нам своей сопутствующей информацией по внедрению 27001. Но больше всего мы работали с ISO 22301, который необходим для описания той части политик, которые отвечают за business continuity plan (BCP).
Спойлер:
Если в своих политиках вы ссылаетесь на конкретный стандарт, текст данного стандарта должен быть приобретен вами и быть в наличии.
«Вишенкой» на торте стало отсутствие актуальных текстов этих стандартов в открытом доступе. Хочешь ознакомиться с содержанием – покупай официальный текст на сайте ISO за ~10 тысяч рублей.
А сколько это будет стоить?
В рамках подготовки к старту проекта мы, естественно, решили посчитать, во сколько нам обойдётся сертификация.
Спойлер
Общая структура затрат на сертификацию в нашем случае выглядела так:На компанию из 100 человек с 3 офисами мы потратили приблизительно 1 миллион рублей (и это без учёта стоимости часов сотрудников – эту страшную цифру мы просто решили не считать).
— затраты на гонорар сертифицирующему органу,
— затраты на гонорар консультанту для подготовки к сертификации,
— командировочные расходы аудитора,
— представительские расходы,
— затраты на маркировку документов (на все папки с документами, коих в бухгалтерской компании невероятно много, пришлось наклеить наклейки разных цветов),
— затраты на покупку официальных текстов стандартов,
— затраты на оборудование всех помещений, выходящих на общую территорию бизнес-центров, СКУД (системами контроля и управления доступом),
— затраты на софт (DLP-система, внедрение двухфакторной авторизации и т.д.),
— модернизация «железа» компании (как серверного, так и «операционного»),
— дополнительные затраты на ЦОД(ы),
— человеко-часы сотрудников, вовлеченных в сертификацию.
Очень советуем заложить в бюджете запас, так как все необходимые затраты перед стартом проекта спрогнозировать крайне сложно.
Таким образом, на старте проекта по сертификации мы испытали очень большое количество гнева – к счастью, в итоге нам удалось справиться и с этим. :)
Читайте также:
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата/
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
TheGodfather
Не хватает вводной части, что это вообще за сертификация, зачем нужна и где была первая часть.
Acsour Автор
Добрый день! В конце статьи мы дали ссылку на первую часть, вот она
В следующий раз перенесем ссылку в начало материала)