Haçan-da kompaniýada müşderi bazalary, maliýe maglumatlary, täjirçilik teklipleri ýa-da başlangyç kod bar bolsa, howpsuzlyk meselesi «bolsa gowy» ýagdaýyndan «hökmany» derejesine geçýär. ISO 27001 maglumat howpsuzlygy standarty boýunça şahadatnama hyzmatdaşlara we sargytçylara töwekgelçilikleri tötänleýin däl-de, ulgamlaýyn dolandyrýandygyňyzy görkezýär — awtoulagdaky howpsuzlyk kemeri ýaly: köplenç üns berilmeýär, emma gerek pursatda halas edýär.
Halkara ISO 27001 standarty (ISO/IEC 27001) maglumat howpsuzlygyny dolandyryş ulgamyna (SUID/ISMS) talaplary kesgitleýär: maglumatlaryň syzmagyndan, bökdençliklerden we ygtyýarsyz elýeterlilikden goramak üçin adamlara, proseslere we tehnologiýalara degişli talaplar. Gazagystan, Özbegistan, Gruziýa we Gyrgyzystandaky kompaniýalar üçin bu aýratyn möhüm, esasan hem korporatiw müşderiler, banklar, IT-aýtsorsing, hyzmat merkezleri, önümçilik bilen işleýän bolsaňyz ýa-da tenderlere gatnaşýan bolsaňyz.
ISO 27001 sertifikasiýasy näme berýär
Şahadatnama — bu diwara asyljak kagyz däl, bazar üçin düşnükli bir signal: töwekgelçilikler hasaba alnypdyr, elýeterlilikler sazlanandyr, insidentler işlemäge alnyp barylýar, jogapkärçilik bolsa berkidilendir. Adatça biznes şeýle peýdalary alýar:
- müşderiler we halkara hyzmatdaşlar tarapyndan has uly ynam;
- satyn alyşlarda we komplaýens-barlaglaryndan geçende ornuňy güýçlendirmek;
- insidentleriň sebäpli durgunlygyň we ýitgileriň ähtimallygyny azaltmak (proseduralar we gözegçilik arkaly);
- aýdyň düzgünler: kim, nämä we näme üçin elýeterlidir;
- dolandyrylyş: howpsuzlyk bir gezeklik “aksiýa” däl-de, dowamly proses bolýar.
Ädimme-ädim: ISO 27001 şahadatnamasyny nädip almaly
Proses, tapgyrlap ilerleseňiz, düşünükli we öňünden çak edilýär. Aşakda — TОО «Sistem Menedžment» tarapyndan GDA ýurtlarynda müşderilere goldaw bermek üçin ulanylýan nusgawy ýol kartasy.
Başlamazdan ozal MHD ulgamynyň (SUID/ISMS) çäklerini kesgitlemek möhümdir: haýsy bölümler, hyzmatlar, şahamçalar we ulgamlar sertifikasiýa girýär, şeýle hem maksatlar we möhüm aktiwler (maglumatlar, infrastruktura, işgärler) nämeler.
1) Diagnostika (Gap-analysis): häzirki ýagdaýy ISO 27001 talaplary bilen deňeşdirýäris we iş meýilnamasyny düzýäris.
2) Töwekgelçilikleri bahalandyrmak: howplary, gowşak ýerleri, ýüze çykmak ähtimallygyny we ýetirýän zyýany kesgitleýäris; dolandyryş çärelerini saýlaýarys.
3) Çäreleri we resminamalary ornaşdyrmak: syýasatlar, proseduralar, elýeterlilikleri dolandyrmak, insidentleri dolandyrmak, ätiýaç nusga almak, üpjün edijiler bilen iş we ş.m.
4) Işgärleri okatmak: düzgünleriň diňe düzgünnama resminamalarynda däl, “kellälerde” hem işlemegi üçin.
5) Içerki audit we ýolbaşçylygyň tarapyndan seljermek: daşarky barlagdan öň ulgamy barlaýarys.
6) Sertifikasiýa auditi (Stage 1 / Stage 2): daşarky gurama taýýarlygy we ulgamyň hakykatdan işleýşini bahalandyrýar.
7) Şahadatnamany almak we soňraky gözegçilik: her ýyl inspektor auditi we her 3 ýylda bir gezek gaýtadan sertifikasiýa.
Bu ädimlerden soň siz işleýän ulgamly çözgüdi we onuň standart talaplaryny hakykatdan ýerine ýetirýändiginiň tassyknamasyny alarsyňyz — diňe “galka üçin” däl.
Haýsy resminamalar we amallar köplenç gerek bolýar
«Resminamalar» diýen sözden gorkmaly däl: ISO 27001 papkanyň galyňlygyny däl-de, dolandyrylyş derejesini bahalandyrýar. Adatça aşakdakylar taýýarlanylýar we/ýa-da täzelenýär:
- maglumat howpsuzlygy syýasaty we maksatlar;
- aktiwleriň reýestri we maglumatlary klassifikasiýa etmek düzgünleri;
- töwekgelçilikleri bahalandyrmak usulyýeti we töwekgelçilikleri işläp bejermek meýilnamasy;
- elýeterlilikleri, parollary, aýratyn hukuklary (priwilegiýalary) dolandyrmak;
- insidentlere jogap bermek we žurnallaşdyrma (log ýazgylary);
- ätiýaç nusga almak we dikeltmek;
- üpjün edijileri we bulut hyzmatlaryny dolandyrmak;
- üznüksizlik/dikeltmek meýilnamasy (biznesiň göwrümine görä).
Möhletler we bahanyň nämeden baglydygy
ISO 27001 sertifikasiýasy adatça birnäçe hepdeden birnäçe aýa çenli dowam edýär — bu kompaniýanyň göwrümine, prosesleriň kämillik derejesine we saýlanan sertifikasiýa çägine bagly (bir ofis / kompaniýalar topary, bir önüm / ähli hyzmatlar). Býujete meýdançalaryň sany, IT-infrastrukturaň çylşyrymlylygy we tehniki çäreleri goşmaça sazlamagyň zerurlygy täsir edýär.
Näme üçin goldaw almak “özüň etmeli” bolmakdan has bähbitli
ISO 27001-i öz güýjüňiz bilen hem ornaşdyrmak bolýar, ýöne köplenç biznes üçin tizligiň bolmagy we talaplaryň düşündirişinde ýalňyşlygyň bolmazlygy has möhüm. TОО «Sistem Menedžment» artykmaç býurokratiýasyz ýol geçmäge kömek edýär: MHD ulgamyny (SUID/ISMS) hakykatdan işleýän görnüşde gurup berýär we auditi ynamly geçmegiňize ýardam edýär — anyk rollar, möhletler we netije bilen.
Eger Gazagystanda, Özbegistanda, Gruziýada ýa-da Gyrgyzystanda kompaniýaňyz üçin başlangyç ýagdaýy we hereket meýilnamasyny anyk düşündirmek isleýän bolsaňyz — konsultasiýa üçin ýüz tutuň. ISO 27001 şahadatnamasyny has çalt almak we telekeçiligiňiz üçin iň ýokary täsir berjek ädimleriň haýsylar bolandygyny aýdyp bereris.