Компанияда мижозлар базалари, молиявий маълумотлар, тижорат таклифлари ёки дастурнинг манба коди бўлса, хавфсизлик масаласи «яхши бўларди»дан «албатта керак»ка айланади. ISO 27001 ахборот хавфсизлиги стандарти бўйича сертификат шериклар ва буюртмачиларга рискларни «омадга ташлаб» эмас, тизимли тарзда бошқараётганингизни кўрсатади — худди машинадаги хавфсизлик камари каби: кўпинча сезилмайди, аммо керакли пайтда асраб қолади.
Халқаро ISO 27001 стандарти (ISO/IEC 27001) ахборот хавфсизлиги менежменти тизими (АХМТ/ISMS) учун талабларни белгилайди: маълумотларни сизиб чиқиш, носозликлар ва рухсатсиз киришдан ҳимоя қиладиган одамлар, жараёнлар ва технологиялар. Қозоғистон, Ўзбекистон, Грузия ва Қирғизистондаги компаниялар учун бу айниқса долзарб — агар сиз корпоратив мижозлар, банклар, IT-аутсорсинг, сервис марказлари, ишлаб чиқариш билан ишласангиз ёки тендерларда қатнашсангиз.
ISO 27001 сертификатлаштириш нима беради
Сертификат — деворга илиб қўядиган қоғоз эмас, балки бозор учун тушунарли сигнал: рисклар инобатга олинган, кириш ҳуқуқлари тўғри созланган, инцидентлар қайд этилиб ишланади, масъулият эса аниқ белгилаб қўйилган. Одатда бизнес қуйидагиларга эришади:
- мижозлар ва халқаро ҳамкорлар томонидан ишонч ошиши;
- харидлар жараёнида ва комплаенс-текширувлардан ўтишда позицияларнинг мустаҳкамланиши;
- инцидентлар сабабли тўхтаб қолишлар ва йўқотишлар эҳтимолининг камайиши (процедуралар ва назорат ҳисобига);
- шаффоф қоидалар: ким, нимага ва нима учун кириш ҳуқуқига эга экани;
- бошқарувчанлик: хавфсизлик бир марталик «акция» эмас, балки доимий жараёнга айланади.
Қадамма-қадам: ISO 27001 сертификатини қандай олиш мумкин
Жараён босқичма-босқич борилса, мантиқий ва олдиндан тахмин қилинадиган бўлади. Қуйида — ТОО «Систем Менежмент» МДҲда мижозларни қўллаб-қувватлаб борадиган типик «йўл харитаси».
Бошлашдан олдин АХМТ (СМИБ) чегараларини белгилаш муҳим: қайси бўлимлар, сервислар, филиаллар ва тизимлар сертификатлаштиришга киради, шунингдек мақсадлар ва критик активлар (маълумотлар, инфратузилма, ходимлар) аниқланади.
1) Диагностика (Gap-analysis): жорий ҳолатни ISO 27001 талаблари билан таққослаймиз ва ишлар режасини қайд этамиз.
2) Рискларни баҳолаш: таҳдидлар, заифликлар, эҳтимол ва зарарни аниқлаймиз; бошқарув чораларини танлаймиз.
3) Чоралар ва ҳужжатларни жорий этиш: сиёсатлар, тартиб-таомиллар, кириш ҳуқуқларини назорат қилиш, инцидентларни бошқариш, резерв нусха олиш, етказиб берувчилар билан ишлаш ва ҳ.к.
4) Ходимларни ўқитиш: қоидалар фақат регламентларда эмас, балки “онгда” ҳам ишлаши учун.
5) Ички аудит ва раҳбарият томонидан таҳлил: ташқи текширувдан олдин тизимни текширамиз.
6) Сертификатлаштириш аудити (Stage 1 / Stage 2): ташқи орган тайёргарликни ва тизимнинг амалда ишлашини баҳолайди.
7) Сертификатни олиш ва кейинги назорат: ҳар йили инспекцион аудитлар ва ҳар 3 йилда бир марта қайта сертификатлаш.
Ушбу босқичлардан кейин сиз ишлайдиган тизимга ва у ҳақиқатан ҳам стандарт талабларини бажараётганини тасдиқловчи ҳужжатга эга бўласиз — «галочка учун» эмас.
Қайси ҳужжатлар ва амалиётлар кўпинча керак бўлади
«Ҳужжатлар» деган сўздан қўрқиш керак эмас: ISO 27001 папканинг қалинлигини эмас, бошқарувчанликни қадрлайди. Одатда қуйидагилар тайёрланади ва/ёки янгиланади:
- ахборот хавфсизлиги сиёсати ва мақсадлар;
- активлар реестри ва маълумотларни таснифлаш қоидалари;
- рискларни баҳолаш методикаси ва рискларни ишлаш режаси;
- кириш ҳуқуқлари, пароллар ва имтиёзларни бошқариш;
- инцидентларга жавоб бериш ва журналлаш (лог юритиш);
- резерв нусха олиш ва тиклаш;
- етказиб берувчилар ва булутли сервисларни бошқариш;
- узлуксизлик/тиклаш режаси (бизнес масштабига мос равишда).
Муддатлар ва нархга нима таъсир қилади
ISO 27001 сертификатлаштириш одатда муддат бўйича бир неча ҳафтадан бир неча ойгача вақт олади — бу компания кўлами, жараёнларнинг етуклиги ва танланган сертификатлаштириш соҳасига (бир офис/бутун компаниялар гуруҳи, бир маҳсулот/барча сервислар) боғлиқ. Бюджетга эса майдончалар сони, IT-ландшафтнинг мураккаблиги ва техник чораларни қўшимча созлаш зарурати таъсир қилади.
Нега ҳамроҳлик “ўзингиз мустақил” қилишдан фойдалироқ
ISO 27001’ни ўз кучингиз билан жорий этиш мумкин, лекин кўпинча бизнес учун тезлик ва талабларни нотўғри талқин қилиш хатоларисиз ишлаш муҳимроқ бўлади. ТОО «Систем Менежмент» ортиқча бюрократиясиз йўлдан ўтишга ёрдам беради: АХМТ (СМИБ) ни ҳақиқатан ишлайдиган қилиб йўлга қўйиш ва аудитдан ишонч билан ўтиш — аниқ роллар, муддатлар ва натижа билан.
Агар Қозоғистон, Ўзбекистон, Грузия ёки Қирғизистондаги компаниянгиз учун бошланғич нуқтани ва ҳаракатлар режасини аниқ тушунишни истасангиз — консультация учун ариза қолдиринг. ISO 27001 сертификатини тезроқ олиш ва қайси қадамлар бизнесингизга энг катта таъсир бериши ҳақида маслаҳат берамиз.