Финальная стадия эмоционального реагирования на изменения – принятие.
Полным принятием сущности происходящего для нас стало прохождение сертификационного аудита по стандарту ISO 27001 и получение заветного сертификата. Сегодня мы завершаем цикл статей. В конце материала вы найдете ссылки на предыдущие статьи.



Во время подготовки к аудиту, прежде всего, позаботьтесь о формальных деталях визита аудитора в офис. Это нужно, чтобы процесс прошел максимально эффективно и безболезненно.

• Согласуйте с сертифицирующим органом даты проведения аудита

Обычно месяц проведения аудита обсуждается заранее, во время согласования договора с сертифицирующим органом. Ближе к дате проведения сертифицирующий орган, скорее всего, предложит интервалы визита на выбор и вам нужно будет увязать их с расписанием ключевых сотрудников, которые будут принимать участие в аудите. Если вы сертифицируете несколько площадок в разных городах – тщательно продумайте логистику и согласуйте с аудиторской командой.

• Неочевидный пункт – уточните состав и бэкграунд аудиторской команды

Этот пункт может оказаться полезным с точки зрения безопасности бизнеса. Конечно, контроль независимости аудиторской команды – это, прежде всего, задача сертифицирующего органа. Однако оплошности случаются у всех, поэтому не лишним будет проверить биографию потенциальных аудиторов хотя бы на LinkedIn.

Например, мы таким образом выяснили, что один из аудиторов – действующий сотрудник нашего прямого конкурента. К счастью, это обнаружилось до начала проверки и все обошлось, так как он был исключен из состава команды. Но потенциальные риски для бизнеса в этой ситуации были бы значительными.

Четвертая стадия эмоционального реагирования на изменения – депрессия. В этой статье мы расскажем вам о нашем опыте прохождения самой затяжной и малоприятной стадии – об изменениях бизнес-процессов компании с целью достижения их соответствия стандарту ISO 27001.

Ожидание

Первый вопрос, которым мы задались после выбора сертифицирующего органа и консультанта – сколько времени нам реально понадобится на все необходимые изменения?

Изначальный план работ был расписан так, что мы должны были уложиться за 3 месяца.

Третья стадия эмоционального реагирования на изменения – торг. Разобравшись со своим гневом и эмоциональной составляющей, мы начали думать о том, что реально нужно сделать для того, что у нас всё заработало. Настало время изучить стандарт более детально, применить его к нашей текущей ситуации и адаптировать его требования под нашу компанию. Здесь важно было при соблюдении требований стандарта обойтись «малой кровью». Любые изменения должны были быть адекватными – то есть соизмеримыми с соответствующим риском. Затраты на защиту не должны были превышать возможный ущерб от реализации риска.

Вторая стадия эмоционального реагирования на изменения – гнев. Этому соответствует наша стадия борьбы со сложностями начальной подготовки к сертификации – чему и посвящён наш сегодняшний рассказ.

В случае принятия любого стратегически важного решения для компании сотрудники проходят базовый защитный механизм, хорошо известный под названием 5 стадий реагирования на изменения (автор Э. Кюблер–Росс). Выдающийся психолог когда-то описала эмоциональные реакции, выделив 5 ключевых стадий эмоционального реагирования: отрицание, гнев, торг, депрессия и, наконец, принятие. Мы подготовили цикл статей, посвященных сертификации по ISO 27001, где рассмотрим каждую из стадий. Сегодня мы расскажем о первой из них – отрицание.

На сегодняшний день вопрос информационной безопасности (далее – ИБ) компаний является одним из наиболее актуальных в мире. И это неудивительно, ведь во многих странах происходит ужесточение требований к организациям, которые хранят и обрабатывают персональные данные. В настоящее время российское законодательство требует сохранения значительной доли документооборота в бумажном виде. При этом ощутим тренд на цифровизацию: многие компании уже хранят большое количество конфиденциальной информации как в цифровом формате, так и в виде бумажных документов.