Elsősorban projektmenedzserként, másodsorban tanácsadóként szoktam részt venni a FORTIX tagjaként IBIR (ISMS) bevezetés projektekben, illetve a rendszer fenntartásának támogatásában.
Igen szerteágazó projekt tud lenni egy bevezetés, mind időben, mind a szükséges erőforrások tekintetében. Maga a rendszer fenntartása, valamint az első és aztán az ismétlődő éves auditokra való felkészülés is komoly szervezési feladatokat ró a felelősökre.

Vida Sanyi kollégámmal (tanácsadó, GRC-GDPR Team Leader) összeszedtünk néhány kihangsúlyozandó tanulságot, titkos tippet, amit IBIR (ISMS) bevezetés előtt állóknak és egy audit küszöbén álldogálóknak egyaránt ajánlani tudunk.

Hatókör (Scope):

• Most nem a szervezet auditált részéről van szó, hanem magáról a projektmunka scopejáról, határairól.
• Nagyon pontosan tisztázni kell, mettől-meddig tart a projekt hatóköre– ez természetesen általában bármilyen projektre igaz, a mi esetünkben fontos adalék, hogy az információbiztonság a laikus számára jóval tágabb és szűkebb is lehet, mint ahogy számunkra már evidensnek mondható, ezért különösen fontos, hogy közös nevezőn legyünk
  • pontosan tisztázni kell az elején, hogy milyen leszállítandókat, milyen csatornákon keresztül várunk egymástól milyen nyelven/nyelveken.
  • így elkerülhető például, hogy azzal keressenek meg, hogy mondjuk már meg hogyan kell telepíteni a Teams-t.

Szerepkörök, felelősségi körök: (Roles and responsibities):

Pontosan tisztázni kell, szájbarágósan, le is írni (Projektindító dokumentum) hogy kinek mi a feladata a projekt során, kinek meddig tart saját hatóköre.

Ez a pont segít a legjobban elkerülni a későbbiekben, hogy valamilyen félreértés miatt megakadjanak a folyamataink.

Kiemelnénk a vezetőség feladatát (itt: a szponzor), azaz a vezetői elkötelezettség fontosságát, ami ideális esetben nem csak a „kell a tanúsítvány, tessék itt a pénz rá” nagyvonalú kijelentésben, hanem valós erőforrás hozzárendelésben is megvalósul.

Erre előbb-utóbb a szponzorok rájönnek, ideális esetben a projekt tervezésénél, rosszabb esetben a megvalósítás folyamán, azonban tanácsadóként megküzdeni a kollégák elérhetőségével (vagy inkább elérhetetlenségével) jelentős kihívást, a projekt kimenetelére nézve pedig kockázatot jelent.

Tanácsadóként ne csak a saját, hanem az ügyfél erőforrásaival (~korlátaival) is érdemes számolni, ahogy a szerepkörök között esett már szó róla, úgy itt is fontos kiemelni, hogy nem elég „kívülről akarni” a tanúsítványt (és a szabvány által megkövetelt működést), hanem belülről is, aminek mércéje általában a vezetők által delegált pénz, fegyver, paripa.

Változáskezelés (Change management): 

Különösen fontos az előző ponthoz kapcsolódva, hogy előfordulhatnak „kivételes”, „sürgős”, „most esett be”, „tegnapra kell” hívószavú feladatok, amik a projektünkhöz szorosabban vagy lazábban kapcsolódhatnak és bár pontosan lehetetlen, de lélekben mégis számítsunk ilyenekre!

1. Mindenképpen tegyük közzé a projekt csapatban, készítsünk a lehetőségekhez képest ráfordítás becslést, majd kérjünk deklarált döntést a projekt szponzorától.
2. Írásban legyen nyoma, miszerint belefér-e a projekt scope-ba vagy sem, nem borít-e fel más feladatot olyan mértékben, ami már nem lenne szerencsés
3. Legyenek ezek a keretek mindkét fél számára tisztázottak, a későbbi félreértések elkerülése végett.
4. Továbbá fontos kihangsúlyozni, hogy az ilyen jellegű feladatok nem eshetnek be rendszeresen, mert akkor biztosan borul vele a projekt, sok ember egyeztett ráérései, kifizetések, fix határidők stb.

Kockázatok: 

• Általánosan és a felekre speciálisan jellemző kockázati tényezők nyilvántartása.
• Projekt kockázatok, mint erőforrás hiány, vezetői elkötelezettség hiány, rendelkezésre állás hiány
  • a lehető legtranszparensebben próbáljunk részt venni a projektben, és erre bíztassuk minden résztvevőt, értve ez alatt azt, hogy számítsunk a legjobbra, de készüljünk a legrosszabbra is, vagyis tárjunk fel őszintén mindent, ami problémát okozhat
  • ne maradjanak csontvázak a szekrényben!

Kommunikáció: 

• Communication Plan fontossága! A bevezetés projekt legelején érdemes leütni hogy kivel, mit, mikor, milyen formában fogunk megosztani. Élő dokumentum olyan szempontból, hogy bővíthető és redukálható természetesen, a projekt során kijövő plusz információk mentén… érdemes persze egy Projektindító dokumentumba illeszteni.
• Mindenképpen a projekt elején az egész szervezet tudomására hozni, a vezetőség támogatásával egyfajta announcementtel (körlevél vagy élő felhívás), hogy egy bevezetés projekt zajlik a házuk táján, addig ismeretlen emberektől kaphatnak emaileket, kéréseket.

  Mindig kérjünk a vezetőségtől nyomatékosítást!

• Nem csak a projekt elején, de végig a projekt során érdemes nem túl gyakran, de tájékoztatni nemcsak a vezetőséget, de minden érintettet a projekt haladásáról, várható bevonódásuk szükségességéről, hogy kb. mikor számíthatnak rá, mennyi idejüket veheti majd igénybe, fel kell-e készülniük hozzá?
  • Ugyanez igaz az audit napjaira, vagyis időben szólni kell a lehetséges érintettnek, hogy szükség lehet rájuk, hogy ha kell, fel tudjanak készülni anyaggal, emberrel, ráéréssel.
  • Amint tudni lehet a fix vagy legalább provizórikus audit időpontokat, tegyünk be foglalást (blocker) mindenki naptárjába, igen, még annak is, akinek csak egy rövid megbeszélés erejéig kellhet majd megjelennie – magyarázzuk el, miért tesszük ezt?
  • Minél hamarabb konkretizáljuk a meghívókat, hiszen sem a már működő ISMS sem maga bevezetés nem állíttathatja meg fájóan az üzleti folyamatokat.

Soft part & tippek:

• Térképezzük fel, ismerjük meg a szervezet kultúráját, munkánk során adaptálódjunk hozzá!
• Kapcsoljuk be a kamerát online konferencia hívás közben, mindig jobb emberi arcokat kapcsolni a munkához – ha a szervezeti kultúra az ügyfélnél más, akkor persze engedjük el ezt.
• Online audit közben a céges csevegő alkalmazással kapcsolattartási lehetőség 🙂

• Adjuk tudomásukra, hogy csakúgy, mint az auditorok, mi sem a hibákat keressük, hanem a megfelelőség „rájuk húzhatóságát”, ezért meg akarjuk ismerni a valós működésüket is, mert jobb ha még most jönnek ki dolgok, mint téthelyzetben(!) „Jobb ha én jövök ki, mint az orvos…”

  Általunk akár maguk is támogatást érhetnek el számukra is fontos problémák kimutatásával, hisz külsős tanácsadóként hitelesítő erővel bírhatnak a munkánk által feltártak a vezetőség felé.

• Mindig legyünk megértőek, kíváncsiak az adott terület képviselőire, munkájukra!
• A lehető legpontosabb irányítsuk az interjúk során, hogy pontosan milyen témában várjuk valaki hozzájárulását.

• Próbáljunk meg minél több embert minél hamarabb beazonosítani:

  1. kérjük el az Org. chart-ot az első adandó alkalommal!
  2. érdemes folyamatosan hangsúlyozni, hogy mi az ő térfelükön játszunk, egy csónakban evezünk.

Epilógus:

Ha megadjuk a módját-idejét, hogy tudatosan alakítsuk a közös munka kereteit, többszörösen megtérülhet a bele fektetett időnk-energiánk. (Olyat legalábbis még nem láttam, hogy kárba veszett volna. ?) Nem mindegy például, hogy a munka során egy kérdésünkre a lehető leghamarabb vagy többszöri kopogtatás után, hetek alatt jön egy válasz.

Hajlamosak vagyunk úgy gondolni ezekre a megfontolásokra, mint magától értetődő, neadjisten felesleges okoskodásokra, pedig sok felesleges bosszúságtól, félreértéstől, fennakadástól kímélhetjük meg egymást, ha beüzemelés előtt majd folyamatosan „olajozzuk a gépezetet”, de emberekről szólva inkább azt mondhatnánk, hogy ha felépítjük együttműködésünk oázisát, oda mindig jó szívvel lépünk majd be.

Szerző: Csillag Botond