制定信息安全計(jì)劃:安全vs.法規(guī)遵從
問:我最近升為一家公司的安全經(jīng)理。該公司有著“遵從審計(jì)”的歷史,這也就意味著在審計(jì)開始之前有許多工作要做,才能確保一切都符合標(biāo)準(zhǔn),而這家公司成功地做到了這一點(diǎn)。但事后,公司的安全工作又再次松懈下來。您認(rèn)為,怎樣的最佳實(shí)踐才能建立起一個(gè)以信息安全而不是遵從審計(jì)為目標(biāo)的安全文化呢?
答:首先,祝賀您成為一位安全經(jīng)理!好好干!盡管有時(shí)會(huì)充滿挫折,會(huì)讓您懷疑您到底能不能成功,但它依然是一個(gè)極好的、具有挑戰(zhàn)性的工作。不過,我得由衷地稱贊您,因?yàn)槟辽僖庾R(shí)到了您工作領(lǐng)域的文化。
所以,您的挑戰(zhàn)是不僅要做好安全經(jīng)理應(yīng)做的工作,而且還要著手信息安全計(jì)劃的制定,并促成一種安全文化氛圍。下面有一些想法可能對(duì)您開展工作有所啟發(fā):
會(huì)見首席信息官(CIO)、內(nèi)部審計(jì)經(jīng)理(internal audit manager)、財(cái)務(wù)總監(jiān)(CFO)、甚至是首席執(zhí)行官(CEO),以便更好地了解他們所關(guān)注和感興趣的法規(guī)遵從和審計(jì)領(lǐng)域。您可以嘗試著去確定他們是否真的只關(guān)注審計(jì)的通過,或者說在這種觀點(diǎn)背后是否還有其他的障礙或理由,說不定他們可能會(huì)認(rèn)為開展法規(guī)遵從工作過于昂貴。因此,您可以提出一種維持成本水平甚至更低成本的方案,特別是在涉及到罰款時(shí)更應(yīng)這樣。
建立一個(gè)內(nèi)部審計(jì)計(jì)劃表。與內(nèi)部審計(jì)部門合作,選擇法規(guī)遵從的某個(gè)部分以便每月都能進(jìn)行檢查。例如,如果公司必須遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),那么您可以一個(gè)月選取一個(gè)領(lǐng)域(即每月選擇PCI DSS的12個(gè)部分中的一個(gè)),并執(zhí)行抽樣調(diào)查或非正式的審計(jì)。然后,根據(jù)確定的調(diào)查結(jié)果,協(xié)助相關(guān)責(zé)任部門對(duì)他們的方案和流程做出冷靜的、有重點(diǎn)的修正,以保證對(duì)其長期有效,而不僅僅是一個(gè)“審計(jì)前的突擊方案(pre-audit spike)”。
注意業(yè)內(nèi)的競爭對(duì)手和其他公司。觀察他們的法規(guī)遵守問題,并運(yùn)用他們的經(jīng)驗(yàn)來使自己的公司有所準(zhǔn)備并遵從審計(jì)的標(biāo)準(zhǔn)。此外,一定要將您從其他公司學(xué)到的教訓(xùn)介紹給行政管理部門,讓他們可以更好地接受安全理念,避免公司成為一個(gè)被別人學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)的對(duì)象。
再一次祝賀您獲得了這個(gè)新機(jī)會(huì),請(qǐng)記住您需要主要關(guān)注的工作:保護(hù)數(shù)據(jù),然后盡最大努力去優(yōu)先保證法規(guī)遵從。
【編輯推薦】
