制定信息安全計劃:安全vs.法規遵從
問:我最近升為一家公司的安全經理。該公司有著“遵從審計”的歷史,這也就意味著在審計開始之前有許多工作要做,才能確保一切都符合標準,而這家公司成功地做到了這一點。但事后,公司的安全工作又再次松懈下來。您認為,怎樣的最佳實踐才能建立起一個以信息安全而不是遵從審計為目標的安全文化呢?
答:首先,祝賀您成為一位安全經理!好好干!盡管有時會充滿挫折,會讓您懷疑您到底能不能成功,但它依然是一個極好的、具有挑戰性的工作。不過,我得由衷地稱贊您,因為您至少意識到了您工作領域的文化。
所以,您的挑戰是不僅要做好安全經理應做的工作,而且還要著手信息安全計劃的制定,并促成一種安全文化氛圍。下面有一些想法可能對您開展工作有所啟發:
會見首席信息官(CIO)、內部審計經理(internal audit manager)、財務總監(CFO)、甚至是首席執行官(CEO),以便更好地了解他們所關注和感興趣的法規遵從和審計領域。您可以嘗試著去確定他們是否真的只關注審計的通過,或者說在這種觀點背后是否還有其他的障礙或理由,說不定他們可能會認為開展法規遵從工作過于昂貴。因此,您可以提出一種維持成本水平甚至更低成本的方案,特別是在涉及到罰款時更應這樣。
建立一個內部審計計劃表。與內部審計部門合作,選擇法規遵從的某個部分以便每月都能進行檢查。例如,如果公司必須遵從支付卡行業數據安全標準(PCI DSS),那么您可以一個月選取一個領域(即每月選擇PCI DSS的12個部分中的一個),并執行抽樣調查或非正式的審計。然后,根據確定的調查結果,協助相關責任部門對他們的方案和流程做出冷靜的、有重點的修正,以保證對其長期有效,而不僅僅是一個“審計前的突擊方案(pre-audit spike)”。
注意業內的競爭對手和其他公司。觀察他們的法規遵守問題,并運用他們的經驗來使自己的公司有所準備并遵從審計的標準。此外,一定要將您從其他公司學到的教訓介紹給行政管理部門,讓他們可以更好地接受安全理念,避免公司成為一個被別人學習經驗教訓的對象。
再一次祝賀您獲得了這個新機會,請記住您需要主要關注的工作:保護數據,然后盡最大努力去優先保證法規遵從。
【編輯推薦】
