问:我最近升为一家公司的安全经理。该公司有着“服从审计”的历史,这也就意味着在审计开端之前有许多工作要做,才干确保一切都符合标准,而这家公司成功地做到了这一点。但事后,公司的安全工作又再次松懈下来。您认为,怎样的最佳实践才干建立起一个以信息安全而不是服从审计为目标的安全文化呢?
答:首先,庆祝您成为一位安全经理!好好干!尽管有时会充满挫折,会让您猜忌您到底能不能成功,但它依然是一个极好的、具有挑衅性的工作。不过,我得由衷地称赞您,因为您至少意识到了您工作范畴的文化。
所以,您的挑衅是不仅要做好安全经理应做的工作,而且还要着手信息安全打算的制定,并促成一种安全文化气氛。下面有一些想法可能对您开展工作有所启发:
会见首席信息官(CIO)、内部审计经理(internal audit manager)、财务总监(CFO)、甚至是首席履行官(CEO),以便更好地懂得他们所关注和感兴趣的法规服从和审计范畴。您可以尝试着去断定他们是否真的只关注审计的通过,或者说在这种观点背后是否还有其他的障碍或理由,说不定他们可能会认为开展法规服从工作过于昂贵。因此,您可以提出一种保持成本程度甚至更低成本的计划,特别是在涉及到罚款时更应这样。
建立一个内部审计打算表。与内部审计部门合作,选择法规服从的某个部分以便每月都能进行检查。例如,如果公司必须服从支付卡行业数据安全标准(PCI DSS),那么您可以一个月选取一个范畴(即每月选择PCI DSS的12个部分中的一个),并履行抽样调查或非正式的审计。然后,根据断定的调查成果,协助相干义务部门对他们的计划和流程做出冷静的、有重点的修正,以保证对其长期有效,而不仅仅是一个“审计前的突击计划(pre-audit spike)”。
注意业内的竞争对手和其他公司。观察他们的法规遵照问题,并应用他们的经验来使自己的公司有所筹备并服从审计的标准。此外,必定要将您从其他公司学到的教训介绍给行政管理部门,让他们可以更好地接收安全理念,避免公司成为一个被别人学习经验教训的对象。
再一次庆祝您获得了这个新机会,请记住您需要重要关注的工作:保护数据,然后尽最大努力去优先保证法规服从。
相关阅读