问:我最近升为一家公司的安全经理。该公司有着“遵从审计”的历史,这也就意味着在审计开始之前有许多工作要做,才能确保一切都符合标准,而这家公司成功地做到了这一点。但事后,公司的安全工作又再次松懈下来。您认为,怎样的最佳实践才能建立起一个以信息安全而不是遵从审计为目标的安全文化呢?
答:首先,祝贺您成为一位安全经理!好好干!尽管有时会充满挫折,会让您怀疑您到底能不能成功,但它依然是一个极好的、具有挑战性的工作。不过,我得由衷地称赞您,因为您至少意识到了您工作领域的文化。
所以,您的挑战是不仅要做好安全经理应做的工作,而且还要着手信息安全计划的制定,并促成一种安全文化氛围。下面有一些想法可能对您开展工作有所启发:
会见首席信息官(CIO)、内部审计经理(internal audit manager)、财务总监(CFO)、甚至是首席执行官(CEO),以便更好地了解他们所关注和感兴趣的法规遵从和审计领域。您可以尝试着去确定他们是否真的只关注审计的通过,或者说在这种观点背后是否还有其他的障碍或理由,说不定他们可能会认为开展法规遵从工作过于昂贵。因此,您可以提出一种维持成本水平甚至更低成本的方案,特别是在涉及到罚款时更应这样。
建立一个内部审计计划表。与内部审计部门合作,选择法规遵从的某个部分以便每月都能进行检查。例如,如果公司必须遵从支付卡行业数据安全标准(PCI DSS),那么您可以一个月选取一个领域(即每月选择PCI DSS的12个部分中的一个),并执行抽样调查或非正式的审计。然后,根据确定的调查结果,协助相关责任部门对他们的方案和流程做出冷静的、有重点的修正,以保证对其长期有效,而不仅仅是一个“审计前的突击方案(pre-audit spike)”。
注意业内的竞争对手和其他公司。观察他们的法规遵守问题,并运用他们的经验来使自己的公司有所准备并遵从审计的标准。此外,一定要将您从其他公司学到的教训介绍给行政管理部门,让他们可以更好地接受安全理念,避免公司成为一个被别人学习经验教训的对象。
再一次祝贺您获得了这个新机会,请记住您需要主要关注的工作:保护数据,然后尽最大努力去优先保证法规遵从。
【编辑推荐】