国际完美世界下载,欢乐颂小说,欢乐颂小说在线阅读

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

創(chuàng)建規(guī)則遵從文化　促進信息安全合規(guī)管理和風(fēng)險管理

很多時候，在考慮建立或者擴大信息安全性并報告給高級管理層時，我們面臨的最大挑戰(zhàn)不是技術(shù)上的，而是文化上的。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序制作、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了梅里斯免費建站歡迎大家使用！

業(yè)務(wù)經(jīng)理猶豫是否應(yīng)該突出有風(fēng)險的領(lǐng)域，因為他們擔心會被人認為沒有盡忠職守。律師擔心在文件中出現(xiàn)漏洞，因為某些漏洞最終會對組織不利。有時，經(jīng)理們不愿意對公司高層講的太多，雖然其中確實可能存在很大的風(fēng)險，但是他們擔心高層不能完全理解這些信息，只會再提出一些無理的要求。

這就是我們作為安全和規(guī)則遵從管理人員所面臨的現(xiàn)狀。如果成熟的公司想全局把握信息安全的風(fēng)險和規(guī)則遵從，這些問題都是必須首先要解決的。

與許多人所認為的相反，在尋求解決安全和規(guī)則遵從的弱點時，知識就是力量，且保持良好的透明度是一件好事。不過，要成功的跨越文化障礙，從而有效地報告信息安全狀況，是需要策略的。一些經(jīng)過時間考驗的解決方案，它們可以用來解決這些阻礙有效管理信息安全風(fēng)險及規(guī)則遵從的文化障礙。

培養(yǎng)規(guī)則遵從文化的幾個建議：

使用直白的語言——毫無疑問，在信息安全報告中決定成敗的最重要因素是語言。簡單地說，任何報告（無論是在記分卡或敘述）必須只限制使用基本的業(yè)務(wù)術(shù)語。不要使用IT術(shù)語，不使用任何模糊的縮寫，不要出現(xiàn)特例。一個IDS系統(tǒng)或其他網(wǎng)關(guān)設(shè)備可能有一份很好的20頁的詳細技術(shù)報告，雖然可能對技術(shù)人員有幫助，但它們不應(yīng)該出現(xiàn)在提供給高管們閱讀的報告中。相反，應(yīng)該要求寫這些報告的人去總結(jié)這些數(shù)據(jù)，使用盡可能簡潔的語言，以便讓不熟悉該項技術(shù)的人也能理解。

公開是安全的——第二大重要的因素是營造一種環(huán)境，讓人在這種環(huán)境下意識到公開是安全的。這意味著人們被允許表達他們所觀察到的潛在危險和操作失敗而不會受到懲罰，管理人員應(yīng)該在條件允許時營造這樣的環(huán)境。對于觀察到的風(fēng)險，重點必須放在風(fēng)險評估及應(yīng)對方案分析。對于操作失敗，報告重點應(yīng)放在

1)發(fā)生了什么事情，

2)應(yīng)該對其做什么，

3)怎么樣使它不再發(fā)生。

責怪是合作的死敵，因此任何紀律處分，必須私下進行。一旦人們開始意識到風(fēng)險和失敗都可以提出來進行合理、健康的討論時，越來越多的風(fēng)險就會突然被人們注意到。

重點放在解決方法上——簡單地說，要確保向管理層匯報任何重大的風(fēng)險，應(yīng)該包括了對該風(fēng)險有一個管理層水平的評估和一個行動計劃（或至少提供一些選項）。過分強調(diào)風(fēng)險本身并不能解決問題，還經(jīng)常給人沒有做好份內(nèi)工作的感覺。但是，提出風(fēng)險的同時順帶一系列的解決方案，會強化一個事實：這個人有在做事。

讓他們做決定——當提供關(guān)于信息安全計劃的遵從規(guī)則的內(nèi)容時，除了讓管理層了解情況，還應(yīng)該給予他們做決定的機會。即使這意味著對于某一關(guān)注的領(lǐng)域只是簡單地提供了一些選擇，這也利于讓他們參與進來，并引起重視。這看上去存在風(fēng)險（試想誰真的指望“禿頭老板”能做出實質(zhì)性的決定？），但是當風(fēng)險被解釋清楚、選擇范圍也明確時，老板們也愿意參與進來。相信我，參與真的是一件很好的事。

從小事做起——事實上，很多企業(yè)無法從零一步建立很詳細的計分卡，這也從未發(fā)生過。從小事做起是專注更多的可以使管理人員采取行動的無害基準點（data point）（如，培訓(xùn)結(jié)束，第三方管理等）。隨著管理層逐漸熟悉報告的模式和周期，他們會把注意點轉(zhuǎn)移到更敏感的話題，比如公開審計問題、控制失誤、操作事故和風(fēng)險熱圖（heat map）等（后者更直接的和具體業(yè)務(wù)領(lǐng)域相關(guān)）。

最后，我們的目標是通過對話和接觸來建立一個規(guī)則遵從文化。從小事做起，保持格外清晰，保持緊迫。最終，人們會發(fā)現(xiàn)這些建議比想象中的友善，進而會進行反思，并建立論壇用來討論一系列對公司有益的問題，最終建立起可以更好為企業(yè)服務(wù)的規(guī)則遵從文化。

【編輯推薦】

企業(yè)應(yīng)當如何編制信息安全策略
回顧你的信息安全職業(yè)道路為新的一年作計劃
如何成功地為你的信息安全事業(yè)投資？
信息安全服務(wù)——實現(xiàn)業(yè)務(wù)高效的必經(jīng)之路

分享標題：創(chuàng)建規(guī)則遵從文化　促進信息安全合規(guī)管理和風(fēng)險管理
轉(zhuǎn)載注明：http://fisionsoft.com.cn/article/djshhss.html

新聞中心

其他資訊