你部署了安全产品,制定了安全制度,公司的信息安全开始步入正轨。但你觉得还不够,你希望有一个办法,能够让信息安全的意识深入人心,从根源上就减少甚至杜绝安全问题的发生。本章介绍的原则清单,就是一个行之有效的办法。
使用前面介绍的业务问题清单,安全问题清单,约束清单和执行清单,已经足以条理清晰的开展小公司的信息安全管理工作。本章介绍的原则清单,可以帮助管理者在公司建立起上下一心的共识,让安全管理工作变得更加轻松。
1. 原则清单是什么?
原则清单是关于信息安全的共识,共同遵守的准则,和判断分歧标准。或者说,原则清单就是在公司内部能够用简单的话语说清楚的,大家都认可和支持的,容易记住和容易遵守的行事规则。
下面是一个原则清单的例子:
将原则清单中的每一条通过宣贯、信息安全意识培训等工作传递给公司每个成员,确保它们成为所有人的共识,被人理解、接受和使用。
2. 原则清单有什么用?
原则清单一旦成为共识,其价值和作用将超出我们的预期:
- 提高沟通、管理和解决分歧的效率。
- 不需要参考复杂的管理规范,员工会在这些简单原则的指导下,做出自己的判断。
- 提高员工的安全意识,尤其是降低了他们对安全规则理解的难度,也就相应降低了违规的概率。
- 新的工具、功能或管理规则被部署时,需要慎重考虑是否违反这些原则。如果不得不需要作为例外采用,就必须给出有说服力的证据和说明。—— 这将极大提高安全管理工作的一致性。
3. 如何得到一个原则清单?
原则清单的建立不是一件容易的事情。它不能是管理者的一厢情愿,也不能是闭门造车。一个能够发挥作用的原则必须是大家的共识,是一个团队长期共同努力的结果。管理者在这个过程中,可以:
- 访问员工,或组织讨论,请大家表达自己的愿望和认知。
- 总结,组织成精炼、准确、容易理解和传播的语言。
- 检查IT基础设施、安全产品、管理规则的一致性。必要时评估重新建设的投入产出比,考虑在某些领域进行重建或改进。
- 在管理实践中落实使用,宣贯和鼓励大家基于这些原则来沟通和行事。解释和修正过程中出现的问题。