制定信息安全计划:安全vs.法规遵从

安全
本文介绍了对有“遵从审计”历史的企业来说,安全经理制定信息安全计划和促成一种安全文化氛围时应考虑的一些问题。

问:我最近升为一家公司的安全经理。该公司有着“遵从审计”的历史,这也就意味着在审计开始之前有许多工作要做,才能确保一切都符合标准,而这家公司成功地做到了这一点。但事后,公司的安全工作又再次松懈下来。您认为,怎样的最佳实践才能建立起一个以信息安全而不是遵从审计为目标的安全文化呢?

答:首先,祝贺您成为一位安全经理!好好干!尽管有时会充满挫折,会让您怀疑您到底能不能成功,但它依然是一个极好的、具有挑战性的工作。不过,我得由衷地称赞您,因为您至少意识到了您工作领域的文化。

所以,您的挑战是不仅要做好安全经理应做的工作,而且还要着手信息安全计划的制定,并促成一种安全文化氛围。下面有一些想法可能对您开展工作有所启发:

会见首席信息官(CIO)、内部审计经理(internal audit manager)、财务总监(CFO)、甚至是首席执行官(CEO),以便更好地了解他们所关注和感兴趣的法规遵从和审计领域。您可以尝试着去确定他们是否真的只关注审计的通过,或者说在这种观点背后是否还有其他的障碍或理由,说不定他们可能会认为开展法规遵从工作过于昂贵。因此,您可以提出一种维持成本水平甚至更低成本的方案,特别是在涉及到罚款时更应这样。

建立一个内部审计计划表。与内部审计部门合作,选择法规遵从的某个部分以便每月都能进行检查。例如,如果公司必须遵从支付卡行业数据安全标准(PCI DSS),那么您可以一个月选取一个领域(即每月选择PCI DSS的12个部分中的一个),并执行抽样调查或非正式的审计。然后,根据确定的调查结果,协助相关责任部门对他们的方案和流程做出冷静的、有重点的修正,以保证对其长期有效,而不仅仅是一个“审计前的突击方案(pre-audit spike)”。

注意业内的竞争对手和其他公司。观察他们的法规遵守问题,并运用他们的经验来使自己的公司有所准备并遵从审计的标准。此外,一定要将您从其他公司学到的教训介绍给行政管理部门,让他们可以更好地接受安全理念,避免公司成为一个被别人学习经验教训的对象。  

再一次祝贺您获得了这个新机会,请记住您需要主要关注的工作:保护数据,然后尽最大努力去优先保证法规遵从。

【编辑推荐】

  1. 银行信息安全审计与操作风险控制
  2. 详细讲解局域网信息安全审计
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2012-11-23 09:22:37

云SLA服务水平协议云服务水平协议

2020-09-11 07:00:00

物联网物联网安全

2010-08-16 11:03:07

2020-02-18 08:25:44

物联网安全法规IOT

2010-09-04 10:10:30

云计算云安全RSA

2020-05-19 12:09:27

单云多云云安全

2009-08-05 10:49:50

信息安全策略安全管理

2010-10-29 14:52:00

RSA 2010趋势科技云安全解决方案

2016-09-28 16:00:30

2022-11-07 12:21:40

2020-02-14 10:45:55

数据中心数据泄露数据法规

2021-01-13 16:04:07

网络On-Prem托管

2015-03-11 18:41:51

网络信息安全法信息安全两会

2017-05-12 11:01:41

AWSArtifact安全

2011-02-22 10:35:14

规则遵从文化信息安全风险管理

2011-03-18 14:13:56

安全意识安全培训

2023-05-22 19:49:30

命令Linux

2020-08-25 09:14:17

对象存储文件存储块存储

2013-07-12 09:19:50

2019-04-02 15:07:51

API NginxZuul
点赞
收藏

51CTO技术栈公众号