制定信息安全计划:安全vs.法规遵从

问:我最近升为一家公司的安全经理。该公司有着“遵从审计”的历史,这也就意味着在审计开始之前有许多工作要做,才能确保一切都符合标准,而这家公司成功地做到了这一点。但事后,公司的安全工作又再次松懈下来。您认为,怎样的最佳实践才能建立起一个以信息安全而不是遵从审计为目标的安全文化呢?

创新互联是一家以网络技术公司,为中小企业提供网站维护、成都网站设计、成都网站制作、网站备案、服务器租用、空间域名、软件开发、小程序开发等企业互联网相关业务,是一家有着丰富的互联网运营推广经验的科技公司,有着多年的网站建站经验,致力于帮助中小企业在互联网让打出自已的品牌和口碑,让企业在互联网上打开一个面向全国乃至全球的业务窗口:建站来电联系:18982081108

答:首先,祝贺您成为一位安全经理!好好干!尽管有时会充满挫折,会让您怀疑您到底能不能成功,但它依然是一个极好的、具有挑战性的工作。不过,我得由衷地称赞您,因为您至少意识到了您工作领域的文化。

所以,您的挑战是不仅要做好安全经理应做的工作,而且还要着手信息安全计划的制定,并促成一种安全文化氛围。下面有一些想法可能对您开展工作有所启发:

会见首席信息官(CIO)、内部审计经理(internal audit manager)、财务总监(CFO)、甚至是首席执行官(CEO),以便更好地了解他们所关注和感兴趣的法规遵从和审计领域。您可以尝试着去确定他们是否真的只关注审计的通过,或者说在这种观点背后是否还有其他的障碍或理由,说不定他们可能会认为开展法规遵从工作过于昂贵。因此,您可以提出一种维持成本水平甚至更低成本的方案,特别是在涉及到罚款时更应这样。

建立一个内部审计计划表。与内部审计部门合作,选择法规遵从的某个部分以便每月都能进行检查。例如,如果公司必须遵从支付卡行业数据安全标准(PCI DSS),那么您可以一个月选取一个领域(即每月选择PCI DSS的12个部分中的一个),并执行抽样调查或非正式的审计。然后,根据确定的调查结果,协助相关责任部门对他们的方案和流程做出冷静的、有重点的修正,以保证对其长期有效,而不仅仅是一个“审计前的突击方案(pre-audit spike)”。

注意业内的竞争对手和其他公司。观察他们的法规遵守问题,并运用他们的经验来使自己的公司有所准备并遵从审计的标准。此外,一定要将您从其他公司学到的教训介绍给行政管理部门,让他们可以更好地接受安全理念,避免公司成为一个被别人学习经验教训的对象。

再一次祝贺您获得了这个新机会,请记住您需要主要关注的工作:保护数据,然后尽最大努力去优先保证法规遵从。

名称栏目:制定信息安全计划:安全vs.法规遵从
新闻来源:http://www.gawzjz.com/qtweb2/news10/13160.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联