沈建苗
由於各國關於資訊安全的立法越來越嚴格,行業監督機構也越來越關注法律法規的遵守情況。對大公司來說,資訊安全政策不再是“錦上添花”的東西,而是“必不可少”的內容。那麼,資訊安全主管(CSO)該如何對自己企業的安全政策進行管理呢?
最近,一些媒體報導了許多關於利用電子郵件散佈聳人聽聞或令人反感的消息所引起的訴訟,其影響不僅限於企業急需制定可實施的資訊安全政策一個方面,還說明多數企業在資訊安全政策和工作績效的監控上存在著薄弱環節。
很顯然,企業必須制定新的資訊安全政策,但多數企業沒有這樣做。英國貿易工業部發佈的數位表明,落實了資訊安全政策並遵守了《資料保護法》的英國企業只有49%。
如果政策未被合理管理並執行,即使制定了政策仍無濟於事。制定政策後僅僅將它貼到內聯網上,並不是“有效管理”。最近,PolicyMatter進行了一項調研,結果顯示,目前只有22%的英國企業徵求員工關於遵守政策的意見—這表明,至少有78%的企業並不知道自己公佈的政策是否被員工看到,更不用說是否被員工理解了。
2003年,全球可能會出臺許多新的資訊安全法律法規,行業監管部門會更加重視企業是否遵守了相關的法律法規,全球關於資訊安全的訴訟數量也將不斷增加,這些情形均令人擔憂。
由於政策管理缺乏“最佳方法”,許多企業求援無門—只好自己想辦法落實及審查政策,很多情況下是從所犯錯誤當中汲取經驗教訓。
PolicyMatter制定了分成五個步驟的計畫,希望能對企業有所幫助,並從安全政策的有效管理中獲得最大價值。
第一個步驟:明確政策需求
一家企業頒佈的任何政策都應該符合(且應該體現)所有可適用的法律、業務規則、監管需求,而搜集資訊是成功的關鍵。目前,企業根本不缺各類資訊,許多資訊隨處可得,比如從網際網路、行業出版物及協力廠商專業人員處均可以得到豐富的資訊,在政策應該包含什麼、不該包含什麼等因素方面,這些資源都很寶貴。
儘管法律內容本身可能長達幾百頁,但企業需要起草的是對自己重要且相關的內容,制定的政策應該涵蓋所有必要的基本面,但又要通俗易懂。力求政策內容面面俱到可能使政策成為一份無法應用的檔。
第二個步驟:起草政策
目前,起草政策時需要參考的法律數量多得讓人畏懼。在英國,《資料保護法》、《調查權力管理法案》、《人權法》、《資訊專員業務守則》、BS7799等其他法案都很可能影響政策的起草,更不用說各種行業特定的管理條例了。其他國家也有著類似的情況。
重要的一點是,制定的政策應能夠體現組織內部的文化。不管誰負責制定或核對政策,都應該確保整套政策的風格和措辭相互一致。此外,政策起草者應該自始至終採用通俗易懂的措辭,儘量避免採用法律行話或毫無必要的專業術語。政策應該能夠為受到政策影響的所有人理解,要力求含義明確。
在第一次落實政策之前,企業應該考慮是否需要對政策進行專業諮詢,是否需要直接與受政策影響的那些人溝通等。
第三個步驟:落實政策
政策落實機制要在合適的時候將相關政策與合適物件一一對應起來。因為有些政策適用於所有員工,而另一些政策只適用於一些有選擇的群體,所以,要確保政策落實手段既快速又可靠。理想情況是,企業需要單獨考慮每項政策的落實。
對某些政策而言,被動的實施方案,如在內聯網上公佈政策是可以接受的——因為這類政策通常對員工非常有幫助。然而,大多數資訊安全政策的執行應該避免這種效果最小的做法。要取得成效,企業領導者要確認政策已落實到了有關各方的頭上,並且證明員工明白了企業對他們的要求。
但是,這項工作並不容易。目前很多企業部署的政策落實方案,無論是通過電子郵件、內聯網還是複印文本的方式傳遞給員工,大多數都難以審查。
第四個步驟:核實政策接受狀況
企業要能跟蹤政策是否被違反了。這個過程分兩步:首先,必須核對證據,表明每個員工已經接到政策,並與雇主簽訂了有約束力的協議。最近英國出現的法律個案表明,企業必需通過“有效的政策管理”保護自己,要考慮到每個員工是否接受了政策。第二步比較困難,而且往往很容易被許多企業忽視——核實員工接受政策的情況。這通常需要投入大量的人力。
第五個步驟:審查和彙報
最後,負責落實政策的那些人要能隨時給出有關政策落實進程的報告。從宏觀上講,表明員工遵守政策情況的粗線條報告對企業領導人非常重要,他能方便地與有關方(合作夥伴、顧客或監管部門)共用報告以便有助於有權威地表明政策的遵守情況,比如,在專案投標時或是應對不受歡迎的檢查時。從微觀上看,企業領導人也需要確認政策已經落實到了哪些人的頭上,查明他們是否同意及何時遵守政策,同意哪些內容,等等。
政策的管理必須得到重視—因為不重視管理引起的風險實在太高了。
一段時間後,把政策管理牢記在心的企業會看到,為處理違反政策事件所要佔用的資源將明顯減少。一旦合理制定政策並下達,一旦員工知道各自的義務,員工遵守政策的態度會更積極。
本文概述的五個步驟不是萬全之策,但應有助於任何企業提高資訊安全政策的價值,有助於降低因違反安全政策所帶來的風險。
沒有留言:
張貼留言