信息安全政策管理五个关键步骤
沈建苗
由于各国关于信息安全的立法越来越严格,行业监督机构也越来越关注法律法规的遵守情况。对大公司来说,信息安全政策不再是“锦上添花”的东西,而是“必不可少”的内容。那么,信息安全主管(CSO)该如何对自己企业的安全政策进行管理呢?
最近,一些媒体报道了许多关于利用电子邮件散布耸人听闻或令人反感的消息所引起的诉讼,其影响不仅限于企业急需制定可实施的信息安全政策一个方面,还说明多数企业在信息安全政策和工作绩效的监控上存在着薄弱环节。
很显然,企业必须制定新的信息安全政策,但多数企业没有这样做。英国贸易工业部发布的数字表明,落实了信息安全政策并遵守了《数据保护法》的英国企业只有49%。
如果政策未被合理管理并执行,即使制定了政策仍无济于事。制定政策后仅仅将它贴到内联网上,并不是“有效管理”。最近,PolicyMatter进行了一项调研,结果显示,目前只有22%的英国企业征求员工关于遵守政策的意见—这表明,至少有78%的企业并不知道自己公布的政策是否被员工看到,更不用说是否被员工理解了。
2003年,全球可能会出台许多新的信息安全法律法规,行业监管部门会更加重视企业是否遵守了相关的法律法规,全球关于信息安全的诉讼数量也将不断增加,这些情形均令人担忧。
由于政策管理缺乏“最佳方法”,许多企业求援无门—只好自己想办法落实及审查政策,很多情况下是从所犯错误当中汲取经验教训。
PolicyMatter制定了分成五个步骤的计划,希望能对企业有所帮助,并从安全政策的有效管理中获得最大价值。
第一个步骤:明确政策需求
一家企业颁布的任何政策都应该符合(且应该体现)所有可适用的法律、业务规则、监管需求,而搜集信息是成功的关键。目前,企业根本不缺各类信息,许多信息随处可得,比如从因特网、行业出版物及第三方专业人员处均可以得到丰富的信息,在政策应该包含什么、不该包含什么等因素方面,这些资源都很宝贵。
尽管法律内容本身可能长达几百页,但企业需要起草的是对自己重要且相关的内容,制定的政策应该涵盖所有必要的基本面,但又要通俗易懂。力求政策内容面面俱到可能使政策成为一份无法应用的文件。
第二个步骤:起草政策
目前,起草政策时需要参考的法律数量多得让人畏惧。在英国,《数据保护法》、《调查权力管理法案》、《人权法》、《信息专员业务守则》、BS7799等其他法案都很可能影响政策的起草,更不用说各种行业特定的管理条例了。其他国家也有着类似的情况。
重要的一点是,制定的政策应能够体现组织内部的文化。不管谁负责制定或核对政策,都应该确保整套政策的风格和措辞相互一致。此外,政策起草者应该自始至终采用通俗易懂的措辞,尽量避免采用法律行话或毫无必要的专业术语。政策应该能够为受到政策影响的所有人理解,要力求含义明确。
在第一次落实政策之前,企业应该考虑是否需要对政策进行专业咨询,是否需要直接与受政策影响的那些人沟通等。
第三个步骤:落实政策
政策落实机制要在合适的时候将相关政策与合适对象一一对应起来。因为有些政策适用于所有员工,而另一些政策只适用于一些有选择的群体,所以,要确保政策落实手段既快速又可靠。理想情况是,企业需要单独考虑每项政策的落实。
对某些政策而言,被动的实施方案,如在内联网上公布政策是可以接受的——因为这类政策通常对员工非常有帮助。然而,大多数信息安全政策的执行应该避免这种效果最小的做法。要取得成效,企业领导者要确认政策已落实到了有关各方的头上,并且证明员工明白了企业对他们的要求。
但是,这项工作并不容易。目前很多企业部署的政策落实方案,无论是通过电子邮件、内联网还是复印文本的方式传递给员工,大多数都难以审查。
第四个步骤:核实政策接受状况
企业要能跟踪政策是否被违反了。这个过程分两步:首先,必须核对证据,表明每个员工已经接到政策,并与雇主签订了有约束力的协议。最近英国出现的法律个案表明,企业必需通过“有效的政策管理”保护自己,要考虑到每个员工是否接受了政策。第二步比较困难,而且往往很容易被许多企业忽视——核实员工接受政策的情况。这通常需要投入大量的人力。
第五个步骤:审查和汇报
最后,负责落实政策的那些人要能随时给出有关政策落实进程的报告。从宏观上讲,表明员工遵守政策情况的粗线条报告对企业领导人非常重要,他能方便地与有关方(合作伙伴、顾客或监管部门)共享报告以便有助于有权威地表明政策的遵守情况,比如,在项目投标时或是应对不受欢迎的检查时。从微观上看,企业领导人也需要确认政策已经落实到了哪些人的头上,查明他们是否同意及何时遵守政策,同意哪些内容,等等。
政策的管理必须得到重视—因为不重视管理引起的风险实在太高了。
一段时间后,把政策管理牢记在心的企业会看到,为处理违反政策事件所要占用的资源将明显减少。一旦合理制定政策并下达,一旦员工知道各自的义务,员工遵守政策的态度会更积极。
本文概述的五个步骤不是万全之策,但应有助于任何企业提高信息安全政策的价值,有助于降低因违反安全政策所带来的风险。
|