내 경력을 통해,나는 감사되는 아이디어에 새로운 중소 기업과 작업의 환상적인 경험을 했어.
나는”우리는 이것을 가지고 있고,우리는 준비되어있다”에서”왜 그렇게 어려운가?”가장 힘든 감사는 항상 동일한 문제,즉 정책 및 절차의 기능이라는 것이 여전히 놀랍습니다.
정보보안의 세계에서는 정책과 절차가 금보다 낫다. 그들은 당신의 최고 경영자의 주차 장소보다 더 중요한 무선 보안 키보다 더 중요하다. 그들은 모든 주요 프레임 워크가 작업의 기초가되는 종이에 완전히 헌신 적어도 하나의 전체 섹션을 가지고,사실,너무 중요하다.
PCI DSS 는 섹션 12 일,SOC2 레임워크가 지배 구조 및 규정 준수로 분기의 그 감사의 목표,HIPAA 규정이 전체 항에 전념하는 정책입니다.
당신은 아이디어를 얻고있다,권리? 정책 및 절차는 매우 중요합니다. 하지만…
정책과 절차는 무엇입니까?
정보 보안 산업에서 정책 및 절차는 비즈니스 운영 방식을 설명하는 문서를 참조하십시오. 정책은 조직 및 직원이 준수하거나 준수를 달성하기 위한 규칙 또는 지침의 집합입니다. 정책은 직원이하는 일과 왜 그 일을하는지에 대한 질문에 답합니다. 절차는 정책을 따르는 방법에 대한 지침입니다. 절차는 정책을 달성하는 방법에 대한 단계별 지침입니다. 정책은 규칙을 정의하고 프로시저는 규칙을 수행할 사람과 해당 규칙을 수행할 방법을 정의합니다.
정책이란 무엇입니까?
정책은 조직과 직원이 특정 목표(예:준수)를 따르거나 달성하기 위한 일련의 규칙 또는 지침입니다.
효과적인 정책은 직원이해야 할 일,의사 결정을위한 방향,한계,원칙 및 지침을 간략하게 설명해야합니다. 정책은 다음과 같은 질문에 답합니다. 왜?
절차는 무엇입니까?
절차는 정책의 대응이다; 이 정책을 따르는 방법에 대한 지침입니다.
그것은 위에 설명 된 정책을 달성하는 방법에 대한 단계별 지침입니다. 정책은 규칙을 정의하고 프로시저는 규칙을 수행할 사람과 해당 규칙을 수행할 방법을 정의합니다. 절차는 다음과 같은 질문에 답합니다. 언제? 어디?
문서화 된 정책,절차 및 프로토콜이 필요한 이유는 무엇입니까?
너무 많은 기업들이 자신의 목적을 고려하지 않고,필요악으로 정책과 절차를 볼 수 있습니다. 그것은 모범 사례 또는 영혼이없는 기업이되는 것이 아닙니다; 정책 및 절차의 목적은 경영진이 어떤 일이 발생하기를 원하는지,어떻게 발생 하는지를 설명하는 것입니다.
나는 중소기업의 주요 차이점은 매출이나 직원 수에 따라 회사의 성숙도를 정량화하는 것이 아니라 경영진이 정책과 절차를 개발,구현 및 유지하는 데 시간이 걸렸는지 여부에 있다고 믿게되었습니다.
지금까지이 정의에 실망하지 않았습니다; 성숙한 정책,절차 및 시스템을 갖춘 회사는 감사하기 쉽고 보안 태세와 위험을 더 잘 이해하며 일반적으로 거버넌스에 많은 관심을 기울이지 않은 회사보다 훨씬 지속 가능하게 운영되고 있습니다.
정책과 절차의 목적 대 정책과 절차의 고통
경영진은 정책과 절차의 정의를 이해한 후”정책과 절차는 무엇인가?”그리고”왜 정책과 절차를 작성해야합니까?”소기업 관리에는 일반적으로 어려움,기업 문화,및 시간 감금에 관하여 방침 및 절차의 세트의 아래 쓰기에 반대의 동일한 세트가,전부 있는다. 그러나,기억하자:혜택 정책 및 절차의 고통을 능가. 정책 및 절차의 목적은 몇 가지 규칙을 작성하는 것보다 훨씬 큽니다. 이러한 이점에 대한 나의 설명은 일반적으로 다음과 같이 들립니다:
“하지만 정말 어렵습니다!”음,예…하지만 아닙니다. 성숙한 정책 및 절차 없이 대부분의 회사는 상당히 잘 운영 또는 그들은 여전히 사업에 되지 않을 것 이다. 처음부터 보안을 정의하는 것이 더 쉽지만,그렇다고해서 지금하고있는 일로 시작한 다음 나중에 수정하는 것이 쉽지 않다는 것을 의미하지는 않습니다.
때때로,진짜 이의는 정책과 절차를 작성하는 것이 얼마나 어려운 것이 아니라,대부분의 사람들이 그들이 일을 잘못하고있는 방법을 서면으로 넣어 것입니다 얼마나 두려워. 너가 있는 곳에 시작,그때 너가 가고 있는 곳에 관하여 현실주의 있으십시요. 너는 몇몇 지역안에 제일 연습 기준까지 이지 않을지도 모르지 않는다,그러나 너가 저 당황을 시키면 종이에 방침을 아래로 놓기에서 너를 지킨다,그때 너는 점을 놓치고 있다. 너가 지금 하고 있는 것을 엄정하게 있있음것은 너가 내일 해야 하는 것을 너가 파악하는 까 라고 이다. 그것은 당신이 함께 실제 예산을 넣을 수있는 방법,기업에 실제 위험을 식별,뭔가 잘못되면 어떻게 효과적으로 대응할 수 있습니다.
감사원의 힌트:당신의 연습이”정확하지 않다”면,그러나 당신이 그것에 대해 정직하다면,그것은 당신이 전혀 적어 놓은 것이없는 것보다 훨씬 적은 문제입니다.
“그러나 그것은 나의 회사를 바꿀 것이다!”어쩌면 그럴 것입니다. 나는 너에게 속이기 위하여 가고 있지 않다–모두를 아래로 쓰고,형식적인 과정에 너의 손을 두고,기대 조정은 너를 약간 융통성을 희생하는 강제한다. 이러한 추가 추가 오버 헤드의 비트를 추가 할 및 기업 구조,기업 문화,수익 파이프라인,또는”비공식,하지만 정말 좋은”프로세스 배치 했습니다 요구 사항을 지원 하기 위해 필요한 변경 될 수 있습니다. 기존 구조에 따라 새로운 책임을 처리하기 위해 추가 직원이 필요하거나 일부 프로세스가 조금 느려질 수 있음을 발견 할 수도 있습니다.
예를 들어,새 정책 및 절차가 구현되면 네트워크 엔지니어는 이제 방화벽 변경에 대해 관리를 로그오프해야 합니다. 너의 직원은 다만 전화를 줍,네트워크의 약간 추가 부분에 새로운 허가를 얻을지도 모르지 않는다. 그 과정에 약간의 시간과 어쩌면 약간의 좌절을 추가 할 것,권리? 다른 한편으로,얼마나 당신이 잃을 것 이라고 정확 하 게 왜 방화벽은 방법을 설정 이해 하는 사람을 잃 었 하는 경우? 이러한 프로세스를 작성하지 않고,당신은 거대한 취약점을 만들 수 있습니다. 사람,교육,표준,애플리케이션-회사,네트워크 및 기업 내부에서 무슨 일이 일어나고 있는지에 대한 핸들을 확보하면 약간의 오버 헤드 가치가 얼마입니까?
회사 문화를 정책 및 절차에 작성하여 변화를 다소 완화 할 수 있습니다. 아무데도 그것은 정책과 절차가 무섭게 형식적인해야한다는 기록되지 않습니다,법률 용어와 고통으로 가득 지루한-투-읽기 문서. 사람들이 거기서 일하기를 원하게 만드는 것들은 무엇입니까? 정책 및 절차를 회사 문화,비즈니스 및 사람들이 상호 작용하는 방식에 맞게 조정하십시오. 이것은 그들을 실행하기의 빈고를 극소화하고 너의 조직을 유일한 시키는 것이 보존할것을.
“그러나 시간이 없다!”이것은 가장 유효한 논쟁이다. 린 직원의 세계에서,빠른 처리,조금 많은 일을 강조,지배를위한 시간을 찾는 것은 매우 어려울 수 있습니다. 그걸로 said…it 상관없어 나는 당신이 과정을 따르는 경우에 정의 된 정책과 절차가 모든 수준에서 귀하의 비즈니스를 개선하는 방법에 대한 모든 백서 후 관리 책,에세이 후 에세이,백서 후 관리 책을 손 수 있습니다. 당신은 단순히 그들 없이는 공식적인 감사를 통과 할 수 없습니다. 작업 하 고 정책 및 절차를 문서화 하는 시간을 찾을 수 있다.
정책을 시행하고 시행 할 수 있다면,감사가 얼마나 쉬운 지에 대한 단기적인 승리에 충격을 받고,얻는 장기적인 이점에 더욱 충격을 받게 될 것입니다. 너의 가동은 보다 적게 스트레스가 많을 것이다,너의 사람에는 방향이 더 있고,잘 하면,너는 마지막으로 엄정하게 너 이는 것,그리고 왜 처리하고 있다 것 을 알 것이다.
장점은 정책과 절차의 고통보다 큽니다. 과정에 투입함것은 심각한 이득이 있는다. 귀하의 조직은 성숙한 정책과 절차를 필요악으로 간주합니까? 정책 및 절차의 목적을 이해하십니까? 조직이 정책 및 절차를 개발하거나 구현할 때 어떤 장애물을 발견 했습니까? 정책 및 절차를 시행하기 위해 시간을 어떻게 구축 했습니까?
섀넌 레인 소개
섀넌 레인은 의료 정보,전자 상거래 데이터 외삽,네트워크 관리,데이터베이스 관리 및 외부 감사 작업을 포함하여 정보 서비스 분야에서 20 년 이상의 경험을 보유하고 있습니다. 2018 년 11 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일,2018 년 12 월 29 일