koko urani ajan, I ’ ve had the fantastic experience of working with small businesses who are new to the idea of being audited.
olen nähnyt organisaatioita kaikilla valmiustasoilla, ”we’ ve got this, we are prepared”, ” Why is this so difficult?”Minua hämmästyttää edelleen se, että tiukimmat auditoinnit liittyvät aina samaan ongelmaan: toimintatapoihin ja menettelyihin.
tietoturvan maailmassa toimintatavat ja menettelytavat ovat kultaa parempia. Ne ovat tärkeämpiä kuin langattomat turva-avaimet, tärkeämpiä kuin toimitusjohtajan Parkkipaikka. Ne ovat itse asiassa niin tärkeitä, että jokaisessa tärkeässä kehyksessä on ainakin yksi kokonainen osio, joka on omistettu kokonaan operaationne perustana olevalle paperille.
PCI-järjestelmällä on osa 12, SOC 2-järjestelmällä hallinnointi ja vaatimustenmukaisuus on täysi neljännes sen tarkastustavoitteista, ja HIPAA-asetuksilla on kokonainen alajakso, joka on omistettu politiikalle.
ymmärrätkö? Politiikat ja menettelyt ovat elintärkeitä. Mutta mitä ne ovat?
mitä toimintatavat ja menettelytavat ovat?
tietoturva-alalla toimintatavat ja menettelytavat viittaavat dokumentaatioon, joka kuvaa yrityksesi toimintaa. Käytäntö on joukko sääntöjä tai ohjeita organisaatiollesi ja työntekijöillesi noudattaa tai saavuttaa noudattaminen. Politiikat vastaavat kysymyksiin siitä, mitä työntekijät tekevät ja miksi. Menettely on ohjeita siitä, miten politiikkaa noudatetaan. Menettelyt ovat vaiheittaisia ohjeita siitä, miten politiikat on toteutettava. Politiikassa määritellään sääntö, ja menettelyssä määritellään, kenen odotetaan tekevän sen ja miten heidän odotetaan tekevän sen.
mikä on politiikka?
käytäntö on joukko sääntöjä tai ohjeita, joiden avulla organisaatiosi ja työntekijäsi voivat noudattaa tai saavuttaa tietyn tavoitteen (eli noudattaa sääntöjä).
tehokkaassa politiikassa tulisi hahmotella, mitä työntekijöiden on tehtävä tai jätettävä tekemättä, ohjeita, rajoja, periaatteita ja ohjeita päätöksentekoa varten. Politiikat vastaavat kysymyksiin kuten: mitä? Miksi?
mikä on menettely?
menettely on politiikan vastine; se on ohje siitä, miten politiikkaa noudatetaan.
se on askel askeleelta ohjeistus siitä, miten edellä kuvatut politiikat toteutetaan. Politiikassa määritellään sääntö, ja menettelyssä määritellään, kenen odotetaan tekevän sen ja miten heidän odotetaan tekevän sen. Menettelyt vastaavat kysymyksiin, kuten: miten? Milloin? Missä?
miksi dokumentoidut käytännöt, menettelyt ja protokollat ovat tarpeen?
liian monet yritykset pitävät politiikkaa ja menettelytapoja välttämättömänä pahana miettimättä niiden tarkoitusta. Kyse ei ole parhaista käytännöistä tai sieluttomasta yhtiöstä.; toimintatapojen ja menettelyjen tarkoituksena on selittää, mitä johto toivoo tapahtuneen ja miten se tapahtuu.
olen tullut siihen tulokseen, että ensisijainen ero pienen ja keskisuuren yrityksen välillä ei ole yrityksen maturiteetin määrittämisessä liikevaihdon tai työntekijöiden määrän perusteella, vaan pikemminkin se, onko johto ottanut aikaa politiikkojen ja menettelyjen kehittämiseen, toteuttamiseen ja ylläpitämiseen.
toistaiseksi en ole pettynyt tähän määritelmään; yritykset, joilla on kypsät politiikat, menettelyt ja järjestelmät, on helpompi tarkastaa, joilla on parempi käsitys turvallisuudestaan ja riskeistään, ja yleensä vain näyttävät toimivan paljon kestävämmin kuin ne, jotka eivät ole kiinnittäneet paljon huomiota hallintoon.
politiikkojen ja menettelyjen tarkoitus vs. politiikkojen ja menettelytapojen Tuska
kun johto ymmärtää politiikkojen ja menettelytapojen määritelmät, he lakkaavat kysymästä: ”Mitä ovat politiikat ja menettelyt? miksi minun pitää kirjoittaa menettelytapoja?”Small business’ management on yleensä sama joukko vastalauseita kirjallisesti joukko politiikkoja ja menettelyjä, jotka kaikki liittyvät vaikeuksiin, yrityksen kulttuuri, ja aika rajoituksia. Mutta muistakaamme: hyödyt ovat suuremmat kuin politiikkojen ja menettelyjen tuska. Politiikkojen ja menettelyjen tarkoitus on paljon suurempi kuin joidenkin sääntöjen kirjoittaminen. Selitykseni näistä eduista kuulostaa yleensä jokseenkin tältä:
”mutta se on todella vaikeaa!”No, kyllä … mutta ei. Useimmat yritykset, joilla ei ole kypsiä käytäntöjä ja menettelyjä, toimivat melko hyvin tai ne eivät olisi vielä liiketoimintaa. Turvallisuus on varmasti helpompi määritellä alusta alkaen, mutta se ei tarkoita, etteikö voisi olla helppoa aloittaa siitä, mitä teet nyt ja sitten tarkentaa sitä myöhemmin.
joskus todellinen vastaväite ei ole se, kuinka vaikeaa on kirjoittaa ylös käytäntöjä ja menettelyjä, vaan se, kuinka peloissaan useimmat ihmiset ovat siitä, että he kirjoittavat, miten he tekevät asioita väärin. Aloita siitä, missä olet, ja ole sitten realistinen sen suhteen, mihin olet menossa. Et ehkä ole jopa parhaiden käytäntöjen standardin joillakin aloilla, mutta jos olet anna että hämmennystä pitää sinua asettamasta politiikkaa alas paperille, niin olet puuttuu pointti. Kun tietää tarkalleen, mitä tekee nyt, saa selville, mitä pitäisi tehdä huomenna. Se on miten voit koota todellinen budjetti, tunnistaa todellisia riskejä yritykselle, ja miten voit vastata tehokkaasti, kun jokin menee pieleen.
tilintarkastajan Vinkki: Jos käytäntösi ei ole ”oikea”, mutta olet rehellinen siitä, se on paljon pienempi ongelma kuin jos sinulla ei ole mitään kirjoitettua ylös lainkaan.
”But it’ ll change my company!”Ehkä se tulee. En aio valehdella sinulle – kirjoitat kaiken ylös, laitat kätesi virallisiin prosesseihin ja asetat odotuksia pakottaa sinut uhraamaan jonkin verran joustavuutta. Nämä ylimääräiset lisäykset lisäävät hieman yleiskustannuksia ja voivat johtaa tarvittaviin muutoksiin yritysrakenteessa, yrityskulttuurissa, tuloputkessa tai ”epävirallisissa, mutta todella hyvissä” prosesseissa, jotka tukevat asettamiasi vaatimuksia. Riippuen olemassa olevasta rakenteesta, saatat jopa huomata, että tarvitset lisää henkilökuntaa hoitamaan uusia vastuita, tai jotkut prosessit saattavat edetä hieman hitaammin.
esimerkiksi uusien käytäntöjen ja menettelytapojen myötä verkkoinsinöörin on nyt saatava johto hyväksymään palomuurin muutos. Henkilökuntasi ei välttämättä voi vain tarttua puhelimeen ja saada uutta lupaa johonkin verkon lisäosaan. Se tuo lisää aikaa ja ehkä jopa hieman turhautumista prosessiin, eikö? Toisaalta, kuinka paljon menettäisit, jos menettäisit henkilön, joka ymmärsi tarkalleen, miksi palomuurisi on perustettu niin kuin se on? Kirjoittamatta näitä prosesseja ylös, luot valtavia haavoittuvuuksia. Ihmiset, koulutus, standardit, Sovellukset – kuinka paljon on, että vähän yleiskustannuksia arvoinen, jos se varmistaa, että sinulla on käsitellä, mitä tapahtuu sisällä yrityksesi, verkostosi, ja yrityksesi?
muutosta voi kuitenkin lieventää kirjoittamalla yrityskulttuurin käytäntöihin ja toimintatapoihin. Missään ei ole kirjoitettu, että politiikkojen ja menettelyjen on oltava hirvittävän muodollisia, tylsän luettavia asiakirjoja, jotka ovat täynnä juridiikkaa ja tuskaa. Mitkä asiat saavat ihmiset haluamaan työskennellä siellä? Sovita toimintatapasi ja toimintatapasi yrityskulttuuriisi, liiketoimintaasi ja siihen, miten työntekijäsi ovat vuorovaikutuksessa keskenään. Tämä minimoi niiden toteuttamisen vaikeudet ja auttaa säilyttämään sen, mikä tekee organisaatiostasi ainutlaatuisen.
”But there’ s no time!”Tämä on pätevin argumentti. Lean staff, nopea käänne, ja korostetaan tehdä paljon vähän, löytää aikaa hallintoon voi olla erittäin vaikeaa. Sen kanssa said…it ei sillä ole väliä. Voin antaa sinulle johdon kirja jälkeen johdon kirja, essee jälkeen essee, whitepaper jälkeen whitepaper, kaikki siitä, miten määritelty politiikat ja menettelyt parantavat yrityksesi kaikilla tasoilla, jos noudatat prosessia. Muodollista tarkastusta ei yksinkertaisesti voi läpäistä ilman niitä. On löydettävä aika tehdä työ ja dokumentoida toimintatavat ja menettelytavat.
jos voit sitoutua saamaan käytäntösi kuntoon ja panemaan ne täytäntöön, olet järkyttynyt lyhyen aikavälin voitosta siinä, kuinka helpoksi tarkastus tulee, ja vielä järkyttyneempi pitkän aikavälin eduista, joita saat. Toimintasi on vähemmän stressaavaa, väelläsi on enemmän suuntaa, ja jos se tehdään hyvin, tiedät lopulta tarkalleen, mitä olet johtamassa ja miksi.
edut ovat suuremmat kuin politiikkojen ja menettelyjen aiheuttama tuska. Prosessiin sitoutumisesta on merkittävää hyötyä. Pitääkö järjestösi kypsiä menettelytapoja välttämättömänä pahana? Ymmärrätkö toimintaperiaatteiden ja menettelyjen tarkoituksen? Mitä esteitä organisaatiosi on havainnut kehittäessään tai toteuttaessaan toimintatapoja ja menettelyjä? Miten olet ehtinyt sitoutua käytäntöjen ja menettelyjen täytäntöönpanoon?
About Shannon Lane
Shannon Lanella on yli 20 vuoden kokemus tietopalveluista, mukaan lukien terveydenhuollon tietotekniikka, sähköisen kaupankäynnin tietojen ekstrapolointi, verkonhallinta, tietokannan hallinto ja ulkoinen auditointi. Lane toimii nyt Information Security Auditor kirkpatrickprice, edustaa KirkpatrickPrice on 2018 HITRUST CSF Assessor Council, ja omistaa CISSP, CISA, QSA, MSDBA, ja CCSFP sertifikaatit.