私のキャリアを通して、私は監査されるという考えに慣れていない中小企業と協力する素晴ら
私は、”これを持っている、私たちは準備ができている”から”なぜこれがそんなに難しいのですか?”最も厳しい監査は、常に同じ問題の機能であることを私に驚かせます:ポリシーと手順。
情報セキュリティの世界では、ポリシーと手順は金よりも優れています。 それらはあなたの無線保証キーより重要、あなたのCEOの駐車場より重大である。 彼らは、すべての主要なフレームワークは、あなたの操作の根底にある紙に完全に専念し、少なくとも一つのセクション全体を持っていることを、実際には、
PCI DSSにはセクション12があり、SOC2フレームワークには監査目標の全四半期としてガバナンスとコンプライアンスがあり、HIPAA規制にはポリシーに特化したサブセクションがあります。
あなたはアイデアを得ていますよね? 方針およびプロシージャは重大である。 しかし…彼らは何ですか?
ポリシーと手順とは何ですか?
情報セキュリティ業界では、ポリシーと手順は、ビジネスの実行方法を説明するドキュメントを参照してください。 ポリシーとは、組織と従業員が遵守するため、またはコンプライアンスを達成するための一連のルールまたはガイドラインです。 ポリシーは、従業員が何をしているのか、なぜそれを行うのかについての質問に答えます。 手順は、ポリシーがどのように従うかについての指示です。 手順は、ポリシーをどのように達成するかについての段階的な手順です。 ポリシーはルールを定義し、プロシージャは誰がそれを行うことが期待され、どのようにそれを行うことが期待されているかを定義します。
ポリシーとは何ですか?
ポリシーとは、組織と従業員が特定の目標(コンプライアンスなど)に従うか、または達成するための一連のルールまたはガイドラインです。
効果的な方針は、従業員が何をすべきかどうか、方向、制限、原則、および意思決定のための指針を概説する必要があります。 ポリシーは次のような質問に答えます:何? どうして?
手続きとは何ですか?
手続きはポリシーに対応しています; それは方針がいかにの続かれるか指示である。
これは、上記のポリシーをどのように達成するかについての段階的な指示です。 ポリシーはルールを定義し、プロシージャは誰がそれを行うことが期待され、どのようにそれを行うことが期待されているかを定義します。 手順は次のような質問に答えます:どのように? いつ? どこ?
文書化されたポリシー、手順、およびプロトコルが必要なのはなぜですか?
ポリシーや手続きを目的を考慮せずに必要悪と見なしている企業が多すぎます。 それは、ベストプラクティスや魂のない企業体になることではありません; ポリシーと手順の目的は、経営陣が何が起こったことを望んでいるのか、それがどのように起こるのかを説明することです。
私は、中小企業と中小企業の主な違いは、収益や従業員数によって会社の成熟度を定量化するのではなく、経営陣が方針や手順を開発、実施、維持する
これまでのところ、私はこの定義に失望していません; 成熟したポリシー、手順、システムを持つ企業は、監査が容易で、セキュリティ体制とリスクをよりよく理解しており、一般的にガバナンスにあまり注意を払っていない企業よりもはるかに持続的に運営されているように見えます。
ポリシーと手順の目的とポリシーと手順の痛み
経営陣がポリシーと手順の定義を理解した後、彼らは”ポリシーと手順は何ですか?”そして、上に移動し、”なぜ私はポリシーと手順を記述する必要がありますか?”中小企業の経営陣は、一般的に、すべての難しさ、企業文化、および時間の制約に関連するポリシーと手順のセットを書き留めることに異議の同じセッ しかし、覚えてみましょう:利点は、ポリシーと手順の痛みを上回ります。 ポリシーと手順の目的は、いくつかのルールを書き留めるよりもはるかに大きいです。 これらの利点についての私の説明は、通常、次のように聞こえます:
“しかし、それは本当に難しいです!”まあ、はい…しかし、いいえ。 成熟したポリシーと手順のないほとんどの企業はかなりよく動作しているか、彼らはまだビジネスではないでしょう。 最初からセキュリティを定義するのは確かに簡単ですが、それはあなたが今やっていることから始めて後でそれを洗練することは容易ではない
時には、本当の異議は、それがポリシーや手順を書き留めることがいかに難しいかではありませんが、ほとんどの人は、彼らが間違ったことをやってい あなたがどこにいるのかから始めて、あなたがどこに行くのかについて現実的になります。 あなたは、いくつかの分野でのベストプラクティスの標準までではないかもしれませんが、あなたはその恥ずかしさが紙の上にポリシーを設定する あなたが今何をしているのかを正確に知ることは、あなたが明日何をすべきかを理解する方法です。 これは、実際の予算を組み立て、企業に対する実際のリスクを特定し、何か問題が発生したときに効果的に対応する方法です。
監査人のヒント:あなたの練習が”正しい”ではないが、あなたがそれについて正直であれば、何も書かれていない場合よりもはるかに問題はありません。
“しかし、それは私の会社を変更します!「そうだろうな。 私はあなたに嘘をつくつもりはありません–すべてを書き留め、正式なプロセスに手を置き、期待を設定すると、柔軟性を犠牲にすることになります。 これらの余分な追加は、オーバーヘッドのビットを追加し、あなたがレイアウトした要件をサポートするために、企業構造、企業文化、収益パイプライン、または”非公式、しかし本当に良い”プロセスに必要な変更をもたらす可能性があります。 既存の構造によっては、新しい責任を処理するために追加のスタッフが必要であることや、一部のプロセスの移動が少し遅くなることがあります。
たとえば、新しいポリシーと手順を実装すると、ネットワークエンジニアはファイアウォールの変更に対して管理者がサインオフする必要があります。 あなたのスタッフはちょうど電話を拾うと、ネットワークのいくつかの追加の部分に新しい許可を得ることができない場合があります。 それは右、プロセスにいくつかの時間と多分少し欲求不満を追加するつもりですか? 一方、ファイアウォールが設定されている理由を正確に理解している人を失った場合、どのくらい失うことになりますか? これらのプロセスを書き留めることなく、大規模な脆弱性を作成します。 人々、訓練、標準、適用-あなたの会社、あなたのネットワークおよびあなたの企業の中で起こっているものがのハンドルがあることを保障すれば間接費の価値のその少しはどの位であるか。
ただし、企業文化をポリシーと手順に記述することで、変更を多少軽減できます。 どこにもそれはポリシーと手順は恐ろしく正式な、退屈な-to-read文書は、法律や痛みで満たされなければならないことを書かれていません。 人々がそこで働きたいと思うものは何ですか? あなたの企業文化、あなたのビジネス、およびあなたの人々がいかに相互に作用しているかあなたの方針およびプロシージャに合って下さい。 これはそれらを実行することの困難を最小にし、あなたの構成を独特にさせるものが維持するのを助ける。
“しかし、時間はありません!「これが最も有効な議論です。 リーンなスタッフ、迅速なターンアラウンド、そして少しで多くのことを行うことに重点の世界では、ガバナンスのための時間を見つけることは非常に困難 それを使ってsaid…it どうでもいい 私は管理本の後に管理本を渡すことができます,エッセイの後にエッセイ,ホワイトペーパーの後にホワイトペーパー,すべての定義されたポリシーと手順は、プ あなたは単にそれらなしで正式な監査に合格することはできません。 仕事をし、あなたの方針およびプロシージャを文書化する時間は見つけられなければならない。
あなたのポリシーを整備して強制することにコミットすることができれば、監査がいかに簡単になるかという短期的な勝利にショックを受け、長期的な利点にさらにショックを受けることになるでしょう。 あなたの操作はより少なく緊張に満ちている、あなたの人々により多くの方向があり、よくされたら、最終的にそれが管理して、なぜであるもの丁度知
利点は、ポリシーと手順の痛みを上回ります。 プロセスに託すことに深刻な利点がある。 あなたの組織は、成熟したポリシーと手順を必要な悪と見なしていますか? ポリシーと手順の目的を理解していますか? ポリシーと手順を開発または実装する際に、組織がどのような障害を発見しましたか? どのようにポリシーと手順の実施にコミットする時間に構築されていますか?
シャノンレーンについて
Shannon Laneは、ヘルスケアIT、eコマースデータ外挿、ネットワーク管理、データベース管理、外部監査業務など、情報サービスにおいて20年以上の経験を持っています。 Laneは現在、KirkpatrickPriceの情報セキュリティ監査人を務め、2018HITRUST CSF Assessor CouncilのKirkpatrickPriceを代表し、CISSP、CISA、QSA、MSDBA、およびCCSFPの認定を保持しています。