Gjennom hele min karriere har Jeg hatt den fantastiske opplevelsen av å jobbe med små bedrifter som er nye for ideen om å bli revidert.
jeg har sett organisasjoner på alle nivåer av beredskap, fra «Vi har dette, vi er forberedt» til » Hvorfor er dette så vanskelig?»Det forundrer meg fortsatt at de tøffeste revisjonene alltid er en funksjon av det samme problemet: retningslinjer og prosedyrer.
i verden av informasjonssikkerhet er retningslinjer og prosedyrer bedre enn gull. De er viktigere enn dine trådløse sikkerhetsnøkler, viktigere enn KONSERNSJEFENS parkeringsplass. De er så viktig, faktisk, at alle store rammeverket har minst en hel del viet helt til papiret som ligger til grunn for operasjonen.
PCI DSS har seksjon 12, SOC 2-rammeverket har styring og overholdelse som en fjerdedel av sine revisjonsmål, OG HIPAA-forskriftene har et helt ledd viet til politikk.
du får ideen, ikke sant? Retningslinjer og prosedyrer er avgjørende. Men … hva er de?
Hva Er Retningslinjer og Prosedyrer?
i informasjonssikkerhetsbransjen henviser policyer og prosedyrer til dokumentasjonen som beskriver hvordan virksomheten drives. En policy er et sett med regler eller retningslinjer for din organisasjon og ansatte å følge i eller for å oppnå samsvar. Retningslinjer svare på spørsmål om hva ansatte gjør og hvorfor de gjør det. En prosedyre er instruksjonene om hvordan en policy følges. Prosedyrer er trinnvise instruksjoner for hvordan politikk skal oppnås. En policy definerer en regel, og prosedyren definerer hvem som forventes å gjøre det og hvordan de forventes å gjøre det.
Hva er en policy?
en policy er et sett med regler eller retningslinjer for din organisasjon og ansatte å følge i eller for å oppnå et bestemt mål(dvs. samsvar).
en effektiv policy bør skissere hva ansatte må gjøre eller ikke gjøre, retninger, grenser, prinsipper og veiledning for beslutningstaking. Politikk svarer på spørsmål som: Hva? Hvorfor?
Hva er en prosedyre?
en prosedyre er motstykket til en policy; det er instruksjonen om hvordan en politikk følges.
det er trinnvis instruksjon for hvordan retningslinjene som er skissert ovenfor, skal oppnås. En policy definerer en regel, og prosedyren definerer hvem som forventes å gjøre det og hvordan de forventes å gjøre det. Prosedyrer svarer på spørsmål som: Hvordan? Når? Hvor?
Hvorfor Dokumenterte Retningslinjer, Prosedyrer Og Protokoller Er Nødvendige?
For Mange selskaper ser retningslinjer og prosedyrer som et nødvendig onde, uten å vurdere deres formål. Det handler ikke om beste praksis eller å bli en sjeløs bedriftsenhet; formålet med retningslinjer og prosedyrer er å forklare hva ledelsen ønsker å ha skjedd og hvordan det skjer.
jeg har kommet til å tro at det primære skillet mellom en liten og mellomstor bedrift ikke er funnet i å kvantifisere et selskaps modenhet av inntekter eller antall ansatte, men heller, om ledelsen har tatt tid til å utvikle, implementere og vedlikeholde retningslinjer og prosedyrer.
Så langt har jeg ikke blitt skuffet over denne definisjonen; bedrifter med modne retningslinjer, prosedyrer og systemer er enklere å revidere, har en bedre forståelse av deres sikkerhetsstilling og risiko, og synes generelt å operere langt mer bærekraftig enn de som ikke har betalt mye oppmerksomhet til styring.
Formålet Med Retningslinjer og Prosedyrer vs. Smerten Av Retningslinjer Og Prosedyrer
etter at ledelsen har forstått definisjonene av retningslinjer og prosedyrer, slutter de å spørre: «Hva er retningslinjer og prosedyrer?»og gå videre,» Hvorfor må jeg skrive retningslinjer og prosedyrer ?»Småbedriftsledelse har generelt det samme settet av innvendinger mot å skrive ned et sett med retningslinjer og prosedyrer, alt relatert til vanskeligheter, bedriftskultur og tidsbegrensninger. Men la oss huske: fordelene oppveier smerten av retningslinjer og prosedyrer. Formålet med retningslinjer og prosedyrer er så mye større enn å skrive ned noen regler. Min forklaring på disse fordelene lyder vanligvis noe slikt:
«Men det er veldig vanskelig!»Vel, ja … men nei. De fleste selskaper uten modne retningslinjer og prosedyrer fungerer ganske bra, eller de ville ikke fortsatt være i virksomhet. Det er sikkert enklere å definere sikkerhet fra begynnelsen, men det betyr ikke at det ikke kan være lett å starte med det du gjør nå og deretter forfine det senere.
noen ganger er den virkelige innvendingen ikke hvor vanskelig det er å skrive ned retningslinjer og prosedyrer, men hvor skremt de fleste er at de vil skrive hvordan de gjør ting galt. Start med hvor du er, så vær realistisk om hvor du skal. Du kan ikke være opp til beste praksis standard i enkelte områder, men hvis du lar det forlegenhet holde deg fra å sette politikk ned på papir, så du mangler poenget. Å vite nøyaktig hva du gjør nå, er hvordan du finner ut hva du skal gjøre i morgen. Det er hvordan du kan sette sammen et reelt budsjett, identifisere reelle risikoer for bedriften, og hvordan du kan reagere effektivt når noe går galt.
en auditørs hint: hvis din praksis ikke er «riktig», men du er ærlig om det, er det langt mindre et problem enn hvis du ikke har noe skrevet ned i det hele tatt.
» Men det vil endre mitt selskap!»Kanskje det vil. Jeg skal ikke lyve for deg – skrive alt ned, legge hendene på formelle prosesser, og sette forventninger tvinger deg til å ofre litt fleksibilitet. Disse ekstra tilleggene legger til litt overhead og kan resultere i nødvendige endringer i bedriftsstruktur, bedriftskultur, inntektsrørledning eller «uformelle, men veldig gode» prosesser for å støtte kravene du har lagt ut. Avhengig av din eksisterende struktur, kan du til og med oppdage at du trenger noen ekstra ansatte til å håndtere nye ansvarsområder, eller noen prosesser kan bevege seg litt tregere.
for eksempel, med nye retningslinjer og prosedyrer implementert, må nettverksingeniøren din nå logge av på en brannmurendring. Dine ansatte kan ikke bare hente telefonen og få en ny tillatelse til en ekstra del av nettverket. Det kommer til å legge til litt tid og kanskje til og med litt frustrasjon til prosessen, ikke sant? På den annen side, hvor mye vil du miste hvis du mistet personen som forsto nøyaktig hvorfor brannmuren din er satt opp slik den er? Uten å skrive disse prosessene ned, skaper du massive sårbarheter. Folk, opplæring, standarder, programmer-hvor mye er det litt overhead verdt hvis det sikrer at du har et håndtak på hva som skjer i din bedrift, nettverk, og bedriften?
du kan redusere endringen noe, skjønt, ved å skrive din bedriftskultur i dine retningslinjer og prosedyrer. Ingen steder er det skrevet at retningslinjer og prosedyrer må være forferdelig formelle, kjedelige å lese dokumenter fylt med juridisk og smerte. Hva er det som gjør at folk ønsker å jobbe der? Tilpass retningslinjene og prosedyrene dine til bedriftskulturen, virksomheten din og hvordan medarbeiderne dine samhandler. Dette vil minimere vanskelighetene med å implementere dem og bidra til å bevare det som gjør organisasjonen unik.
» Men det er ingen tid!»Dette er det mest gyldige argumentet. I en verden av magre ansatte, rask behandlingstid, og en vekt på å gjøre mye med litt, finne tid for styring kan være svært vanskelig. Med det said…it spiller ingen rolle. Jeg kan gi deg ledelsesbok etter ledelsesbok, essay etter essay, whitepaper etter whitepaper, alt om hvordan definerte retningslinjer og prosedyrer vil forbedre virksomheten din på alle nivåer hvis du følger prosessen. Du kan rett og slett ikke passere noen formell revisjon uten dem. Tid til å gjøre arbeidet og dokumentere retningslinjer og prosedyrer har å bli funnet.
hvis du kan forplikte deg til å få retningslinjene på plass og håndheve dem, vil du bli sjokkert over den kortsiktige gevinsten i hvor lett en revisjon blir, og enda mer sjokkert av de langsiktige fordelene du får. Din virksomhet vil være mindre stressende, dine folk vil ha mer retning, og hvis det gjøres bra, vil du endelig vite nøyaktig hva det er du administrerer og hvorfor.
fordelene oppveier smerten av retningslinjer og prosedyrer. Forpliktelse til prosessen har alvorlige fordeler. Ser din organisasjon modne retningslinjer og prosedyrer som et nødvendig onde? Forstår du formålet med retningslinjer og prosedyrer? Hvilke hindringer har organisasjonen funnet når du utvikler eller implementerer retningslinjer og prosedyrer? Hvordan har du bygget i tid til å forplikte seg til å håndheve retningslinjer og prosedyrer?
Om Shannon Lane
Shannon Lane har over 20 års erfaring i informasjonstjenester, inkludert helsetjenester IT, e-handel data ekstrapolering, nettverksadministrasjon, databaseadministrasjon og ekstern revisjon arbeid. Lane fungerer nå Som Informasjonssikkerhetsrevisor Ved KirkpatrickPrice, representerer KirkpatrickPrice på 2018 HITRUST CSF Assessor Council, og har cissp, CISA, QSA, MSDBA og CCSFP sertifiseringer.