2013年10月03日    eNet硅谷动力      
推荐学习: 百战归来,再看房地产 ;世界顶尖名校纽约大学地产学院、风马牛地产学院重磅推出。 项目专注于中国地产全产业链模式创新和细分领域前沿实战,汇聚中美两国最强师资,融入中国地产顶级圈层。 冯仑先生担任班级导师,王石、潘石屹、Sam Chandan等超过30位中美两国最具代表性的地产经营者、践行者和经济学者联袂授课。《未来之路——中国地产经营者国际课程》>>
 合规:我不能理解一些安全专业人员,特别是不会每日 或甚至每时处理问题的首席信息安全官(CISO)。如果公司要遵从的不是支付卡行业数据安全标准(简称PCI DSS),那么可能是HIPAA法案、GLB法案、萨班斯法案或是许多其它私有和安全法令之一。保护企业的数据很必要,同时也要保证企业履行合规的要求。

  所以CISO如何才能正确地管理合规?CISO需要有什么样的关键管理过程、优先级排序和心态,才能确保信息安全团队能让企业满足合规要求?本文我想介绍可能有助于你获得成功的四个方面。

  你的口头禅:保护数据

  首先,记住作为CISO你的角色是公司信息安全的代表。不管是什么特定的合规要求,你的首要工作是保护公司的数据,并且还要保护你的员工、厂商、顾客和你的股东。

  如果你查看关键合规指导方针——包括PCI DSS、HIPAA或是NERC要求——其核心的主题都是保护系统、数据和防止数据丢失。基本上大多数合规要求的基本原则是维持“CIA”:即数据和系统的保密性(confidentiality)、完整性(integrity)和可用性(availability)。

  了解管理合规的要求

  其次,了解你必须遵从的合规要求。阅读并研究它们,并且对照它们进行自审和评估。掌握关于这些法令的相关解释、裁决和新闻最新动态。例如订阅关于PCI DSS、HIPAA或NERC的新闻,或者创建Google Alert,了解关于信用卡安全,或是任何和你行业最相关的新闻。通过了解要求和保持对这些主题的行业交流,你将能够对可能会影响公司合规状态的决策结果更了解。

  你还可以通过使用行业评估检查列表(用于指导变更管理或者架构评审)来了解要求。确保对系统的变更——即使是那些和合规主题没有直接关联的——不会使数据或系统面临潜在的危险。

  安全学习 和安全意识

  作为CISO,我坚信员工是公司的第一道防线。要确保员工和承包商意识到他们的行为,或者不作为可能会导致数据泄露或违规的情况。那么,你如何传达这些信息呢?

  第一步是查看业务过程,并且推断在数据流和系统操作中因为没履行特定的要求而导致违规的地方。使用这些信息,花时间对关键员工进行学习 ,并且进行责任定位以保护信息安全。

  例如,就PCI DSS法案来说,一个潜在的薄弱区域是在销售点终端机处理信用卡数据。恰当的方法(并且甚至是PCI DSS要求的)是花时间向面对客户的员工——或者至少制定一些基于计算机的学习 或员工安全意识手册——解释处理信用卡的正确和不正确的方式,例如不要复制信用卡号。

  在这方面的其它方法还有指导开发重要Web应用的员工进行测试和数据校验,或是学习 所有便携式电脑用户如何在外出旅行时安全防护他们的机器。

  换句话说,要经常学习 和指导员工了解采取某些行为的原因,以及如果数据没有得到恰当地保护会给公司名誉和员工带来的影响。

  了解根源

  如果发生事故,该事故可能会让公司的法规遵从受到质疑,所以必须花时间和精力来理解事故的根本原因。不要只是掩盖征兆,要真正地理解发生了什么和为什么会发生。然后花时间思考补救措施,来解决问题和防止事件再次发生。确认和追踪这些补救措施确实完成。

  这个方法也将有助于你与监管人员及合规监督者沟通。通过了解你的问题和事件,你会阐明你不想让错误发生和你愿意付出时间和努力来防止问题再次发生。如果到了罚款或处罚的地步,如果你一直和监管者保持坦诚,他们很可能会宽大处理。

  持续的压力

  作为CISO,我经常对我的安全团队同事说,我们最重要的工作是持续关注公司合规和数据安全。不幸的是,这可能并不容易实现,并且有时还具有挑战性,但是你需要保持这个压力来保持和提高你所在企业的安全状况。
注:本站文章转载自网络,用于交流学习,如有侵权,请告知,我们将立刻删除。Email:271916126@qq.com
随机读管理故事:《选择》
你开着一辆车。
在一个暴风雨的晚上。
你经过一个车站。
有三个人正在焦急的等公共汽车。
一个是快要临死的老人,他需要马上去医院
一个是医生,他曾救过你的命,你做梦都想报答他。
还有一个女人/男人,她/他是你做梦都想嫁/娶的人,也许错过就没有了。
但你的车只能再坐下一个人,你会如何选择?
我不知道这是不是一个对你性格的测试,因为每一个回答都有他自己的原因。
老人快要死了,你首先应该先救他。
你也想让那个医生上车,因为他救过你,这是个好机会报答他。
还有就是你的梦中情人。错过了这个机会。你可能永远不能遇到一个让你这么心动的人了。
在200个应征者中,只有一个人被雇佣了,他并没有解释他的理由,他只是说了以下的话:'给医生车钥匙,让他带着老人去医院,而我则留下来陪我的梦中情人一起等公车!'
小哲理:
是否是因为我们从未想过要放弃我们手中已经拥有的优势(车钥匙)?
有时,如果我们能放弃一些我们的固执,狭隘,和一些优势的话,我们可能会得到更多。
阅读更多管理故事>>>
相关老师
热门阅读
企业观察
推荐课程
课堂图片
返回顶部 邀请老师 QQ聊天 微信