بصفتي مدير المخاطر والامتثال لشركة جورو، أقضي وقتًا طويلاً في استخدام تطبيق جورو لإنشاء وتنظيم السياسات التي تحكم ممارسات الأمن الخاصة بشركتنا. كما تعلم... التدوين وإغلاق الأمور... تحديث الكلمات وما إلى ذلك. في عالم الأمن، هذا هو الأمر المتعارف عليه، أليس كذلك؟ السياسة هي جزء أساسي من أي برنامج امتثال. بدون القواعد، نحن مجرد مجموعة من الأطفال يجري بشكل متهور حول المسبح المفترض.
مؤخراً، كان عليّ إعادة التفكير في روتيني المنظم كمُدير للامتثال والنظر إلى الصورة الأكبر. كان أحد زملائي يشك أنه قد لا يتبع بشكل كامل ممارسة أمن معينة، لذا اتصل ليقول إنه لم يتمكن من العثور على السياسة حول إدارة الموردين.
تفاجأت قليلاً، حيث بذلت جهدًا كبيرًا لكتابة سياسة مناسبة تمامًا عن "علاقات الموردين" ونشرها في جورو ليقرأها الجميع. أعني، تعال، ما الذي ليس مفهوماً، أليس كذلك؟ مورد؟ مزود؟ علاقات؟ وحسناً، أرى، اه...
حسناً، تم التوصل إلى نقطة. في الواقع، كانت سؤاله بمثابة مكالمة للاستيقاظ للرجل المُعتمد على الامتثال الذي يشعر أنه لدينا سياسات واضحة وجذابة للجميع لقراءتها. في هذه اللحظة الوجودية، تأملت في حقيقة أن مكتبتي الإلكترونية مليئة بلغة مشبعة بالمصطلحات.
إذا لم يتمكن الناس من الارتباط بالكلمات، كيف يمكنهم أن يسترشدوا بها؟
أدى ذلك إلى تفكيري في طرق أفضل لتنظيم السياسة داخل جورو. نحتاج إلى برنامج امتثال لا يلتزم فقط بالرسميات المطلوبة من المدققين والعملاء والشركاء، بل يخدم فعليًا الأشخاص الذين ينطبق عليهم. دفعني ذلك للشروع في حملة بطيئة لإضافة الصلة إلى السياسة، وهو جهد يستند إلى ثلاثة تحسينات: التصنيف، الربط، وتبسيط السياسة بلغة واضحة.
فن التصنيف المفقود
عملية إنشاء بطاقة جورو بسيطة نسبيًا، لكن هناك بعض الاعتبارات ذات الطابع المنطقي التي تدخل في تنظيم تلك البطاقة وإعدادها للاكتشاف--أي مجموعة، أي لوحة، وما إلى ذلك. بصفتي مُنشئ السياسة، أنا في وضع أفضل بفضل أن بطاقاتي عُمدت ومنظمة بطريقة واضحة. لكن هذه أيضاً وصفة للعزلة، عبارة عن أنبوب مخصص إذا جاز التعبير، existe من أجل ذاته وليس من أجل توسيعها بين القراء.
وضعت نفسي في مكان أي شخص قد يكون فضولياً بشأن مسؤولياتهم الأمنية، مفترضاً أن بحثهم في جورو سيشمل "سياسة الأمن". وحللت واحدة من سياسياتي عشوائيًا، واكتشفت بسرعة أنني لم أضف هذه العبارة البسيطة كعلامة؛ ومن ثم، سيعود البحث بأي شيء من "سياسة العطلات" إلى "سياسة أمان المحتوى" الخاصة بمجموعة الهندسة. أضفت الكلمات كعلامة، وكالسحر، ارتفعت سياسياتي إلى أعلى نتائج البحث. شكرًا، علامات!
الربط
تحتوي جورو على كل ما يحتاجه أي شخص لأداء عمله. أجد نفسي أحيانًا أتصفح مجموعات أخرى فقط لأتعثر في بطاقات تشبه وتبدو كسياسة الأمن، ويتعكر صفو نفسي الداخلية بشأن عدم تنظيمها في مجموعتي الأمنية.
لقد أدركت أنه في عالم الاحتياطات، القواعد هي أشياء رائعة بغض النظر عن مكان وجودها. العبء على عاتقي لجعلها ذات صلة بالسياسة وربطها بالكلمات الرئيسية في بطاقاتي "الخاصة".
على سبيل المثال، إذا كانت هناك توجيهات من مدير تكنولوجيا المعلومات حول كيفية تحديث نظام التشغيل على لابتوب صادرة من جورو، ينبغي لي ربطها بسياسة "محطة العمل" الخاصة بي من خلال رابط بسيط. هذه الخطوة توحد مساهمات الجميع وتجعل السياسة أكثر شمولاً، مما يجعل الكواكب في نفس المحاذاة، كما يقال، لكشف النظام الشمسي الأمني المشترك.
اللغة البسيطة
لم تسمع هذا مني، لكن الأشخاص المعنيين بالسياسات تميل إلى تعقيد اللغة عندما يستطيعون. خذ هذه القطعة الصغيرة من متطلبات الامتثال الصناعية التي ستظل بدون اسم: "يجب أن يتضمن برنامج أمان المعلومات، فيما يتعلق بحماية المعلومات الشخصية، إدارة الاتصالات وإدارة العمليات."
يا إلهي. قد تعني شيئًا للمؤلف وبعض النقاء الأمني المكلف بتنفيذه، لكن الشخص العادي قد يجد نفسه يحك رأسه. إدارة الاتصالات؟إدارة العمليات؟ هل يمكن أن يكون أنه ربما، فقط ربما، يمكن تبسيط نفس التفويض إلى شيء أبسط، مثل، "سوف نؤمن البيانات الشخصية من خلال تنفيذ الإجراءات التي يجب علينا جميعًا اتباعها؟"
هناك. لقد خففنا من الخطاب ولم نفقد شيئًا في هذه العملية. صدق أو لا تصدق، يمكن أن يعني الأقل في الواقع المزيد في برنامج الامتثال حيث يريد الناس فقط معرفة ما ينبغي عليهم القيام به. ينبغي على الأشخاص الذين أمثالني في الامتثال تجنب إغراء تكرار اللوائح وتعبئتها في بطاقات. إذا لم نفهم ذلك بأنفسنا، كيف نتوقع من الآخرين تنفيذ ذلك؟
العمل لا يتوقف أبداً
ت tagging، الربط، وتبسيط سياسات الأمان ليست أشياء يتم القيام بها مرة واحدة ونسيانها. هذه رحلة، استثمار مستمر للوقت والتفكير لمُدير الالتزام. مع بعض التفكير النقدي، يمكن لمؤلفي السياسات الاستفادة من جورو لتخزين سياسة قابلة للتنفيذ لا تلبي فقط احتياجات الجهات التنظيمية والعملاء ولكن تتحدث إلى الأشخاص الأكثر أهمية: أولئك الذين يجب عليهم تنفيذها.
بصفتي مدير المخاطر والامتثال لشركة جورو، أقضي وقتًا طويلاً في استخدام تطبيق جورو لإنشاء وتنظيم السياسات التي تحكم ممارسات الأمن الخاصة بشركتنا. كما تعلم... التدوين وإغلاق الأمور... تحديث الكلمات وما إلى ذلك. في عالم الأمن، هذا هو الأمر المتعارف عليه، أليس كذلك؟ السياسة هي جزء أساسي من أي برنامج امتثال. بدون القواعد، نحن مجرد مجموعة من الأطفال يجري بشكل متهور حول المسبح المفترض.
مؤخراً، كان عليّ إعادة التفكير في روتيني المنظم كمُدير للامتثال والنظر إلى الصورة الأكبر. كان أحد زملائي يشك أنه قد لا يتبع بشكل كامل ممارسة أمن معينة، لذا اتصل ليقول إنه لم يتمكن من العثور على السياسة حول إدارة الموردين.
تفاجأت قليلاً، حيث بذلت جهدًا كبيرًا لكتابة سياسة مناسبة تمامًا عن "علاقات الموردين" ونشرها في جورو ليقرأها الجميع. أعني، تعال، ما الذي ليس مفهوماً، أليس كذلك؟ مورد؟ مزود؟ علاقات؟ وحسناً، أرى، اه...
حسناً، تم التوصل إلى نقطة. في الواقع، كانت سؤاله بمثابة مكالمة للاستيقاظ للرجل المُعتمد على الامتثال الذي يشعر أنه لدينا سياسات واضحة وجذابة للجميع لقراءتها. في هذه اللحظة الوجودية، تأملت في حقيقة أن مكتبتي الإلكترونية مليئة بلغة مشبعة بالمصطلحات.
إذا لم يتمكن الناس من الارتباط بالكلمات، كيف يمكنهم أن يسترشدوا بها؟
أدى ذلك إلى تفكيري في طرق أفضل لتنظيم السياسة داخل جورو. نحتاج إلى برنامج امتثال لا يلتزم فقط بالرسميات المطلوبة من المدققين والعملاء والشركاء، بل يخدم فعليًا الأشخاص الذين ينطبق عليهم. دفعني ذلك للشروع في حملة بطيئة لإضافة الصلة إلى السياسة، وهو جهد يستند إلى ثلاثة تحسينات: التصنيف، الربط، وتبسيط السياسة بلغة واضحة.
فن التصنيف المفقود
عملية إنشاء بطاقة جورو بسيطة نسبيًا، لكن هناك بعض الاعتبارات ذات الطابع المنطقي التي تدخل في تنظيم تلك البطاقة وإعدادها للاكتشاف--أي مجموعة، أي لوحة، وما إلى ذلك. بصفتي مُنشئ السياسة، أنا في وضع أفضل بفضل أن بطاقاتي عُمدت ومنظمة بطريقة واضحة. لكن هذه أيضاً وصفة للعزلة، عبارة عن أنبوب مخصص إذا جاز التعبير، existe من أجل ذاته وليس من أجل توسيعها بين القراء.
وضعت نفسي في مكان أي شخص قد يكون فضولياً بشأن مسؤولياتهم الأمنية، مفترضاً أن بحثهم في جورو سيشمل "سياسة الأمن". وحللت واحدة من سياسياتي عشوائيًا، واكتشفت بسرعة أنني لم أضف هذه العبارة البسيطة كعلامة؛ ومن ثم، سيعود البحث بأي شيء من "سياسة العطلات" إلى "سياسة أمان المحتوى" الخاصة بمجموعة الهندسة. أضفت الكلمات كعلامة، وكالسحر، ارتفعت سياسياتي إلى أعلى نتائج البحث. شكرًا، علامات!
الربط
تحتوي جورو على كل ما يحتاجه أي شخص لأداء عمله. أجد نفسي أحيانًا أتصفح مجموعات أخرى فقط لأتعثر في بطاقات تشبه وتبدو كسياسة الأمن، ويتعكر صفو نفسي الداخلية بشأن عدم تنظيمها في مجموعتي الأمنية.
لقد أدركت أنه في عالم الاحتياطات، القواعد هي أشياء رائعة بغض النظر عن مكان وجودها. العبء على عاتقي لجعلها ذات صلة بالسياسة وربطها بالكلمات الرئيسية في بطاقاتي "الخاصة".
على سبيل المثال، إذا كانت هناك توجيهات من مدير تكنولوجيا المعلومات حول كيفية تحديث نظام التشغيل على لابتوب صادرة من جورو، ينبغي لي ربطها بسياسة "محطة العمل" الخاصة بي من خلال رابط بسيط. هذه الخطوة توحد مساهمات الجميع وتجعل السياسة أكثر شمولاً، مما يجعل الكواكب في نفس المحاذاة، كما يقال، لكشف النظام الشمسي الأمني المشترك.
اللغة البسيطة
لم تسمع هذا مني، لكن الأشخاص المعنيين بالسياسات تميل إلى تعقيد اللغة عندما يستطيعون. خذ هذه القطعة الصغيرة من متطلبات الامتثال الصناعية التي ستظل بدون اسم: "يجب أن يتضمن برنامج أمان المعلومات، فيما يتعلق بحماية المعلومات الشخصية، إدارة الاتصالات وإدارة العمليات."
يا إلهي. قد تعني شيئًا للمؤلف وبعض النقاء الأمني المكلف بتنفيذه، لكن الشخص العادي قد يجد نفسه يحك رأسه. إدارة الاتصالات؟إدارة العمليات؟ هل يمكن أن يكون أنه ربما، فقط ربما، يمكن تبسيط نفس التفويض إلى شيء أبسط، مثل، "سوف نؤمن البيانات الشخصية من خلال تنفيذ الإجراءات التي يجب علينا جميعًا اتباعها؟"
هناك. لقد خففنا من الخطاب ولم نفقد شيئًا في هذه العملية. صدق أو لا تصدق، يمكن أن يعني الأقل في الواقع المزيد في برنامج الامتثال حيث يريد الناس فقط معرفة ما ينبغي عليهم القيام به. ينبغي على الأشخاص الذين أمثالني في الامتثال تجنب إغراء تكرار اللوائح وتعبئتها في بطاقات. إذا لم نفهم ذلك بأنفسنا، كيف نتوقع من الآخرين تنفيذ ذلك؟
العمل لا يتوقف أبداً
ت tagging، الربط، وتبسيط سياسات الأمان ليست أشياء يتم القيام بها مرة واحدة ونسيانها. هذه رحلة، استثمار مستمر للوقت والتفكير لمُدير الالتزام. مع بعض التفكير النقدي، يمكن لمؤلفي السياسات الاستفادة من جورو لتخزين سياسة قابلة للتنفيذ لا تلبي فقط احتياجات الجهات التنظيمية والعملاء ولكن تتحدث إلى الأشخاص الأكثر أهمية: أولئك الذين يجب عليهم تنفيذها.
تجربة قوة منصة Guru بشكل مباشر - قم بجولة تفاعلية في المنتج
