Who Are Security Policies For? (A Primer On Writing Policy For People)
あなたは自分のセキュリティポリシーを読むことができますが、理解していますか? 私たちのリスクおよびコンプライアンスマネージャーが、影響力のある有用なポリシーを書く方法を示します。
Guruのリスクおよびコンプライアンスマネージャーとして、私は会社のセキュリティ慣行を規制するポリシーを作成し整理するために、Guruアプリを使用することにかなりの時間を費やしています。 皆さんご存知の通り…Iの点を打ち、Tの交差点を結び、言葉を更新することなどです。 セキュリティの世界では、これが普通のことですよね? ポリシーはほとんどすべてのコンプライアンスプログラムの重要な部分です。 ルールがなければ、私たちは皆、比喩的なプールの周りを無謀に走り回る子供のようなものです。
最近、コンプライアンスマネージャーとして整然としたルーチンを再考し、大きな視点を考慮する必要がありました。 同僚の一人が特定のセキュリティ慣行を完全に守っていないのではないかと疑いを持ち、ベンダー管理に関するポリシーが見つからないと言って連絡をしてきました。
私はやや驚きました。なぜなら、「サプライヤー関係」についての完全に利用可能なポリシーを書くために大きな努力をしたからです。それをGuruに掲載し、誰でも読めるようにしていました。 つまり、あなたは何が問題かわかりますか、ですよね? ベンダー? サプライヤー? 関係? まあ、ええと...
わかりました、覚悟はできました。 実際、彼の質問は、すべての人が読むための明確で説得力のあるポリシーがあると感じている、象牙の塔にいるコンプライアンス担当者にとっての目覚ましの鐘のようなものでした。 この存在的な瞬間に、私は私のオンラインライブラリが専門用語に満ちた言語でいっぱいであることを振り返りました。
もし人々が言葉に親しめないのなら、どうやってそれに導かれるのでしょうか?
私はこれを通じてGuru内でポリシーを整理するより良い方法について考え始めました。 私たちは監査人、顧客、パートナーが要求する形式要件を満たすだけでなく、実際にそれに該当する人々に役立つコンプライアンスプログラムを必要としています。 これにより、ポリシーに関連性を持たせる緩やかなキャンペーンを開始することが促されました。この取り組みは、タグ付け、リンク付け、平易な言語でポリシーを単純化するという3つの改善に基づいています。
失われたタグ付けの技術
Guruカードを作成するプロセスは非常にシンプルですが、そのカードを整理し、発見のために設定する際には、少し左脳的な考慮が必要です--どのコレクション、どのボードなど。 ポリシー作成者として、私は自分のカードが階層であり、自己明白な方法で整理されているため、ある程度の利点があります。 しかし、それは孤立を招くレシピでもあり、読者の間で分配されるためではなく、自身の目的のためのものです。
私はセキュリティ責任について興味を持っている可能性のある誰かのサイバー上の靴に自分を置いてみました。その人のGuru検索には「セキュリティポリシー」が含まれる可能性が高いと仮定しました。 たまたま私のポリシーの一つを目にし、私はこのシンプルなフレーズをタグとして追加していないことに気づきました。したがって、検索結果は「休暇ポリシー」からエンジニアリングチームの「コンテンツセキュリティポリシー」まで戻ることになります。 私は言葉をタグとして追加し、魔法のように、私のポリシーが検索結果の最上位に上がりました。 ありがとう、タグ!
リンクする
Guruは、人が仕事をするために必要なあらゆるものが満載です。 時々、他のコレクションをブラウジングしていると、セキュリティポリシーのように見え、香りを放つカードに出くわすことがあります。私の狭い内面は、それが私のセキュリティコレクションで整理されていない事実を心配し始めます。
私は、コンプライアンスの世界ではルールがどこにあろうと素晴らしいものであることを理解するようになりました。 それらをポリシーに関連させ、私のカード内のキーワードにリンクさせることは私の責任です。
例えば、ITマネージャーからの指導があり、Guruから貸与されたノートパソコンでオペレーティングシステムを更新する方法についての情報がある場合、それを「ワークステーションポリシー」に単純なハイパーリンクで結び付けるべきです。 このステップは、皆の貢献を統一し、ポリシーをより包括的にし、宇宙の惑星を揃え、共通のセキュリティの太陽系を明らかにする役割を果たします。
平易な言語
私からは聞いていませんが、ポリシーの人々はできるだけ言語を複雑にする傾向があります。 これを無名の業界コンプライアンス要件からの小さなスニペットとして取ってください。 「個人情報を保護する情報セキュリティプログラムは、コミュニケーション管理と運用管理を含む必要があります。」
やれやれ。 それは著者や、それを強制する責任のあるセキュリティの一部の人々に意味があるかもしれませんが、一般の人々は首をかしげるかもしれません。 コミュニケーション管理? 運用管理? もしかしたら、同じ命令は「私たちは皆が従う必要のある手順を実装することにより、個人データを確保します。」のように、よりシンプルにできるかもしれません。
そこに。 私たちは言葉の響きを減らし、プロセスの中で何も失いませんでした。 信じられないかもしれませんが、少ないことが、何をすべきかを知りたい人々がいるコンプライアンスプログラムでは、実際には多くを意味する場合があります。 私のようなコンプライアンス関係者は、規則をそのまま繰り返し、それをカードに詰め込む誘惑を避けるべきです。 自分が理解していなければ、他の人に実施してもらうことを期待できますか?
仕事は終わらない
タグ付け、リンク付け、そしてセキュリティポリシーを単純化することは、一度行って忘れ去るものではありません。 これは旅であり、コンプライアンスマネージャーにとって継続的な時間と考えの投資です。 ちょっとした批判的思考を使えば、ポリシーの著者はGuruを活用して実施可能なポリシーを家に持ち帰り、規制当局や顧客を満足させるだけでなく、最も重要な人々、すなわちそのポリシーを実行しなければならない人々に語りかけることができます。
Guruのリスクおよびコンプライアンスマネージャーとして、私は会社のセキュリティ慣行を規制するポリシーを作成し整理するために、Guruアプリを使用することにかなりの時間を費やしています。 皆さんご存知の通り…Iの点を打ち、Tの交差点を結び、言葉を更新することなどです。 セキュリティの世界では、これが普通のことですよね? ポリシーはほとんどすべてのコンプライアンスプログラムの重要な部分です。 ルールがなければ、私たちは皆、比喩的なプールの周りを無謀に走り回る子供のようなものです。
最近、コンプライアンスマネージャーとして整然としたルーチンを再考し、大きな視点を考慮する必要がありました。 同僚の一人が特定のセキュリティ慣行を完全に守っていないのではないかと疑いを持ち、ベンダー管理に関するポリシーが見つからないと言って連絡をしてきました。
私はやや驚きました。なぜなら、「サプライヤー関係」についての完全に利用可能なポリシーを書くために大きな努力をしたからです。それをGuruに掲載し、誰でも読めるようにしていました。 つまり、あなたは何が問題かわかりますか、ですよね? ベンダー? サプライヤー? 関係? まあ、ええと...
わかりました、覚悟はできました。 実際、彼の質問は、すべての人が読むための明確で説得力のあるポリシーがあると感じている、象牙の塔にいるコンプライアンス担当者にとっての目覚ましの鐘のようなものでした。 この存在的な瞬間に、私は私のオンラインライブラリが専門用語に満ちた言語でいっぱいであることを振り返りました。
もし人々が言葉に親しめないのなら、どうやってそれに導かれるのでしょうか?
私はこれを通じてGuru内でポリシーを整理するより良い方法について考え始めました。 私たちは監査人、顧客、パートナーが要求する形式要件を満たすだけでなく、実際にそれに該当する人々に役立つコンプライアンスプログラムを必要としています。 これにより、ポリシーに関連性を持たせる緩やかなキャンペーンを開始することが促されました。この取り組みは、タグ付け、リンク付け、平易な言語でポリシーを単純化するという3つの改善に基づいています。
失われたタグ付けの技術
Guruカードを作成するプロセスは非常にシンプルですが、そのカードを整理し、発見のために設定する際には、少し左脳的な考慮が必要です--どのコレクション、どのボードなど。 ポリシー作成者として、私は自分のカードが階層であり、自己明白な方法で整理されているため、ある程度の利点があります。 しかし、それは孤立を招くレシピでもあり、読者の間で分配されるためではなく、自身の目的のためのものです。
私はセキュリティ責任について興味を持っている可能性のある誰かのサイバー上の靴に自分を置いてみました。その人のGuru検索には「セキュリティポリシー」が含まれる可能性が高いと仮定しました。 たまたま私のポリシーの一つを目にし、私はこのシンプルなフレーズをタグとして追加していないことに気づきました。したがって、検索結果は「休暇ポリシー」からエンジニアリングチームの「コンテンツセキュリティポリシー」まで戻ることになります。 私は言葉をタグとして追加し、魔法のように、私のポリシーが検索結果の最上位に上がりました。 ありがとう、タグ!
リンクする
Guruは、人が仕事をするために必要なあらゆるものが満載です。 時々、他のコレクションをブラウジングしていると、セキュリティポリシーのように見え、香りを放つカードに出くわすことがあります。私の狭い内面は、それが私のセキュリティコレクションで整理されていない事実を心配し始めます。
私は、コンプライアンスの世界ではルールがどこにあろうと素晴らしいものであることを理解するようになりました。 それらをポリシーに関連させ、私のカード内のキーワードにリンクさせることは私の責任です。
例えば、ITマネージャーからの指導があり、Guruから貸与されたノートパソコンでオペレーティングシステムを更新する方法についての情報がある場合、それを「ワークステーションポリシー」に単純なハイパーリンクで結び付けるべきです。 このステップは、皆の貢献を統一し、ポリシーをより包括的にし、宇宙の惑星を揃え、共通のセキュリティの太陽系を明らかにする役割を果たします。
平易な言語
私からは聞いていませんが、ポリシーの人々はできるだけ言語を複雑にする傾向があります。 これを無名の業界コンプライアンス要件からの小さなスニペットとして取ってください。 「個人情報を保護する情報セキュリティプログラムは、コミュニケーション管理と運用管理を含む必要があります。」
やれやれ。 それは著者や、それを強制する責任のあるセキュリティの一部の人々に意味があるかもしれませんが、一般の人々は首をかしげるかもしれません。 コミュニケーション管理? 運用管理? もしかしたら、同じ命令は「私たちは皆が従う必要のある手順を実装することにより、個人データを確保します。」のように、よりシンプルにできるかもしれません。
そこに。 私たちは言葉の響きを減らし、プロセスの中で何も失いませんでした。 信じられないかもしれませんが、少ないことが、何をすべきかを知りたい人々がいるコンプライアンスプログラムでは、実際には多くを意味する場合があります。 私のようなコンプライアンス関係者は、規則をそのまま繰り返し、それをカードに詰め込む誘惑を避けるべきです。 自分が理解していなければ、他の人に実施してもらうことを期待できますか?
仕事は終わらない
タグ付け、リンク付け、そしてセキュリティポリシーを単純化することは、一度行って忘れ去るものではありません。 これは旅であり、コンプライアンスマネージャーにとって継続的な時間と考えの投資です。 ちょっとした批判的思考を使えば、ポリシーの著者はGuruを活用して実施可能なポリシーを家に持ち帰り、規制当局や顧客を満足させるだけでなく、最も重要な人々、すなわちそのポリシーを実行しなければならない人々に語りかけることができます。
Experience the power of the Guru platform firsthand – take our interactive product tour
見学する
![[閉じる] アイコン](https://cdn.prod.website-files.com/5d8d029013ffd80bbb91320d/60634db8e001683398b23894_X-close.svg){kind=small}