Who Are Security Policies For? (A Primer On Writing Policy For People)
Вы можете читать свои политики безопасности, но понимаете ли вы их? Позвольте нашему менеджеру по рискам и соблюдению показать вам, как написать эффективные и полезные политики.
В качестве менеджера по рискам и соблюдению требований в компании Guru я провожу много времени, используя приложение Guru для создания и организации политик, которые регулируют практики безопасности нашей компании. Вы же знаете... ставить точки над «i»... проводить линии через «t»... обновлять слова и подобное. В мире безопасности это именно то, что нужно делать, правда? Политика — это важная часть практически любой программы соблюдения требований. Без правил мы всего лишь группа детей, безрассудно бегущих вокруг условного бассейна.
Недавно мне пришлось пересмотреть свой хорошо организованный распорядок работы как менеджера по соблюдению требований и подумать о более широкой картине. У моего коллеги возникли подозрения, что он может не совсем следовать определенной практике безопасности, поэтому он обратился, чтобы сказать, что не может найти политику управления поставщиками.
Я был немного поражён, так как я приложил много усилий для написания вполне приемлемой политики по "отношениям с поставщиками" и разместил её в Guru, чтобы все могли её прочитать. Я имею в виду, ну давай, что здесь непонятного, правда? Поставщик? Партнёр? Отношения? И, ну, э...
Хорошо, понято. На самом деле, его вопрос стал своеобразным сигналом к пробуждению для человека, работающего в красивом офисе, который считает, что у нас есть ясные и убедительные политики для всех, чтобы их прочитать. В этот экзистенциальный момент я задумался о том, что моя онлайн-библиотека полна языка, насыщенного жаргоном.
Если люди не могут связать слова с реальностью, как они могут руководствоваться ими?
Это заставило меня задуматься о лучших способах организации политик в Guru. Нам нужна программа соблюдения, которая не только соответствует формальностям, требуемым аудиторами, клиентами и партнёрами, но и действительно служит людям, к которым она относится. Это побудило меня начать медленную кампанию по добавлению актуальности к политике, задача которой заключается в трёх улучшениях: тегирование, связывание и упрощение политики с использованием простого языка.
Потерянное искусство тегирования
Процесс создания карты Guru довольно прост, но существует небольшое левое соотношение, которое необходимо учитывать при организации этой карты и подготовке её к открытию — какая коллекция, какая доска и т. д. Как создатель политики, я нахожусь в некотором роде в выгодном положении, так как мои карты иерархичны и организованы очевидным образом. Но это также рецепт изоляции, труба, если угодно, которая существует сама по себе, а не для распространения среди читателей.
Я поставил себя на место любого, кого может интересовать их обязанности по безопасности, предполагая, что их поиск в Guru, вероятно, будет включать "политику безопасности." Окинув взглядом одну из моих политик наугад, я быстро понял, что даже не добавил эту простую фразу в качестве тега; следовательно, поиск вернул бы всё, от "политики отпуска" до "политики безопасности контента" инженерной группы. Я добавил слова в качестве тега, и, как по волшебству, мои политики поднялись к вершине результатов поиска. Спасибо, теги!
Связывание
Guru полон всего, что нужно человеку для выполнения своей работы. Иногда я обнаруживаю, что просматриваю другие коллекции, лишь чтобы наткнуться на карты, которые выглядят и пахнут как политика безопасности, и моя провинциальная внутренняя сущность беспокоится о том, что они не организованы в моей коллекции безопасности.
Я пришёл к осознанию, что в мире соблюдения требований правила — это отличная вещь, независимо от того, где они находятся. Ответственность за то, чтобы сделать их актуальными для политики и связать их с ключевыми словами в "моих" картах, лежит на мне.
Например, если есть указания от IT-менеджера о том, как обновить операционную систему на их ноутбуке, выданном Guru, я должен связать это с моей "политикой рабочего места" с помощью простой гиперссылки. Этот шаг согласовывает вклад всех и делает политику более инклюзивной, сопоставляя планеты, так сказать, чтобы выявить общую безопасность солнечной системы.
Простой язык
Вы этого от меня не слышали, но политикам свойственно усложнять язык, когда они могут. Возьмите этот небольшой фрагмент из требования соблюдения отрасли, название которого осталось бы неопознанным: "Программа информационной безопасности, касающаяся защиты личной информации, должна включать управление коммуникациями и управление операциями."
Ох. Это может иметь значение для автора и нескольких пуристов безопасности, ответственных за его соблюдение, но рядовой человек может остаться в недоумении. Управление коммуникациями?Управление операциями? Может ли быть так, что, возможно, просто возможно, тот же самый мандат мог бы быть упрощён до чего-то более простого, скажем, "Мы защитим персональные данные, внедрив процедуры, которым мы все должны следовать?"
Вот. Мы просто снизили риторику и ничто в процессе не потеряно. Поверить или нет, меньше действительно может означать больше в программе соблюдения, где людям просто нужно знать, что им нужно делать. Люди, занимающиеся соблюдением, такие как я, должны избегать соблазна повторять регулирование и упаковывать это в карты. Если мы сами этого не понимаем, как мы можем ожидать, чтобы другие это выполняли?
Работа никогда не останавливается
Тегирование, связывание и упрощение политики безопасности — это не то, что нужно делать один раз и забыть. Это путешествие, постоянные инвестиции времени и мыслей со стороны менеджера по соблюдению требований. С небольшим критическим мышлением авторы политик могут использовать Guru для хранения требования, которое не только удовлетворяет регуляторам и клиентам, но и обращается к людям, которые важнее всего: тем, кто должен его исполнять.
В качестве менеджера по рискам и соблюдению требований в компании Guru я провожу много времени, используя приложение Guru для создания и организации политик, которые регулируют практики безопасности нашей компании. Вы же знаете... ставить точки над «i»... проводить линии через «t»... обновлять слова и подобное. В мире безопасности это именно то, что нужно делать, правда? Политика — это важная часть практически любой программы соблюдения требований. Без правил мы всего лишь группа детей, безрассудно бегущих вокруг условного бассейна.
Недавно мне пришлось пересмотреть свой хорошо организованный распорядок работы как менеджера по соблюдению требований и подумать о более широкой картине. У моего коллеги возникли подозрения, что он может не совсем следовать определенной практике безопасности, поэтому он обратился, чтобы сказать, что не может найти политику управления поставщиками.
Я был немного поражён, так как я приложил много усилий для написания вполне приемлемой политики по "отношениям с поставщиками" и разместил её в Guru, чтобы все могли её прочитать. Я имею в виду, ну давай, что здесь непонятного, правда? Поставщик? Партнёр? Отношения? И, ну, э...
Хорошо, понято. На самом деле, его вопрос стал своеобразным сигналом к пробуждению для человека, работающего в красивом офисе, который считает, что у нас есть ясные и убедительные политики для всех, чтобы их прочитать. В этот экзистенциальный момент я задумался о том, что моя онлайн-библиотека полна языка, насыщенного жаргоном.
Если люди не могут связать слова с реальностью, как они могут руководствоваться ими?
Это заставило меня задуматься о лучших способах организации политик в Guru. Нам нужна программа соблюдения, которая не только соответствует формальностям, требуемым аудиторами, клиентами и партнёрами, но и действительно служит людям, к которым она относится. Это побудило меня начать медленную кампанию по добавлению актуальности к политике, задача которой заключается в трёх улучшениях: тегирование, связывание и упрощение политики с использованием простого языка.
Потерянное искусство тегирования
Процесс создания карты Guru довольно прост, но существует небольшое левое соотношение, которое необходимо учитывать при организации этой карты и подготовке её к открытию — какая коллекция, какая доска и т. д. Как создатель политики, я нахожусь в некотором роде в выгодном положении, так как мои карты иерархичны и организованы очевидным образом. Но это также рецепт изоляции, труба, если угодно, которая существует сама по себе, а не для распространения среди читателей.
Я поставил себя на место любого, кого может интересовать их обязанности по безопасности, предполагая, что их поиск в Guru, вероятно, будет включать "политику безопасности." Окинув взглядом одну из моих политик наугад, я быстро понял, что даже не добавил эту простую фразу в качестве тега; следовательно, поиск вернул бы всё, от "политики отпуска" до "политики безопасности контента" инженерной группы. Я добавил слова в качестве тега, и, как по волшебству, мои политики поднялись к вершине результатов поиска. Спасибо, теги!
Связывание
Guru полон всего, что нужно человеку для выполнения своей работы. Иногда я обнаруживаю, что просматриваю другие коллекции, лишь чтобы наткнуться на карты, которые выглядят и пахнут как политика безопасности, и моя провинциальная внутренняя сущность беспокоится о том, что они не организованы в моей коллекции безопасности.
Я пришёл к осознанию, что в мире соблюдения требований правила — это отличная вещь, независимо от того, где они находятся. Ответственность за то, чтобы сделать их актуальными для политики и связать их с ключевыми словами в "моих" картах, лежит на мне.
Например, если есть указания от IT-менеджера о том, как обновить операционную систему на их ноутбуке, выданном Guru, я должен связать это с моей "политикой рабочего места" с помощью простой гиперссылки. Этот шаг согласовывает вклад всех и делает политику более инклюзивной, сопоставляя планеты, так сказать, чтобы выявить общую безопасность солнечной системы.
Простой язык
Вы этого от меня не слышали, но политикам свойственно усложнять язык, когда они могут. Возьмите этот небольшой фрагмент из требования соблюдения отрасли, название которого осталось бы неопознанным: "Программа информационной безопасности, касающаяся защиты личной информации, должна включать управление коммуникациями и управление операциями."
Ох. Это может иметь значение для автора и нескольких пуристов безопасности, ответственных за его соблюдение, но рядовой человек может остаться в недоумении. Управление коммуникациями?Управление операциями? Может ли быть так, что, возможно, просто возможно, тот же самый мандат мог бы быть упрощён до чего-то более простого, скажем, "Мы защитим персональные данные, внедрив процедуры, которым мы все должны следовать?"
Вот. Мы просто снизили риторику и ничто в процессе не потеряно. Поверить или нет, меньше действительно может означать больше в программе соблюдения, где людям просто нужно знать, что им нужно делать. Люди, занимающиеся соблюдением, такие как я, должны избегать соблазна повторять регулирование и упаковывать это в карты. Если мы сами этого не понимаем, как мы можем ожидать, чтобы другие это выполняли?
Работа никогда не останавливается
Тегирование, связывание и упрощение политики безопасности — это не то, что нужно делать один раз и забыть. Это путешествие, постоянные инвестиции времени и мыслей со стороны менеджера по соблюдению требований. С небольшим критическим мышлением авторы политик могут использовать Guru для хранения требования, которое не только удовлетворяет регуляторам и клиентам, но и обращается к людям, которые важнее всего: тем, кто должен его исполнять.
Опробуйте мощь платформы Гуру на практике - пройдите интерактивный тур по нашему продукту
