Who Are Security Policies For? (A Primer On Writing Policy For People)
คุณสามารถอ่านนโยบายความปลอดภัยของคุณ แต่อยู่ในระดับที่คุณเข้าใจพวกมันหรือไม่? ให้ผู้จัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบของเราช่วยให้คุณเรียนรู้วิธีการเขียนนโยบายที่มีผลกระทบและมีประโยชน์.
ในฐานะผู้จัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบของ Guru ฉันใช้เวลาไม่น้อยในการใช้แอป Guru เพื่อสร้างและจัดระเบียบนโยบายที่กำหนดแนวทางการรักษาความปลอดภัยของบริษัทของเรา. คุณรู้...การจดให้ครบ...การข้ามให้ครบ...การปรับปรุงคำและอื่น ๆ. ในโลกของความปลอดภัยนี่คือสิ่งที่ต้องทำใช่ไหม? นโยบายเป็นส่วนสำคัญของโปรแกรมการปฏิบัติตามกฎระเบียบแทบทุกโปรแกรมที่ มีการปฏิบัติตาม. ถ้าไม่มีหลักเกณฑ์ เราก็เป็นแค่กลุ่มเด็กที่วิ่งไปมารอบสระน้ำที่เปรียบเสมือน.
เมื่อเร็ว ๆ นี้ ฉันต้องคิดใหม่เกี่ยวกับกิจวัตรที่มีระเบียบของฉันในฐานะผู้จัดการการปฏิบัติตามกฎระเบียบและพิจารณาภาพรวมที่ใหญ่กว่า. เพื่อนร่วมงานของฉันสงสัยว่าเขาอาจจะไม่ได้ปฏิบัติตามแนวทางการรักษาความปลอดภัยบางอย่างอย่างสมบูรณ์ ดังนั้นเขาจึงติดต่อมาบอกว่าเขาหาไม่ได้ว่านโยบายการจัดการผู้ขายอยู่ที่ไหน.
ฉันรู้สึกประหลาดใจเล็กน้อย เพราะฉันได้พยายามอย่างมากในการเขียนนโยบายที่สามารถใช้งานได้อย่างสมบูรณ์แบบเกี่ยวกับ “ความสัมพันธ์ของผู้จัดหา” และนำไปโพสต์ใน Guru ให้ทุกคนได้อ่าน. ฉันหมายถึง, มาทำกันเถอะ, มีอะไรไม่เข้าใจบ้างใช่ไหม? ผู้จำหน่าย? ผู้จัดหา? ความสัมพันธ์? และ, อืม...
โอเค รับทราบ. ในความเป็นจริง คำถามของเขาคือการตื่นตัวสำหรับผู้จัดการการปฏิบัติตามกฎระเบียบที่อยู่ในโลกที่มีไอวอรี่ซึ่งรู้สึกว่าเรามีนโยบายที่ชัดเจนและดึงดูดสำหรับทุกคนที่จะอ่าน. ในช่วงเวลาที่มีประจักษ์นี้ ฉันสะท้อนเกี่ยวกับความจริงที่ว่า ห้องสมุดออนไลน์ของฉันเต็มไปด้วยภาษาที่มีคำศัพท์เฉพาะทาง.
ถ้าผู้คนไม่สามารถเชื่อมโยงกับคำศัพท์ได้ พวกเขาจะได้รับคำแนะนำจากมันได้อย่างไร?
เรื่องนี้ทำให้ฉันคิดถึงวิธีที่ดีกว่าในการจัดระเบียบนโยบายภายใน Guru. เราต้องการโปรแกรมการปฏิบัติตามกฎระเบียบที่ไม่เพียงแต่ตอบสนองความเป็นทางการที่จำเป็นโดยผู้ตรวจสอบ ลูกค้า และพันธมิตร แต่ยังให้บริการแก่ผู้ที่มีสิทธิ์ใช้งาน. มันทำให้ฉันเริ่มการรณรงค์อย่างช้าๆในการเพิ่มความเกี่ยวข้องกับนโยบาย ซึ่งเป็นหน้าที่ที่ยึดอยู่บนการปรับปรุงสามประการ: การติดแท็ก การเชื่อมโยง และการทำให้นโยบายง่ายขึ้นด้วยภาษาที่เข้าใจง่าย.
ศิลปะที่สูญหายของการติดแท็ก
กระบวนการสร้างการ์ด Guru ค่อนข้างง่าย แต่มีความคิดที่ต้องพิจารณาสำหรับการจัดระเบียบการ์ดและตั้งค่ามันสำหรับการค้นหา--คอลเล็กชันไหน, บอร์ดไหน, ฯลฯ. ในฐานะที่เป็นผู้สร้างนโยบาย ฉันอยู่ในจุดที่ได้เปรียบในลักษณะที่ว่าการ์ดของฉันมีลำดับชั้นและมีการจัดระเบียบในลักษณะที่ชัดเจน. แต่ก็ยังเป็นสูตรสำหรับความโดดเดี่ยว สถานที่เก็บข้อมูล ถ้าคุณต้องการ ว่าหมายถึงเพื่อประโยชน์ของมันเองและไม่ใช่เพื่อการเผยแพร่ไปยังผู้อ่านทั่วๆไป.
ฉันคิดว่าฉันอยู่ในรองเท้าสำหรับใครก็ตามที่อาจสงสัยเกี่ยวกับความรับผิดชอบด้านความปลอดภัยของตน โดยสมมุติว่าการค้นหา Guru ของพวกเขาจะรวมถึง “นโยบายความปลอดภัย.” มองไปที่นโยบายของฉันแบบสุ่ม ฉันค้นพบว่าฉันไม่ได้เพิ่มวลีง่าย ๆ นี้เป็นแท็ก; ดังนั้น การค้นหาจะส่งกลับอะไรก็ได้ตั้งแต่นโยบายการลาพักร้อนจนถึง “นโยบายการรักษาความปลอดภัยเนื้อหา” ของกลุ่มวิศวกรรม. ฉันเพิ่มคำเหล่านั้นเป็นแท็ก และเหมือนเวทมนตร์ นโยบายของฉันก็ขึ้นไปอยู่ในผลลัพธ์การค้นหาที่สูงขึ้น. ขอบคุณแท็ก!
การเชื่อมโยง
Guru เต็มไปด้วยสิ่งที่ผู้คนต้องการเพื่อทำงาน. ฉันบางครั้งพบว่าตัวเองกำลังท่องคอลเล็กชันอื่น ๆ จนสะดุดกับการ์ดที่ดูและมีกลิ่นเหมือนนโยบายความปลอดภัย และความรู้ภายในของฉันทำให้รู้สึกวิตกกังวลเกี่ยวกับข้อเท็จจริงที่ว่ามันไม่ได้ถูกจัดระเบียบในคอลเล็กชันความปลอดภัยของฉัน.
ฉันได้รู้ว่าการมีอยู่ของกฎเกณฑ์ในโลกการปฏิบัติตามกฎระเบียบคือสิ่งที่ดีไม่ว่าจะอยู่ที่ไหน. เป็นหน้าที่ของฉันในการทำให้มันเกี่ยวข้องกับนโยบายและเชื่อมโยงมันกับคำหลักใน “การ์ด” ของฉัน.
ตัวอย่างเช่น หากมีคำแนะนำจากผู้จัดการ IT เกี่ยวกับวิธีการอัปเดตระบบปฏิบัติการบนแล็ปท็อปที่ออกโดย Guru ฉันควรเชื่อมโยงกลับไปยัง “นโยบายสถานีทำงาน” ของฉันผ่านลิงก์ง่าย ๆ . ขั้นตอนนี้ช่วยรวบรวมการมีส่วนร่วมของทุกคนและทำให้นโยบายรวมเข้าด้วยกัน เหมือนกับการจัดเรียงดาวเคราะห์เพื่อเปิดเผยระบบสุริยะด้านความปลอดภัยทั่วไป.
ภาษาที่เข้าใจง่าย
คุณไม่ได้ยินเรื่องนี้จากฉัน แต่นักวางนโยบายมักจะซับซ้อนภาษาจนเกินไปเมื่อพวกเขาสามารถ. นำตัวอย่างเล็ก ๆ นี้จากข้อกำหนดการปฏิบัติตามของอุตสาหกรรมที่ชื่อจะต้องเก็บเป็นความลับ: “โปรแกรมรักษาความปลอดภัยสารสนเทศเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล ควรรวมถึงการจัดการการสื่อสารและการจัดการการดำเนินงาน.”
โอ้ย. นั่นอาจหมายความกับผู้เขียนและผู้เชี่ยวชาญด้านความปลอดภัยบางคนที่ได้รับมอบหมายในการบังคับใช้ แต่ประชาชนทั่วไปอาจรู้สึกสับสน. การจัดการการสื่อสาร? การจัดการการดำเนินงาน? อาจเป็นไปได้ว่าอาจจะ, แค่ อาจ, มาตรฐานเดียวกันนั้นสามารถทำให้เรียบง่ายลงให้กลายเป็นบางอย่างที่ง่ายกว่า เช่น “เราจะรักษาข้อมูลส่วนบุคคลให้ปลอดภัยโดยการจัดทำวิธีการที่เราทุกคนต้องปฏิบัติตาม?”
ที่นั่น. เราลดความซับซ้อนในถ้อยคำลง และไม่ได้ทำให้สูญเสียอะไรในกระบวนการ. เชื่อหรือไม่ว่าน้อยลงอาจหมายถึงมากขึ้นในโปรแกรมการปฏิบัติตามกฎระเบียบที่ผู้คนแค่ต้องการรู้ว่าพวกเขาควรทำอะไร. ผู้ประกอบการที่มีประสบการณ์อย่างฉันควรหลีกเลี่ยงการทำซ้ำกฎระเบียบและบรรจุให้อยู่ในการ์ด. ถ้าเรายังไม่เข้าใจมันเอง เราจะคาดหวังให้คนอื่นทำได้อย่างไร?
งานไม่เคยหยุด
การติดแท็ก การเชื่อมโยง และการทำให้นโยบายความปลอดภัยง่ายขึ้นไม่ได้เป็นงานที่ทำครั้งเดียวและลืม. นี่คือการเดินทาง การลงทุนทางเวลาและความคิดอย่างต่อเนื่องสำหรับผู้จัดการการปฏิบัติตามกฎระเบียบ. ด้วยความคิดเชิงวิพากษ์นิดหน่อย ผู้เขียนนโยบายสามารถใช้ประโยชน์จาก Guru เพื่อปรับใช้ นโยบายที่บังคับใช้งานได้ซึ่งไม่เพียงแต่ตอบสนองความต้องการของผู้ควบคุมและลูกค้า แต่ยังพูดกับผู้ที่สำคัญที่สุด: ผู้ที่ต้องปฏิบัติตาม.
ในฐานะผู้จัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบของ Guru ฉันใช้เวลาไม่น้อยในการใช้แอป Guru เพื่อสร้างและจัดระเบียบนโยบายที่กำหนดแนวทางการรักษาความปลอดภัยของบริษัทของเรา. คุณรู้...การจดให้ครบ...การข้ามให้ครบ...การปรับปรุงคำและอื่น ๆ. ในโลกของความปลอดภัยนี่คือสิ่งที่ต้องทำใช่ไหม? นโยบายเป็นส่วนสำคัญของโปรแกรมการปฏิบัติตามกฎระเบียบแทบทุกโปรแกรมที่ มีการปฏิบัติตาม. ถ้าไม่มีหลักเกณฑ์ เราก็เป็นแค่กลุ่มเด็กที่วิ่งไปมารอบสระน้ำที่เปรียบเสมือน.
เมื่อเร็ว ๆ นี้ ฉันต้องคิดใหม่เกี่ยวกับกิจวัตรที่มีระเบียบของฉันในฐานะผู้จัดการการปฏิบัติตามกฎระเบียบและพิจารณาภาพรวมที่ใหญ่กว่า. เพื่อนร่วมงานของฉันสงสัยว่าเขาอาจจะไม่ได้ปฏิบัติตามแนวทางการรักษาความปลอดภัยบางอย่างอย่างสมบูรณ์ ดังนั้นเขาจึงติดต่อมาบอกว่าเขาหาไม่ได้ว่านโยบายการจัดการผู้ขายอยู่ที่ไหน.
ฉันรู้สึกประหลาดใจเล็กน้อย เพราะฉันได้พยายามอย่างมากในการเขียนนโยบายที่สามารถใช้งานได้อย่างสมบูรณ์แบบเกี่ยวกับ “ความสัมพันธ์ของผู้จัดหา” และนำไปโพสต์ใน Guru ให้ทุกคนได้อ่าน. ฉันหมายถึง, มาทำกันเถอะ, มีอะไรไม่เข้าใจบ้างใช่ไหม? ผู้จำหน่าย? ผู้จัดหา? ความสัมพันธ์? และ, อืม...
โอเค รับทราบ. ในความเป็นจริง คำถามของเขาคือการตื่นตัวสำหรับผู้จัดการการปฏิบัติตามกฎระเบียบที่อยู่ในโลกที่มีไอวอรี่ซึ่งรู้สึกว่าเรามีนโยบายที่ชัดเจนและดึงดูดสำหรับทุกคนที่จะอ่าน. ในช่วงเวลาที่มีประจักษ์นี้ ฉันสะท้อนเกี่ยวกับความจริงที่ว่า ห้องสมุดออนไลน์ของฉันเต็มไปด้วยภาษาที่มีคำศัพท์เฉพาะทาง.
ถ้าผู้คนไม่สามารถเชื่อมโยงกับคำศัพท์ได้ พวกเขาจะได้รับคำแนะนำจากมันได้อย่างไร?
เรื่องนี้ทำให้ฉันคิดถึงวิธีที่ดีกว่าในการจัดระเบียบนโยบายภายใน Guru. เราต้องการโปรแกรมการปฏิบัติตามกฎระเบียบที่ไม่เพียงแต่ตอบสนองความเป็นทางการที่จำเป็นโดยผู้ตรวจสอบ ลูกค้า และพันธมิตร แต่ยังให้บริการแก่ผู้ที่มีสิทธิ์ใช้งาน. มันทำให้ฉันเริ่มการรณรงค์อย่างช้าๆในการเพิ่มความเกี่ยวข้องกับนโยบาย ซึ่งเป็นหน้าที่ที่ยึดอยู่บนการปรับปรุงสามประการ: การติดแท็ก การเชื่อมโยง และการทำให้นโยบายง่ายขึ้นด้วยภาษาที่เข้าใจง่าย.
ศิลปะที่สูญหายของการติดแท็ก
กระบวนการสร้างการ์ด Guru ค่อนข้างง่าย แต่มีความคิดที่ต้องพิจารณาสำหรับการจัดระเบียบการ์ดและตั้งค่ามันสำหรับการค้นหา--คอลเล็กชันไหน, บอร์ดไหน, ฯลฯ. ในฐานะที่เป็นผู้สร้างนโยบาย ฉันอยู่ในจุดที่ได้เปรียบในลักษณะที่ว่าการ์ดของฉันมีลำดับชั้นและมีการจัดระเบียบในลักษณะที่ชัดเจน. แต่ก็ยังเป็นสูตรสำหรับความโดดเดี่ยว สถานที่เก็บข้อมูล ถ้าคุณต้องการ ว่าหมายถึงเพื่อประโยชน์ของมันเองและไม่ใช่เพื่อการเผยแพร่ไปยังผู้อ่านทั่วๆไป.
ฉันคิดว่าฉันอยู่ในรองเท้าสำหรับใครก็ตามที่อาจสงสัยเกี่ยวกับความรับผิดชอบด้านความปลอดภัยของตน โดยสมมุติว่าการค้นหา Guru ของพวกเขาจะรวมถึง “นโยบายความปลอดภัย.” มองไปที่นโยบายของฉันแบบสุ่ม ฉันค้นพบว่าฉันไม่ได้เพิ่มวลีง่าย ๆ นี้เป็นแท็ก; ดังนั้น การค้นหาจะส่งกลับอะไรก็ได้ตั้งแต่นโยบายการลาพักร้อนจนถึง “นโยบายการรักษาความปลอดภัยเนื้อหา” ของกลุ่มวิศวกรรม. ฉันเพิ่มคำเหล่านั้นเป็นแท็ก และเหมือนเวทมนตร์ นโยบายของฉันก็ขึ้นไปอยู่ในผลลัพธ์การค้นหาที่สูงขึ้น. ขอบคุณแท็ก!
การเชื่อมโยง
Guru เต็มไปด้วยสิ่งที่ผู้คนต้องการเพื่อทำงาน. ฉันบางครั้งพบว่าตัวเองกำลังท่องคอลเล็กชันอื่น ๆ จนสะดุดกับการ์ดที่ดูและมีกลิ่นเหมือนนโยบายความปลอดภัย และความรู้ภายในของฉันทำให้รู้สึกวิตกกังวลเกี่ยวกับข้อเท็จจริงที่ว่ามันไม่ได้ถูกจัดระเบียบในคอลเล็กชันความปลอดภัยของฉัน.
ฉันได้รู้ว่าการมีอยู่ของกฎเกณฑ์ในโลกการปฏิบัติตามกฎระเบียบคือสิ่งที่ดีไม่ว่าจะอยู่ที่ไหน. เป็นหน้าที่ของฉันในการทำให้มันเกี่ยวข้องกับนโยบายและเชื่อมโยงมันกับคำหลักใน “การ์ด” ของฉัน.
ตัวอย่างเช่น หากมีคำแนะนำจากผู้จัดการ IT เกี่ยวกับวิธีการอัปเดตระบบปฏิบัติการบนแล็ปท็อปที่ออกโดย Guru ฉันควรเชื่อมโยงกลับไปยัง “นโยบายสถานีทำงาน” ของฉันผ่านลิงก์ง่าย ๆ . ขั้นตอนนี้ช่วยรวบรวมการมีส่วนร่วมของทุกคนและทำให้นโยบายรวมเข้าด้วยกัน เหมือนกับการจัดเรียงดาวเคราะห์เพื่อเปิดเผยระบบสุริยะด้านความปลอดภัยทั่วไป.
ภาษาที่เข้าใจง่าย
คุณไม่ได้ยินเรื่องนี้จากฉัน แต่นักวางนโยบายมักจะซับซ้อนภาษาจนเกินไปเมื่อพวกเขาสามารถ. นำตัวอย่างเล็ก ๆ นี้จากข้อกำหนดการปฏิบัติตามของอุตสาหกรรมที่ชื่อจะต้องเก็บเป็นความลับ: “โปรแกรมรักษาความปลอดภัยสารสนเทศเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล ควรรวมถึงการจัดการการสื่อสารและการจัดการการดำเนินงาน.”
โอ้ย. นั่นอาจหมายความกับผู้เขียนและผู้เชี่ยวชาญด้านความปลอดภัยบางคนที่ได้รับมอบหมายในการบังคับใช้ แต่ประชาชนทั่วไปอาจรู้สึกสับสน. การจัดการการสื่อสาร? การจัดการการดำเนินงาน? อาจเป็นไปได้ว่าอาจจะ, แค่ อาจ, มาตรฐานเดียวกันนั้นสามารถทำให้เรียบง่ายลงให้กลายเป็นบางอย่างที่ง่ายกว่า เช่น “เราจะรักษาข้อมูลส่วนบุคคลให้ปลอดภัยโดยการจัดทำวิธีการที่เราทุกคนต้องปฏิบัติตาม?”
ที่นั่น. เราลดความซับซ้อนในถ้อยคำลง และไม่ได้ทำให้สูญเสียอะไรในกระบวนการ. เชื่อหรือไม่ว่าน้อยลงอาจหมายถึงมากขึ้นในโปรแกรมการปฏิบัติตามกฎระเบียบที่ผู้คนแค่ต้องการรู้ว่าพวกเขาควรทำอะไร. ผู้ประกอบการที่มีประสบการณ์อย่างฉันควรหลีกเลี่ยงการทำซ้ำกฎระเบียบและบรรจุให้อยู่ในการ์ด. ถ้าเรายังไม่เข้าใจมันเอง เราจะคาดหวังให้คนอื่นทำได้อย่างไร?
งานไม่เคยหยุด
การติดแท็ก การเชื่อมโยง และการทำให้นโยบายความปลอดภัยง่ายขึ้นไม่ได้เป็นงานที่ทำครั้งเดียวและลืม. นี่คือการเดินทาง การลงทุนทางเวลาและความคิดอย่างต่อเนื่องสำหรับผู้จัดการการปฏิบัติตามกฎระเบียบ. ด้วยความคิดเชิงวิพากษ์นิดหน่อย ผู้เขียนนโยบายสามารถใช้ประโยชน์จาก Guru เพื่อปรับใช้ นโยบายที่บังคับใช้งานได้ซึ่งไม่เพียงแต่ตอบสนองความต้องการของผู้ควบคุมและลูกค้า แต่ยังพูดกับผู้ที่สำคัญที่สุด: ผู้ที่ต้องปฏิบัติตาม.
ได้สัมผัสพลังของแพลตฟอร์ม Guru โดยตรง - เข้าร่วมทัวร์ผลิตภัณฑ์ของเราอย่างแบบอินเทอร์แอคทีฟ
ไปทัวร์
