問(wèn)：我最近升為一家公司的安全經(jīng)理。該公司有著“服從審計(jì)”的歷史，這也就意味著在審計(jì)開(kāi)端之前有許多工作要做，才干確保一切都符合標(biāo)準(zhǔn)，而這家公司成功地做到了這一點(diǎn)。但事后，公司的安全工作又再次松懈下來(lái)。您認(rèn)為，怎樣的最佳實(shí)踐才干建立起一個(gè)以信息安全而不是服從審計(jì)為目標(biāo)的安全文化呢？

答：首先，慶祝您成為一位安全經(jīng)理！好好干！盡管有時(shí)會(huì)充滿挫折，會(huì)讓您猜忌您到底能不能成功，但它依然是一個(gè)極好的、具有挑釁性的工作。不過(guò)，我得由衷地稱贊您，因?yàn)槟�至少意識(shí)到了您工作范疇的文化。

所以，您的挑釁是不僅要做好安全經(jīng)理應(yīng)做的工作，而且還要著手信息安全打算的制定，并促成一種安全文化氣氛。下面有一些想法可能對(duì)您開(kāi)展工作有所啟發(fā)：

會(huì)見(jiàn)首席信息官（CIO）、內(nèi)部審計(jì)經(jīng)理（internal audit manager）、財(cái)務(wù)總監(jiān)（CFO）、甚至是首席履行官（CEO），以便更好地懂得他們所關(guān)注和感興趣的法規(guī)服從和審計(jì)范疇。您可以嘗試著去斷定他們是否真的只關(guān)注審計(jì)的通過(guò)，或者說(shuō)在這種觀點(diǎn)背后是否還有其他的障礙或理由，說(shuō)不定他們可能會(huì)認(rèn)為開(kāi)展法規(guī)服從工作過(guò)于昂貴。因此，您可以提出一種保持成本程度甚至更低成本的計(jì)劃，特別是在涉及到罰款時(shí)更應(yīng)這樣。

建立一個(gè)內(nèi)部審計(jì)打算表。與內(nèi)部審計(jì)部門合作，選擇法規(guī)服從的某個(gè)部分以便每月都能進(jìn)行檢查。例如，如果公司必須服從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），那么您可以一個(gè)月選取一個(gè)范疇（即每月選擇PCI DSS的12個(gè)部分中的一個(gè)），并履行抽樣調(diào)查或非正式的審計(jì)。然后，根據(jù)斷定的調(diào)查成果，協(xié)助相干義務(wù)部門對(duì)他們的計(jì)劃和流程做出冷靜的、有重點(diǎn)的修正，以保證對(duì)其長(zhǎng)期有效，而不僅僅是一個(gè)“審計(jì)前的突擊計(jì)劃（pre-audit spike）”。

注意業(yè)內(nèi)的競(jìng)爭(zhēng)對(duì)手和其他公司。觀察他們的法規(guī)遵照問(wèn)題，并應(yīng)用他們的經(jīng)驗(yàn)來(lái)使自己的公司有所籌備并服從審計(jì)的標(biāo)準(zhǔn)。此外，必定要將您從其他公司學(xué)到的教訓(xùn)介紹給行政管理部門，讓他們可以更好地接收安全理念，避免公司成為一個(gè)被別人學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)的對(duì)象。

再一次慶祝您獲得了這個(gè)新機(jī)會(huì)，請(qǐng)記住您需要重要關(guān)注的工作：保護(hù)數(shù)據(jù)，然后盡最大努力去優(yōu)先保證法規(guī)服從。