在我任职期间, 我和很多小团队合作过, 有时甚至与只有5个或更少员工的公司合作. 对于很多这样的组织来说, 他们的关键人员每天只有这么多的时间,需要有办法显示出合理的保证,而不必花太多时间在会议和检查框上. 以下是我向精益团队的客户推荐的五种最常见的控制或策略,以节省他们的时间,并使他们的年度合规约定更顺利:
1. 策略矩阵/关键策略审查清单
合规最关键的部分之一是拥有新的证据和最新的政策和程序. 然而,虽然这很重要,但每年手工编辑策略和程序可能需要一丝不苟. 一种可能的方法是将所有信息安全策略压缩到一个大文档中, 但这往往不包括其他重要的政策, 比如风险评估, 供应商和关键人力资源政策. 根据版本控制级别和编辑频率的不同,这种方法也可能很麻烦.
我推荐的是,或者与这个选项搭配使用的是 策略矩阵及/或核对表 每年审查/执行一次. 把你所有的重要策略放在一个中心文件里,并列出来, 您可以更轻松地查看它们并跟踪您的主要编辑, 这可以作为对审计的控制. 这通常是一个Excel文档,但也可能是一个票据或Word文档,这取决于你的组织. 重要的是确保所有关键策略都在文件中, 确定负责的策略所有者并执行审查, 而且它是有年代的.
2. 季度保安会议
在网络安全和工程方面, 信息的传播速度非常快, 除非需要,否则交流通常是非正式的. 经常开会而不做笔记,或者在团队中通过渠道交流所有内容,这很容易成为常态. 虽然这对于日常操作来说很好, 很难量化这些团队所做的艰苦工作和取得的进展. 我建议在季度会议中记录主要的变化、事件和成功. 关于如何完成这些,有无数的模板,我建议你选择两三个你最喜欢的,然后把它们混合在一起.
尽早安排这些会议的好处之一是,随着组织的扩展和审计/框架的变化或增加, 您可以调整此会议以满足其他要求, 如ISO 27001信息安全管理体系管理评审.
3. 内部控制矩阵
任何在精益团队工作过的人都知道,人们有时身兼数职. 在合规, 我们认为这不仅是网络安全方面的风险,也是可持续发展方面的风险. 如果你的首席工程师在休假期间必须随叫随到,而且从来没有真正放松过, 明年的这个时候,他们可能不是你的首席工程师.
为了阻止这一切, 还有一个我们称之为“工作职责蔓延”的问题, 您的组织应该在内部控制矩阵中记录关键的工作职责. 这个词 内部控制 承载了很多重量, 但是如果我们化简这一项, 所有这些都是个人或团队的职责,可以从你的工作描述中反向设计出来, 如果准确. 有很多方法可以记录这一点, 但它也可以是一个电子表格,放在你的共享硬盘里,每年检查一次. 它应该记录工作职责是什么, 谁来执行,多久执行一次, 您应该分配一到两个备份控件所有者.
许多框架建议或要求使用内部控制矩阵. 随着你的成长和这些重要职责的展开, 这是一种减少疲劳的好方法, 避免遗漏关键职责,并向管理层诚实地描述组织内的关键职责.
4. 用户访问审查
执行用户访问审查(User Access Review, UAR)是一种习惯,有时对较小的团队来说似乎很奇怪. UAR是对所有用户的访问是否合理、所有用户组的访问权限是否正确的审查或重新认证. 如果在过去的18个月里只有一次解雇,这种审查可能会让人觉得没有必要, 但UAR是必要的控制. 当支持另一个团队成员时,人们将获得对工具的访问权限,然后这就被遗忘了. 随着时间的推移,这可能导致员工获得多个管理凭据. 这种情况经常发生在长期实习生和表现出色的同事身上.
5. 了解你的旺季
将所有这些联系在一起并合理安排它们是我们最后一个好习惯. 如果你的组织每年在第四季度结束它的主要项目, 在此期间,您不应该管理年度需求, 例如绩效评估或年度信息安全培训.
这也适用于上面提到的其他习惯, 以及当您计划执行年度认证时. 对于很多这样的活动, 讨论范围时, 您可以决定何时执行这些约定. 我强烈建议在你的“淡季”这样做. 你应该有一个总体的季度来执行这些任务. 如果可能的话,计划其它年度控制,使它们在季度之前或之后进行. 这样,您要么刚刚完成了这些控制,要么在执行这些控制时,可以将审核团队的意见牢记在心,从而避免任何已识别的风险.
打下坚实的基础
一旦所有这些习惯都得到了执行,您的团队就会感受到公司的合规和安全控制的起伏, 那么你已经建立了一个强大的, 遵循习惯的坚实基础. 它们将帮助您避免由于新的合规审计和突然扩张而带来的重大成长烦恼. 更重要的是, 然而, 团队的不同成员可以和家人一起计划合适的假期, 为自己的职业发展投资, 花时间做最重要的事情.
