如何寻求管理层对执行安全政策的支持

  • wangliang
  • 2010-07-28 00:37:00
  • [原创] Doit.com.cn

[导读]CYA文件记录了安全事件发生时公司所采取的行动以及相关的资料,在将来对此次安全事件进行分析或审查时,可以充分证明安全事件管理的有效性。

问:我们公司最近发生了一次安全事件,一名员工明知故犯,将敏感数据下载到个人USB记忆棒中。我建议公司开除这名员工,但管理层却决定放他一马。我如何向管理层说明,这一处理决定可能会对未来的安全政策执行造成极其严重的影响呢?

答:很遗憾,这个问题是当今许多公司的安全专业人士和主管面临的众多挑战之一。这一特殊问题往往层出不穷:违反USB安全政策的员工同时也深受公司器重,由于其具有的专业知识或丰富经验,其他人通常难以轻易取而代之。

下面是我以前寻求管理层的支持时曾经采用过的一些方法,以资借鉴。首先,你可以尝试向你的直接上级(CIO、CFO或安全总监)汇报,使其明白此类事件的当前后果和长期影响。在汇报中,既要尽量避免使用太情绪化的词语(例如,你刚才使用的“极其严重”一词可能过于夸张),但又要明确指出,这一处理决定可能不符合公司的最佳利益。因为其他员工可能会认为,这种处理暗示了某些安全政策可以不执行。

其次,你可以建议管理层考虑在该员工的人力资源档案中装入一份文件,说明他或她曾经违反公司的安全政策(包括这一事件发生的日期、时间、证明人等),并受到某种警告(最好有书面记录)。

再次,你可以以此次安全事件为契机,开展内部宣传活动(例如通过广播电子邮件、海报等),提醒全体员工,数据保护对于每个人——员工、客户、供应商以及整个公司都非常重要,从而防止此类安全事件再次发生。

然而,在内部宣传活动中,注意不要引用任何诸如“处理直至开除”之类的处罚规则。由于公司最近发生的这一安全事件,更多对执行安全政策持怀疑态度的员工将会不相信这类消息。

最后,制定一份“完全备选方案(Cover Your Alternatives,CYA)”文件,其内容应包括该安全事件的总结文档、你与你的直接上级的对话、防止此类事件再次发生所采取的行动等。CYA文件记录了安全事件发生时公司所采取的行动以及相关的资料,在将来对此次安全事件进行分析或审查时,可以充分证明安全事件管理的有效性。

热点文章

精彩专题

微信公众平台:搜索"doitmedia"
或扫描下面的二维码:


  1. 公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心
  2. Copyright © 2013 DOIT Media, All rights Reserved. 百易传媒 版权所有.
  3. 电信与信息服务业经营许可证:030972号 电信业务审批 [2009]字第572号
  4. 京ICP备13004627号-3   京公网安备: 110105001105