作为 Guru 的风险与合规经理,我花了很多时间使用 Guru 应用程序来创建和组织管理我们公司安全实践的策略。你知道...点我...交叉T...更新单词等等。在安全领域,这是应该做的事情,对吗?政策是几乎所有合规计划的重要组成部分。没有规则,我们都只是一群在众所周知的泳池里鲁莽奔跑的孩子。
最近,我不得不重新思考作为合规经理的井然有序的日常工作,并考虑更大的前景。我的一位同事怀疑他可能没有完全遵循特定的安全实践,因此他联系说他找不到有关供应商管理的政策。
我有点吃惊,因为我花了很大的力气写了一份关于“供应商关系”的完美有用的政策,并将其发布在 Guru 上供所有人阅读。我的意思是,来吧,什么是不能得到的,对吧?卖方?供应商?关系?而且,呃,呃...
好的,明白了。事实上,他的问题对 海外华人亚洲数据库 那些象牙塔里的合规人员来说是一个警钟,他们认为我们有明确且令人信服的政策供所有人阅读。在这个存在的时刻,我反思了这样一个事实:我的在线图书馆充满了行话色彩。
如果人们无法理解这些文字,他们怎么能被它们所引导呢?
这让我开始思考在 Guru 内部组织政策的更好方法。我们需要一个合规计划,不仅要满足审计师、客户和合作伙伴所要求的形式,而且要真正为适用的人服务。它促使我开始了一项缓慢的运动,增加政策的相关性,这项工作仍然在三项改进上:标记、链接、简化和用简单的语言简化政策。
失落的标记艺术
创建大师卡的过程非常简单,但在组织该卡并设置它以供发现时需要一些左脑考虑——哪个集合、哪个板等。作为策略创建者,我在某种程度上具有优势,因为我的卡片是分层的并且以不言而喻的方式组织。但这也是一种孤立的方法,如果你愿意的话,它是一个烟囱,它的存在是为了它本身,而不是为了在读者中传播。
我将自己置于任何可能对自己的安全责任感到好奇的网络人士的立场上,假设他们的 Guru 搜索可能包括“安全政策”。随机浏览了我的一项政策,我很快发现我什至没有添加这个简单的短语作为标签;因此,搜索将返回从“假期政策”到工程团队的“内容安全政策”的任何内容。我将这些词添加为标签,就像魔术一样,我的政策上升到搜索结果的顶部。谢谢,标签!
链接
古鲁充满了一个人完成工作所需的一切。有时我发现自己在浏览其他收藏时,只是被那些看起来和闻起来都像安全策略的卡片绊倒,而我狭隘的内心自我担心它没有在我的安全收藏中组织起来。
我逐渐意识到,在合规世界中,规则无论身在何处都是一件伟大的事情。我有责任使它们与政策相关并将它们链接到“我的”卡片中的关键字。
例如,如果 IT 经理就如何更新 Guru 发放的笔记本电脑上的操作系统提供指导,我应该通过一个简单的超链接将其与我的“工作站策略”联系起来。这一步骤调整了每个人的贡献,并使政策更具包容性,可以说调整了行星,以揭示一个共同的安全太阳系。
通俗易懂的语言
你没有从我这里听到这一点,但政治人物往往会尽可能地使语言变得过于复杂。摘自一项尚未命名的行业合规要求中的这个小片段:“与保护个人信息相关的信息安全计划应包括通信管理和运营管理。”
哎呀。这对作者和一些负责执行它的安全纯粹主义者来说可能意味着一些东西,但外行人可能会摸不着头脑。 通讯管理? 运营管理? 也许,只是也许,同样的任务可以简化为更简单的事情,比如“我们将通过实施我们都必须遵守的程序来保护个人数据?”
那里。我们只是缓和了言辞,在此过程中并没有失去任何东西。不管你是否相信,在合规计划中,更少实际上意味着更多,因为人们只是想知道他们应该做什么。像我这样的合规类型应该避免鹦鹉学舌般的监管并将其包装在卡片中的诱惑。如果我们自己都没有做到,又怎么能指望别人做到呢?
工作永不停息
标记、链接和简化安全策略并不是一次性完成就忘记的事情。对于合规经理来说,这是一个旅程,是时间和思想的持续投资。通过一点批判性思维,政策制定者可以利用 Guru 制定可执行的政策,不仅满足监管机构和客户的要求,而且与最重要的人交谈:那些必须执行政策的人。
