問：我最近升為一家公司的安全經(jīng)理。該公司有著“服從審計(jì)”的歷史，這也就意味著在審計(jì)開端之前有許多工作要做，才干確保一切都符合標(biāo)準(zhǔn)，而這家公司成功地做到了這一點(diǎn)。但事后，公司的安全工作又再次松懈下來。您認(rèn)為，怎樣的最佳實(shí)踐才干建立起一個以信息安全而不是服從審計(jì)為目標(biāo)的安全文化呢？

答：首先，慶祝您成為一位安全經(jīng)理！好好干！盡管有時會充滿挫折，會讓您猜忌您到底能不能成功，但它依然是一個極好的、具有挑釁性的工作。不過，我得由衷地稱贊您，因?yàn)槟�至少意識到了您工作范疇的文化。

所以，您的挑釁是不僅要做好安全經(jīng)理應(yīng)做的工作，而且還要著手信息安全打算的制定，并促成一種安全文化氣氛。下面有一些想法可能對您開展工作有所啟發(fā)：

會見首席信息官（CIO）、內(nèi)部審計(jì)經(jīng)理（internal audit manager）、財(cái)務(wù)總監(jiān)（CFO）、甚至是首席履行官（CEO），以便更好地懂得他們所關(guān)注和感興趣的法規(guī)服從和審計(jì)范疇。您可以嘗試著去斷定他們是否真的只關(guān)注審計(jì)的通過，或者說在這種觀點(diǎn)背后是否還有其他的障礙或理由，說不定他們可能會認(rèn)為開展法規(guī)服從工作過于昂貴。因此，您可以提出一種保持成本程度甚至更低成本的計(jì)劃，特別是在涉及到罰款時更應(yīng)這樣。

建立一個內(nèi)部審計(jì)打算表。與內(nèi)部審計(jì)部門合作，選擇法規(guī)服從的某個部分以便每月都能進(jìn)行檢查。例如，如果公司必須服從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），那么您可以一個月選取一個范疇（即每月選擇PCI DSS的12個部分中的一個），并履行抽樣調(diào)查或非正式的審計(jì)。然后，根據(jù)斷定的調(diào)查成果，協(xié)助相干義務(wù)部門對他們的計(jì)劃和流程做出冷靜的、有重點(diǎn)的修正，以保證對其長期有效，而不僅僅是一個“審計(jì)前的突擊計(jì)劃（pre-audit spike）”。

注意業(yè)內(nèi)的競爭對手和其他公司。觀察他們的法規(guī)遵照問題，并應(yīng)用他們的經(jīng)驗(yàn)來使自己的公司有所籌備并服從審計(jì)的標(biāo)準(zhǔn)。此外，必定要將您從其他公司學(xué)到的教訓(xùn)介紹給行政管理部門，讓他們可以更好地接收安全理念，避免公司成為一個被別人學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)的對象。

再一次慶祝您獲得了這個新機(jī)會，請記住您需要重要關(guān)注的工作：保護(hù)數(shù)據(jù)，然后盡最大努力去優(yōu)先保證法規(guī)服從。