一个重要的经验法则是,你不可能同样集中精力于所有事情。所以专注很重要。您已经做好准备,因此知道要关注什么。
简而言之,您参与的是风险管理,这本身就是一个领域。您的组织在这方面做出了选择。我们可以接受哪些风险?什么可以让我们生存,什么不能?每个组织都有一定的“风险偏好”,需要管理层不时重新定义。有了这些知识,您就会知道哪些风险是不可接受的,并且需要通过预防和缓解措施积极进行管理。因此,可以尽可能有目的地进行持续和/或定期的风险监测、分析和评估,并且不会浪费时间和金钱。
原则六:愿意学习
信息安全是一个连续的过程、一个质量循环。这意味着你只有从做得好的地方和需要改进的地方中吸取教训才能前进。训练创造常规,学习创造进步。测试和评估都有结果。通过分析它们并将其转化为改进来从中学习。一种开放的企 奥地利数字数据 业文化,在这种文化中,集体利益(在这里指的是安全信息)高于个人的私利,可以防止寻找替罪羊,并鼓励吸取教训并改进信息安全政策。这在你的组织中是如何运作的?您是否知道有一种结构可以系统地评估事件,并将结果实际转化为改进?
原则 7:诚信
一个很好的教训就是要有诚信,并且始终保持诚信行事。以恶制恶是不对的,甚至是不允许的。这是一件好事。这确实意味着政策必须考虑到这一点。如果不关注这一点,你如何保证你的组织具有诚信?
在这种情况下,诚实政策意味着您以信任为基础对待自己的员工。他们会把组织的最大利益放在心上,除非有证据证明情况并非如此。在没有特定理由甚至不知情的情况下对员工进行结构化(数字化)监控的政策是应受谴责的。另一方面,最好让员工了解并参与正在实施的信息安全政策。透明度有助于创造一种安全的文化,在这种文化中,人们会及时谈论事件,这是能够在为时已晚之前进行干预的先决条件。