怎么根据情况更改企业IT安全策略

有一次一个客户邀请我去参加一个会议。我同意了，问会议的主题是什么。客户告诉我主题是调整IT安全策略。现在，我们都知道这个策略有问题。公司的* * *高管也知道，大家支持很重要。所以，她希望这能成为一项持之以恒的工作。

结果实出人意料的是，会议的进展相当不错。* * *高管说明实际情况，让大家开始工作。很快，大家一致认为，安全策略的问题大多来自三个方面。

1.该战略的内容尚不清楚。

我见过的大部分IT安全政策都很不明确，所以对员工来说一文不值。例如，公司的IT安全政策禁止使用社交网络应用程序。

会议期间，我询问了几位员工对即时消息(IM)工具的使用情况。除了觉得没有违反公司规定，大家都提到即时通讯工具让他们的工作轻松了很多。没有人看到问题的症结所在。

这证明安全策略中存在模棱两可的部分。为了消除一切模糊之处，会议提出以下调整措施:

如果某些程序或服务被禁止，它们将在安全政策中列出，并通知给每个员工。

定期审查和批准安全策略。如果确实需要改变以满足当前的业务需求，就会进行调整。

禁止功能是通过技术措施实现的，但不依赖于训练用户。

2.实现安全和工作效率的平衡。

而安全和工作效率是一个问题的两个方面。对于大家来说，* * *就是要在中间取得平衡。在这次会议上，这个问题非常突出，更像是无人区。

IT人员按照自己的理解工作。有些安全措施会大大增加生产过程的成本，在他们眼里是可以接受的。但是厂长不同意这样做。因为，在他们心目中，提高工作效率，降低生产成本是公司成功的准则。

谁的观点是正确的？我觉得也不是。无论如何，地盘之争对谁都没有好处。在* * *主管的监督下，双方共同努力创建一个新的战略，该战略可以提高安全性、增加产量并降低管理费用。现在，大家的立场都是一样的。

3:这个策略适用于所有人。

在关于安全策略是否应该适用于所有人的讨论中，我发现了一些有趣的问题。一些员工确实认为安全政策对他们不适用。* * *高管很快结束了这样的讨论。她指出，如果这里有问题，应该重新检查安全政策，看是否需要调整。

结论

我的当事人经历了一个痛苦而有益的探索过程。我想和你分享一下他们的经验，可能对别人有帮助。