信息安全政策管理五个关键步骤

由于各国关于信息安全的立法越来越严格，行业监督机构也越来越关注法律法规的遵守情况。对大公司来说，信息安全政策不再是“锦上添花”的东西，而是“必不可少”的内容。那么，信息安全主管（CSO）该如何对自己企业的安全政策进行管理呢？
最近，一些媒体报道了许多关于利用电子邮件散布耸人听闻或令人反感的消息所引起的诉讼，其影响不仅限于企业急需制定可实施的信息安全政策一个方面，还说明多数企业在信息安全政策和工作绩效的监控上存在着薄弱环节。
很显然，企业必须制定新的信息安全政策，但多数企业没有这样做。英国贸易工业部发布的数字表明，落实了信息安全政策并遵守了《数据保护法》的英国企业只有49%。
如果政策未被合理管理并执行，即使制定了政策仍无济于事。制定政策后仅仅将它贴到内联网上，并不是“有效管理”。最近，PolicyMatter进行了一项调研，结果显示，目前只有22%的英国企业征求员工关于遵守政策的意见—这表明，至少有78%的企业并不知道自己公布的政策是否被员工看到，更不用说是否被员工理解了