一个重要的经验法则是,你不可能同样集中精力于所有事情。所以专注很重要。您已经做好准备,因此知道要关注什么。
简而言之,您参与的是风险管理,这本身就是一个领域。您的组织在这方面做出了选择。我们可以接受哪些风险?什么可以让我们生存,什么不可以?每个组织都有一定的“风险偏好”,需要管理层不时重新定义。有了这些知识,您就会知道哪些风险是不可接受的,并且需要通过预防和缓解措施积极进行管理。因此,可以尽可能有目的地进行持续和/或定期的风险监测、分析和评估,并且不会浪费时间和金钱。
原则六:愿意学习
信息安全是一个连续的过程、一个质量循环。这意味着你只有从做得好的地方和需要改进的地方中吸取教训才能继续前进。训练创造常规,学习创造进步。测试和评估都有结果。通过分析它们并将其转化为改进来从中学习。一种开放的企业文化,在这种文化中,集体利益(在这里指的是安全信息)高于个人的私利,可以防止寻找替罪羊,并鼓励吸取教训并改进信息安全政策。这在你的组织中 阿曼电报数据 是如何运作的?您是否知道有一种结构可以系统地评估事件,并将结果实际转化为改进?
原则 7:诚信
一个很好的教训就是要有诚信,并且始终这样做。以恶制恶是不对的,甚至是不允许的。这是一件好事。这确实意味着政策必须考虑到这一点。如果不关注这一点,你如何保证你的组织具有诚信?