خطوات تنفيذ السياسات والإجراءات
تم تصميم الخطوات التي أنا على وشك تقديمها إليك بناءً على تجربتي مع أنواع مختلفة من العملاء ، كبيرها وصغيرها ، حكومي أو خاص ، هادفة للربح أو غير هادفة للربح - أجد أن هذه الخطوات تنطبق عليهم جميعًا. في الواقع ، هذه الخطوات لتنفيذ السياسات والإجراءات قابلة للتطبيق على أي نوع من السي...
هل سبق لك أن وجدت نفسك في موقف تم تكليفك فيه بكتابة سياسة أمنية أو إجراء؟ لكنك لا تريد أن ينتهي الأمر بمستندك مثل العديد من المستندات الأخرى - هل تتراكم الغبار في بعض الأدراج المنسية؟ إليك بعض الأفكار التي قد تساعدك ...
تم تصميم الخطوات التي أنا على وشك تقديمها إليك بناءً على تجربتي مع أنواع مختلفة من العملاء ، كبيرها وصغيرها ، حكومي أو خاص ، هادفة للربح أو غير هادفة للربح - أجد أن هذه الخطوات تنطبق عليهم جميعًا. في الواقع ، هذه الخطوات لتنفيذ السياسات والإجراءات قابلة للتطبيق على أي نوع من السياسات والإجراءات ، وليس فقط تلك المتعلقة بـ ISO 27001 أو ISO 22301.
1. دراسة المتطلبات
أولاً ، عليك أن تدرس بعناية المتطلبات المختلفة - هل هناك تشريع يتطلب كتابة شيء ما؟ أو ربما عقد مع عميلك؟ أو بعض السياسات عالية المستوى الأخرى الموجودة بالفعل في مؤسستك (ربما معيار الشركة)؟ وبالطبع المتطلبات من ISO 27001 أو BS 25999-2 إذا كنت ترغب في الامتثال لتلك المعايير.
2. ضع في الاعتبار نتائج تقييمك للمخاطر
سيحدد تقييم المخاطر الخاص بك المشكلات التي يتعين عليك معالجتها في المستند الخاص بك ، ولكن أيضًا إلى أي درجة - على سبيل المثال ، قد تحتاج إلى تحديد ما إذا كنت ستصنف معلوماتك وفقًا لسريتها ، وإذا كان الأمر كذلك ، فما إذا كنت بحاجة إلى اثنين أو ثلاثة أو أربعة مستويات من السرية.
قد لا تكون هذه الخطوة ذات صلة في هذا النموذج إذا لم تكن سياستك أو إجرائك متعلقًا بأمن المعلومات أو استمرارية العمل. ومع ذلك ، تنطبق مبادئ إدارة المخاطر على مجالات أخرى أيضًا - إدارة الجودة (ISO 9001) ، والإدارة البيئية (ISO 14001) ، وما إلى ذلك ، على سبيل المثال ، في ISO 9001 ، عليك تحديد مدى أهمية العملية لإدارة الجودة الخاصة بك وبناءً عليه لتقرر ما إذا كنت ستوثقها أم لا.
3. تحسين ومواءمة المستند (المستندات)
الشيء المهم الذي يجب مراعاته هو العدد الإجمالي للمستندات - هل ستكتب عشرة مستندات من صفحة واحدة أو مستند واحد من 10 صفحات؟ من الأسهل بكثير إدارة مستند واحد ، خاصة إذا كانت مجموعة القراء المستهدفة هي نفسها. (لا تقم فقط بإنشاء مستند واحد من 100 صفحة).
علاوة على ذلك ، يجب أن تكون حريصًا على مواءمة المستند مع المستندات الأخرى - قد تكون المشكلات التي تحددها محددة بالفعل جزئيًا في مستند آخر. في مثل هذه الحالة ، قد لا يكون من الضروري كتابة مستند جديد ، ربما فقط توسيع المستند الحالي.
إذا كنت تكتب مستندًا جديدًا حول مشكلة مذكورة بالفعل في مستند آخر ، فتأكد من تجنب التكرار - لوصف نفس المشكلة في كلا المستندين. في وقت لاحق ، أصبح الاحتفاظ بهذه الوثائق بمثابة كابوس ؛ من الأفضل أن تشير إحدى المستندات إلى أخرى ، دون تكرار نفس العناصر.
4. هيكلة المستند الخاص بك
تحتاج أيضًا إلى الحرص على مراعاة قواعد شركتك الخاصة بتنسيق المستند - قد يكون لديك بالفعل قالب به خطوط ورؤوس وتذييلات محددة مسبقًا وما إلى ذلك.
إذا كنت قد نفذت بالفعل ISO 27001 أو BS 25999-2 (أو أي معيار إدارة آخر) ، فستحتاج إلى ملاحظة إجراء للتحكم في المستندات - لا يحدد هذا الإجراء تنسيق المستند فحسب ، بل يحدد أيضًا قواعد الموافقة عليه والتوزيع وما إلى ذلك.
5. اكتب المستند الخاص بك
القاعدة العامة هي - كلما كانت المنظمة أصغر وأصغر حجم المخاطر ، كلما كان المستند أقل تعقيدًا. لا يوجد شيء أكثر فائدة من اتخاذ قرار بكتابة مستند طويل لن يقرأه أحد - عليك أن تفهم أن قراءة المستند تستغرق وقتًا ، وأن مستوى انتباه الفرد يتناسب عكسياً مع عدد الأسطر في المستند.
إحدى الأساليب الجيدة للتغلب على مقاومة الموظفين الآخرين لهذه الوثيقة (لا أحد يحب التغيير ، خاصة إذا كان ذلك يعني شيئًا مثل الالتزام بتغيير كلمات المرور على أساس منتظم) هي إشراكهم في كتابة أو التعليق على هذا المستند - وبهذه الطريقة سيفعلون ذلك فهم لماذا هو ضروري.
6. احصل على الموافقة على المستند الخاص بك
هذه الخطوة بديهية إلى حد ما ، ولكن أهميتها الأساسية تكمن في هذا - إذا لم تكن مديرًا رفيع المستوى في شركتك ، فلن يكون لديك القدرة على فرض هذا المستند.
هذا هو السبب في أن شخصًا ما بمثل هذا المنصب يجب أن يفهمه ، ويوافق عليه ، ويطلب تنفيذه بنشاط. يبدو الأمر سهلاً ، لكن صدقني - إنه ليس كذلك. هذه الخطوة (والخطوة التالية) هي التي يفشل فيها التنفيذ غالبًا.
7. تدريب وتوعية موظفيك
ربما تكون هذه الخطوة هي الأهم ، لكنها للأسف خطوة غالبًا ما تُنسى. كما ذكرنا سابقًا ، سئم الموظفون من التغييرات المستمرة ، وبالتأكيد لن يرحبوا بأخرى خاصة إذا كان ذلك يعني المزيد من العمل بالنسبة لهم.
لذلك ، من المهم جدًا أن تشرح لموظفيك سبب ضرورة مثل هذه السياسة أو الإجراء - لماذا هو جيد ليس فقط للشركة ، ولكن أيضًا لأنفسهم.
في بعض الأحيان يكون التدريب ضروريًا - سيكون من الخطأ افتراض أن كل شخص يمتلك المهارات اللازمة لتنفيذ أنشطة جديدة. بالنسبة لك ، الذي كتب هذا المستند ، قد يبدو الأمر سهلاً وواضحًا ، لكن بالنسبة لهم قد يبدو الأمر وكأنه جراحة في الدماغ.
نهاية القصة؟
إذا كنت تعتقد أنك وصلت إلى نهاية قصة تنفيذ المستند ، فأنت مخطئ - لقد بدأت الرحلة للتو. لا يكفي أن يكون لديك سياسة أو إجراء مثالي يحبه الجميع فقط ، بل تحتاج أيضًا إلى الحفاظ عليه.
يجب على شخص ما أن يعتني بأن هذا المستند محدث ومحسّن ، وإلا فلن يلاحظه أحد بعد الآن - وعادة ما يكون الشخص نفسه الذي كتبه. ليس هذا فقط ، يجب على شخص ما قياس ما إذا كانت هذه الوثيقة قد حققت الغرض منها - مرة أخرى ، قد تكون أنت.
كما لاحظت أثناء قراءة هذه المقالة ، لا يكفي أن يكون لديك نموذج لطيف لسياسة أو إجراء ناجح - ما نحتاج إليه هو نهج منظم لتنفيذها. وعند القيام بذلك لا تنسى الحقيقة الأكثر أهمية: الوثيقة ليست غاية في حد ذاتها - إنها مجرد أداة لتمكين أنشطتك وعملياتك من العمل بسلاسة. لا تدع العكس يحدث - أن مثل هذه الوثيقة تجعل هذه الأنشطة والعمليات تعمل بصعوبة أكبر.