我
早些时候告诉过如何在10天内制定标准。 现在,我想谈谈文件的术语和名称,它们的含义以及准备文件的不同方法。 当然,每个人都知道理解文档很有用,但并不是每个人都有耐心地研究它们。 我会告诉你,他们是如何为此谴责我的。 这部分将是干燥无聊的,倒自己喝茶,吃饼干。 走吧
介绍主题过长
任何一种活着的语言在其细微差别上都是美丽的。 俄语是双倍的美丽。 拥有如此强大的基础,俄罗斯文员办公室(我称之为法律,政府法令和其他官方文件的书写语言)将为其功能所吸引。 当然,如果您不打算阅读。 如果无法避免这种情况,那么您需要仔细,有条理地阅读书信,重复阅读几次,仔细研究每个单词。
那是2008年-夏天,星期五。 我下班早假,以免被交通堵塞所困扰,然后开车沿着Yakhroma地区Dmitrovsky公路的小屋去。 这很紧,但是可以忍受。 交警检查员拦住我,索要文件,并宣布我没有错过行人。 我不同意他的看法。
然后检查员提议给我签署一项决议,并说我将有10天的上诉时间。 好吧,还不错。 我在纸上签名,继续自己的事业。 原来,检查员利用了我的无知。
协议? 哪个协议?
在法庭上,事实证明我没有签署协议,而是决定。
如果政府代表看到行政违法的迹象(例如交通规则),则应制定协议。 在协议中,您可以写明您不同意注释,但是在决定中没有这样的列。 即 通过签署决定,我实际上承认了我的内gui。 是的,您有10天的时间对订单提出上诉。 但是实际上几乎没有机会。 因此,该协议只是对违规行为的修正,而决定就是已经施加的惩罚。
似乎有两张纸,有什么不同的后果。
信息安全文件
像任何活动一样,信息安全流程迟早会获取一定数量的文档:政策,法规,说明,法规等。 这些文档中的每一个都解决了一个特定的问题,它们之间的混淆(如上例所示)将无损您的活动。
要创建此类文档,我们可以利用国内外学校的成就。
西方学校
西方学校在文件名称和内容上是完全免费的。 最引人注目的证明是一系列标准-ISO 2700x,每个安全防护人员都知道。
通常,所有文档分为四个级别。
- 一级的政客是最“水汪汪”和“战略性”的。 例如,“ LLC Romashka的信息安全策略。
- 二级政客-指定全球政治的特定方面或特定程序。 例如,“防病毒保护策略”。
- 说明(第三级)-在第二级策略的框架内描述员工的特定职责,例如“ KSPD段防病毒保护系统管理员指南”。
- 记录(第四级)-前三个级别中未包括的所有内容。 从特定网段上的设置到解析SIEM系统的事件。
当采用这种方法时,在我们的现实中采用此标准会出现问题。 通过安全策略的大小问题,仍然可以轻松地将安全保护人员之间的任何通信转变为无情的恐怖分子。 大多数人更喜欢将所有必要的信息存储在一个文档中,因为文档越多,跟踪他们的关系所花费的时间就越多,而协调和引入变更可能要花费数月的时间。 我遇到了其他意见,但是无论如何,结论如下:西方方法不能揭示许多必要的细微差别。
让我们转向国内经验。
国内学校
在设计文档开发(ESKD)方面拥有如此令人印象深刻的历史和几代人的经验,如果我们没有自己的传统和对文书工作的理解,这将是令人惊讶的。 如果您仔细看一下同一个GOST 34系列,您会惊讶地发现它非常合乎逻辑,甚至很方便。 在引入任何系统之前,您是否没有开发上层结构(概念设计),并对其进行了越来越详细的说明(技术设计和工作文档)?
因此,如果您要为一家俄罗斯公司开发文档,则很有可能会使用国内学校的方法。 它与西方语言的主要区别在于对术语和名称的关注。 例如,当调用文档“输入信号和数据列表”时,希望您看到有关输入信号甚至可能是输出信号的信息,而不是信息支持要求或信息阵列的描述。
但是,这里可能有问题在等待您。 您认为有什么区别:
- 信息安全政策,
- 信息安全法规
- 信息安全法规?
当我进入编制一组组织和行政文档(ARD)的阶段时,这个问题使我感到困惑。 让我们弄清楚。
你叫什么船,它会漂浮
让我们关注主要文档(如果我们考虑所有内容,那将是完全无聊且无趣的)。 下述方法是LANIT部门之一信息安全部门工作的主要方法。
订购
您想转移到纸上的任何过程的Alpha和omega。 与西方方法相反,在西方方法中,授权人员的批准非常简单,我们将所有文件按顺序引入。 您可以在工作中使用任何说明和表格,但是如果未按顺序输入它们,请考虑您没有它们。
顺便说一下,这与保护个人数据特别相关。 对监管机构的任何核查均始于确定所采取措施是否适用。 如果您从事任何文件的工作,那么您最有可能准备一份订单草稿。
该命令的主要区别特征如下:
- 它由总经理实施,他有权将某些要求分配给整个组织。
- 团队的存在。 例如,实施信息安全策略。
- 任命负责人。 该命令应指出谁负责履行该命令的实质,例如,在政治方面,是信息安全主管。
- 截止日期的可用性。 一切在这里都很明显。 例如,在2天内引起信息安全策略所有员工的注意。
- 主管的在场。 这部分通常被遗忘,但是非常需要指出将执行订单本质的控制权分配给谁。 通常,他要么留在首席执行官那里,要么调任负责人。
该命令介绍了从个人数据保护制度到批准报告表格的所有内容。 是否为每次打喷嚏做出
不同的命令还是作为一个单独的游泳池经常是个人品味的问题。 如果以单独的顺序输入所有内容,则嵌入的文档将更易于更改。 如果是单个池,则更易于协商和签名。
政治学
最后,我们进入了政治。 按照我们的传统,这是一个相对较新的文档,与此处介绍的其他文档不同。 该政策的一个特点是它描述了流程。 例如,确保信息安全的过程。
一个策略可以并且应该对流程的功能提出要求,可以描述所需的安全性和例外。
使用国内方法,您可以创建任何规模的策略。 最主要的是,您无需将策略转变为对执行者之间的任务和职责分配的描述,有相应的法规和说明。
位置
与政治不同,该法规的目的恰恰是为了规范人员和单位的活动。 在一般情况下,该法规规定了结构单位(官方,咨询或合议机构)的成立程序,权利,义务,责任和工作安排,以及与其他部门和官员的互动。
即 实际上,该法规很少应用于流程,但是以“信息安全部法规”的形式非常适用。
规章制度
该法规是最具争议的文件。 我遇到了一家只有各种法规的公司。 应该理解的是,至少在信息安全方面,监管本质上是一个临时文件。 这就是现在所说的“路线图”。 与政策和法规相反,该法规确定了具体步骤和实施时间。
并且,如果有期限,则该法规不适用于连续过程,例如,确保整个公司的安全或确保质量控制。 即 可能会有“实施安全策略的法规”,但最好不要制定“信息安全法规”。
使用说明书
该说明是层次结构中的最后一个文档,但没有意义。 该说明描述了在特定情况下应该执行的特定步骤,反之亦然,从不应该执行的步骤。 两种指令中最著名的例子是《武装部队内部服务宪章》。
这些说明并不局限于任何特定的结构,也许主要的要求是易于理解和易于阅读。
在此我想结束,希望您读完。 不要重复我的错误,不要知道文档的含义。