問：我最近升為一家公司的安全經(jīng)理。該公司有著“服從審計”的歷史，這也就意味著在審計開端之前有許多工作要做，才干確保一切都符合標準，而這家公司成功地做到了這一點。但事后，公司的安全工作又再次松懈下來。您認為，怎樣的最佳實踐才干建立起一個以信息安全而不是服從審計為目標的安全文化呢？

答：首先，慶祝您成為一位安全經(jīng)理！好好干！盡管有時會充滿挫折，會讓您猜忌您到底能不能成功，但它依然是一個極好的、具有挑釁性的工作。不過，我得由衷地稱贊您，因為您至少意識到了您工作范疇的文化。

所以，您的挑釁是不僅要做好安全經(jīng)理應(yīng)做的工作，而且還要著手信息安全打算的制定，并促成一種安全文化氣氛。下面有一些想法可能對您開展工作有所啟發(fā)：

會見首席信息官（CIO）、內(nèi)部審計經(jīng)理（internal audit manager）、財務(wù)總監(jiān)（CFO）、甚至是首席履行官（CEO），以便更好地懂得他們所關(guān)注和感興趣的法規(guī)服從和審計范疇。您可以嘗試著去斷定他們是否真的只關(guān)注審計的通過，或者說在這種觀點背后是否還有其他的障礙或理由，說不定他們可能會認為開展法規(guī)服從工作過于昂貴。因此，您可以提出一種保持成本程度甚至更低成本的計劃，特別是在涉及到罰款時更應(yīng)這樣。

建立一個內(nèi)部審計打算表。與內(nèi)部審計部門合作，選擇法規(guī)服從的某個部分以便每月都能進行檢查。例如，如果公司必須服從支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），那么您可以一個月選取一個范疇（即每月選擇PCI DSS的12個部分中的一個），并履行抽樣調(diào)查或非正式的審計。然后，根據(jù)斷定的調(diào)查成果，協(xié)助相干義務(wù)部門對他們的計劃和流程做出冷靜的、有重點的修正，以保證對其長期有效，而不僅僅是一個“審計前的突擊計劃（pre-audit spike）”。

注意業(yè)內(nèi)的競爭對手和其他公司。觀察他們的法規(guī)遵照問題，并應(yīng)用他們的經(jīng)驗來使自己的公司有所籌備并服從審計的標準。此外，必定要將您從其他公司學(xué)到的教訓(xùn)介紹給行政管理部門，讓他們可以更好地接收安全理念，避免公司成為一個被別人學(xué)習(xí)經(jīng)驗教訓(xùn)的對象。

再一次慶祝您獲得了這個新機會，請記住您需要重要關(guān)注的工作：保護數(shù)據(jù)，然后盡最大努力去優(yōu)先保證法規(guī)服從。