Ez a téma, ami haza pálya nekünk, így tippek, trükkök rovatunk nyitó posztjához ideális téma. Lényegre törő, egyben átfogó leírásunkat mindenkinek ajánljuk, aki szabályzatírási feladat közelébe kerülhet.
A munkahelyi informatikai irányelvek meghatározása alapvető fontosságú bármely szervezet hosszú távú fennmaradása szempontjából. Ez lehetővé teszi az egyértelmű elvárások megfogalmazását és a technológia helytelen használatából adódó potenciális problémák elkerülését. Egy átfogó informatikai szabályzat megírásakor bizonyos elemeket figyelembe kell venni annak érdekében, hogy olyan szabályzatot hozzunk létre, amely nemcsak a szervezet igényeinek felel meg, hanem a személyzetet és az eszközöket is védi. Ebben a blogbejegyzésben arról lesz szó, hogyan írjunk olyan informatikai szabályzatot, amely megteremti az informatikai biztonság és védelem alapjait. Ez a téma, ami haza pálya nekünk, így tippek, trükkök rovatunk nyitó posztjához ideális téma. Lényegretörő, egyben átfogó leírásunkat mindenkinek ajánjuk, aki szabályzatírási feladat közelébe kerülhet.
Gyűjtsük az előzményeket
A kifogástalan minőségű IT szabályzat segít meghatározni, hogyan kell használni és kezelni a technológiát egy szervezeten belül, és hogyan kell összehangolni azt a szervezet küldetésével és célkitűzéseivel. Kidolgozásához kulcsfontosságú a szükséges előzmények összegyűjtése és az informatikai környezet megértése. Fontos, hogy ezt a folyamatot szervezett stratégiával és együttműködéssel közelítsük meg, hogy az IT szabályzat minden szempontot lefedjen.
Egy működő informatikai cégben vagy informatikai részlegben mindennek nyoma van, még ha a nyomok mélysége és azonosíthatósága eltérő, néha sziú nyomolvasó bevetése is szükséges lehet. Amennyiben nem ilyen rossz a helyzet, akkor a megírandó szabályzatnak van előzménye: egy sokkal korábbi, régebbi változat vagy egy szekció egy nagyobb, átfogó szabályzaton belül. Aminet ezeket az információkat összeszedtük, van támpont a kezünkben a szabályzatírás elkezdéséhez.
Szerezzünk sablont
Mielőtt fejest ugrana az IT szabályzat kidolgozásába, tájékozódjon a terepviszonyokról. Nézzen meg egy meglévő IT szabályzat mintát (szabályzat- vagy eljárássablont) vagy ha ilyen nem áll rendelkezésre, egy releváns példát, hogy megértse, mi a közös. Emellett kutasson fel minden lehetséges jogi vagy megfelelőségi következményt, amellyel az informatikai irányelvekkel kapcsolatban találkozhat.
Rendes informatikának, rendes cégnek van mindenféle dokumentum sablonja, IT szabályzat mintája. Rendetlennek meg vannak létező dokumentumai, amit ugyanúgy használhatunk kiindulási alapnak a tartalom törlése után. A formázgatással rengeteg felesleges időt lehet eltölteni, ezt mindenképpen érdemes megspórolni.
Mérjük föl a gyakorlati működést
Az IT szabályzat kialakításának fontos része az érintettekkel lefolytatott interjúk lebonyolítása. Az interjúk értékes betekintést nyújtanak az IT-használat jelenlegi helyzetébe a szervezeten belül, és felhasználhatók azon területek azonosítására, amelyekre nagyobb fókuszt kell helyeznünk az írás során. Az interjúk segíthetnek az IT-használattal kapcsolatos potenciális kockázatok azonosításában is. Az érdekelt felek meginterjúvolásával a vállalkozások biztosíthatják, hogy az általuk létrehozott informatikai politika hatékony, átfogó és a legújabb iparági szabványoknak megfelelő legyen.
Biztosan van legalább egy kolléga, szakértő, vezető, aki tudja, miképpen kezeli a szabályazi témát a cég, ahol a szabályzatot ki kell dolgozzuk. Keressük meg őket, kérdezzük ki a részletekről, jegyzeteljünk, rajzoljunk, rögzítsünk minden részletet, egyelőre a nekünk tetsző, számunkra emészthető módon. Ha vannak további, elérhető anyagok, folyamat ábrák, kapcsolódó nem informatikai leírások, vezetői, stratégiai anyagok, azokat is kérjük el, nézzük meg, előre sosem lehet tudni, miben találunk hasznos tartalmakat.
Rendezzük struktúrába
A szabályzatnak naprakésznek, átfogónak és a szervezet igényeihez igazítottnak kell lennie. Fontos szem előtt tartani, hogy a szabályzatnak elég rugalmasnak kell lennie ahhoz, hogy alkalmazkodni tudjon az új technológiákhoz, a változó adatbiztonsági követelményekhez és az új üzleti célkitűzésekhez. Nem szabad megfeledkezni arról, hogy az IT szabályzatot konkrét kérdések megválaszolására írják, ezért szerkezete és felépítése az igényeknek megfelelően jelentősen eltérhetnek egymástól.
Szánjunk időt a fókuszált átnézésre, többszöri átolvasásra, már magunk előtt tartva a mintaszabályzat vagy a szabályzati sablon felépítését, szerkezetét. Keressünk minden fejezethez tartalmat és amíg nem találunk, térjünk vissza az előző pontokban leírtakhoz. Csak akkor fogjunk neki a tényleges megírásnak, amikor már mindenhez van input a kezünkben.
Készítsük el az első változatot
Egy IT szabályzat megírása a nulláról az esetek többségében komfortzónán kívüli feladatnak számít legtöbbünk számára, és már a vázlat elkészítésének folyamata is nyomasztónak tűnhet. Néhány gyakorlati ötlettel segítünk, hogyan érdemes nekifutni.
Töltsük bele a draftot a sablonba, fogalmazzuk át folyószövegnek. Egyszerű, rövid mondatokat írjunk, akár több bekezdése tördelve egy szekciót. Ha ezt folyamatosan szem előtt tudjuk tartani, könnyen kezelhető marad az anyag. Miután elkészültünk, mentsük el, zárjuk be és hagyjuk egy munkanapot pihenni, ezzel felszabadítva elménket. A megadott idő elteltével friss szemmel és mentális állapottal tudjuk átolvasni és szükség szerint módosítani, mielőtt másokkal megosztanánk.
Gondoljuk át, milyen kiegészítésekre lehet szükség
Glosszárium (definíciós szószedet), referenciadokumentumok, kapcsolódó szabályzatok listája, mellékletként becsatolandó sablonok, táblázatok, felsorolások, illetve a már említett folyamatábra. Ezeket az aspektusokat már itt, az első változatnál le kell ellenőrizni, mert sokszor a szabályzatban leírt szövegnek a kiegészítő anyagokkal együtt lesz értéke, értelme. Ha bármelyik tételt relevánsnak gondoljuk, kezdjünk is neki a kidolgozásának vagy vonjuk be azt, akivel közösen megvalósítható.
Köröztessük meg minden érintettnek
Az elkészült első változatot tegyük elérhetővé a korábban megkérdezett kollégáknak, a szabályzat által legfedett munkafolyamatban, működésben érintett szereplőknek, a bevont szakértők vezetőinek, a saját vezetőknek, az IT biztonsági vezetőnek, a belső ellenőrzésnek és természetesen a szabályzatokért felelős területnek (compliance vagy megfelelősség). Ezzel kezdetét veszi egy nem könnyű és nem rövid egyeztetés, de ezt nem spórolhatjuk meg. Ha mégis kísérletet teszünk egy huszárvágással az IT szabályzat véglegesítésére, készüljünk föl arra, hogy az utolsó pillanatban fölbukkanhat valaki, aki fölteszi a kezét és vétót mond a remekművünkre.
Egyeztessük a visszajelzéseket, mediáljunk, ha kell
A szigorúan betartott átolvasási határidőig dolgozzuk föl, nézzük át, értsük meg a megjegyzéseket, kérdéseket, kéréseket. Ha szerencsések vagyunk, csak bele kell foglalnunk őket a szövegbe. Ha nem annyira vagyunk a sors kegyeltje, akkor a mi álláspontunkkal és egymás megjegyzéseivel is részben vagy egészben ellentétes véleményeket kell összehangolnunk. Ezt a leghatékonyabb workshop keretében megtenni. Ha mindent kitisztáztunk, megint adjunk magunknak pár napot a véglegesítésre és még egyet a friss szemmel elkövetendő önlektorálásra.
Indítsuk el a hivatalos jóváhagyási folyamatot
Amikor azt gondoljuk, kész, utána még a közvetlen vezetőnkkel menjünk végig az anyagon, megszerezve az értő támogatását és előzetes jóváhagyását. Amikor ez is oké, szívünket csaknem elöntötte a melegség, akkor adjuk át a szabályzatok hatályosításáért felelősnek vagy töltsük föl a szabályzat nyilvántartó szoftver kiadási folyamatába. Itt is jöhet nem várt meglepetés, de ha követtük az eddig leírtakat, ennek esélye és kockázata alacsony.
Írjuk be a naptárunkba a felülvizsgálati határidőt
A szabályzat közétételét jelző email értesítést vagy intranet bejelentést követően engedjük magunkon keresztül az alkotás katartikus örömének áramlását, és mielőtt nekifognánk egy következő munkafeladatunknak, rögzítsünk egy emlékeztetőt, hogy ezzel 6 hónap vagy egy év múlva megint lesz dolgunk.
Jól hangzik, amit összefoglaltunk, de nincs ideje, kapacitása rá? Esetleg bizonytalan, hogy kicsúszna a kezéből a gyeplő a folyamat során viszonyt a megírandó szabályzatok listája folyamatosan növekszik?