1.每个组织都有一个治理和管理的体系。这两个不同的术语往往被不恰当地互换着使用。治 理代表了组织的所有者或那些能代表组织的人的意见。治理提供了愿景,然后将这一愿景转化 为政策。
2.治理原则自上而下覆盖组织能力的各个层次。每种能力都通过自身的管理实践和 活动来定义它们是如何在这些原则下运作的。活动在一系列控制参数下正常运转。这些参数因组织而异,受环境、需求和文化的支配。这些参数是组织的治理原则、组织的实践和活动,所有决策都应基于这些参数。
3.管理,是为实施这些政策而做的一系列决策,并且遵循了治理机构所指明的方向。
治理通过下面一系列活动来控制整个组织:评价、指导和监控,见图4。
4.组织需要制定安全政策,规定其必须“尊重数据并遵守所有相关的法律和法规”。这个安全政策可以贯穿在组织能力的各个层次,
例如:(部分实施案例)
1.通过基础设施管理部门的管控能力实现只有门禁卡才能进入那些用硬盘和电子格式 存储数据的建筑物。
2.通过客户服务部门的能力实施了 “整洁办公桌"的政策,所以桌面上找不到纸质笔记本以防止信息泄露。
3.通过人力资源部门的能力要求仅在需要的时间段内存储数据,然后安全地处理掉。
5.聚焦于“轻”流程,使用最少的控制。它们的方法不是前瞻性地预测需要解决的问题,而是等待并观察是否出现问题。
