初创企业需要了解有关构建安全合规计划的一切知识
初创企业应了解构建安全合规计划的所有相关知识
由于英国范围内的网络犯罪不断上升,并且针对中小企业的攻击越来越多,安全性比以往任何时候都更重要。
即使您相信您的业务免受数据泄露和网络攻击的威胁,如果您无法向潜在客户证明这一点,您的销售团队可能会错失推动增长的交易。对于通常要求潜在合作伙伴遵守一些关键措施(如ISO 27001和SOC 2)的企业客户来说,这尤其如此。
所有这些意味着对于英国的初创企业来说,安全合规性不再是一项可有可无的事情。
安全合规计划帮助您的组织识别、实施和维护适当的网络安全控制措施,以保护敏感数据,遵守法律和合同义务,并遵守所需的标准、法规要求和框架,以保护客户并促进业务成功。
开始步骤
步骤1:定义您的组织目标和需求
您是为了达成交易而启动此计划吗?您是否想要积极展示信任或合规性?更重要的是,您想要实现什么,并为什么这样做?在回答这些问题之后,我们建议确定您期望的最终状态,并与关键利益相关者进行核对和协调。您对预期目标和最终状态的具体描述越详细,就越容易朝着目标进行逆向工作,并获得其他人的支持。
在担心要实施哪个标准或购买哪些工具之前,确保这些目标对组织做出的贡献不仅仅是解决问题或解决一个问题。
在Vanta,我们尽可能地将合规努力作为乘数。例如,一个业务单元中已知合规的流程可能被调整以适应另一个流程,从而能够简化跨职能工作和不同项目之间的对齐。
步骤2:定义您的路线图和时间表
考虑将时间表分解为特定的里程碑,以便能够跟踪和努力实现。此外,仔细思考是否存在需要考虑且相关的依赖关系。
这一步骤应包括确定以下问题的答案:
- 我们已知的技术需求或差距是什么?
- 我们预计是否需要投资一些额外的工具或支持?
- 我们是否了解我们想要前往的技术要求?
- 我们是建造、购买还是合作伙伴关系?
例如,如果您想要构建并计划聘请相关角色,考虑您是否需要一个更具管理能力,能够设定方向的经理,还是愿意亲自动手的执行者。对于首个合规聘用等基础性角色来说,这一点尤为重要。
如果您选择购买或合作伙伴关系,考虑使用虚拟CISO(vCISO)、托管服务提供商(MSP)或其他分部资源等服务是否能够更具成本效益地满足您的需求和目标。尤其是如果您拥有非常广泛的技术堆栈或复杂的运营,因为MSP或vCISO公司通常能够访问比任何一个人都能掌握的更多专业资源。
如果您是从零开始或首次构建一个程序,与其雇用一个或多个全职员工来构建内部计划,不如考虑使用一家值得信赖的第三方来补充您的工作更具成本效益。无论您选择哪个选项,您可能都在寻找具有隐私和/或合规知识以及技术工程知识的个人或团队。
定义您的目标的一部分还包括衡量您的进展并确保您正在衡量与您预期的结果相关的内容。在制定计划时,务必确定帮助组织了解并分享安全合规计划成果和结果的关键指标。
请记住,您需要根据优先级确定需要构建的内容和时间。这一点尤为重要,因为您可能会有一份漫长的任务清单,以及比预算更多的工具和需求。我们在Vanta的做法是将安全合规计划与业务目标相一致,从而确保我们满足客户和整个业务的需求。
我们的团队在制定合规计划时喜欢参考Verizon的《组织成效的五个制约因素》(2019年支付安全报告),以帮助我们搭建合规计划的框架。该框架强调了能力、资质、能力、承诺和沟通的重要性,这对于强大的数据保护合规计划的健康和有效性至关重要。如果你感兴趣,我们建议你快速阅读一下!2019支付安全报告。
步骤三:优先和开始构建
现在,你对需求和时间表有了了解,是时候根据你的业务需求和限制开始优先考虑工作了。你可以按照以下步骤开始:
- 再次核实与业务目标的一致性——你的计划是否仍然符合业务需求,或者是否发生了一些超出范围或计划偏移的情况,可能会引入不必要的摩擦?
- 根据对项目目标的新理解设置官方截止日期,并正式启动你的计划实施。
记住,安全和合规是没有上下文的无限黑洞。确保你计划进行合规的方式有防护措施,以确保你在能够产生实际业务成果的地方投入时间和精力。
最后,理解、定义和传达你为何朝这些目标努力——无论是为了满足客户需求、收入目标还是内部风险降低——也可以带动其他人的参与。
额外的考虑因素:利益相关方和资源
不要忘记,高层支持、承诺和预算是强大安全合规计划中最关键的组成部分之一。我们建议你尽早寻求这些,并通过强调风险、影响(包括积极的影响!)以及公司整体安全合规之旅来建立这座桥梁。
确定目标并确定你的工具和技术需求之后,了解哪些工具可用并满足这些需求会有所帮助。参考行业趋势和反馈可以是一个好的起点,还可以与在同行业中有类似挑战的人进行交流。
建立安全合规计划的提示和建议
虽然每个团队和公司在构建安全合规计划时有所不同,但这里有几个建议:
- 建立重复性:虽然追求快速成功可能很诱人,但专注于计划中的可重复性流程和可重复的结果。记住,火灾演习通常是破碎流程的指标。
- 从一个强大的基础开始:专注于基础知识,并将基础工作做好——无论你的计划成熟程度如何,基础工作始终很重要。
- 避免光鲜诱人的物体综合症:工具和技术可能有所帮助,但只会加重破碎的流程。
准备开始构建强大的安全合规计划了吗?
查看Vanta的英国初创企业指南,了解ISO 27001和SOC 2之间的差异和相似之处以及对你的组织来说哪一个更合适。你还将了解如何利用合规自动化简化认证过程,并在国际扩展中支持你的业务。
