Комиссия по пересмотру правил
В идеале, комиссия по пересмотру правил должна состоять из представителей всех заинтересованных сторон, которые были привлечены для разработки правил. Помимо сотрудников, руководителей и различных администраторов, обслуживающих информационные технологии, в состав комиссии должен входить представитель отдела кадров и юрист. Если пересмотр отдельных правил требует юридических познаний (например, пересмотр правил шифрования), то необходимо либо присутствие юриста, сведущего в этих вопросах, либо консультация у него.
На деле для некоторых организаций является проблемой создание комиссии. Небольшие организации могут попросту не располагать достаточными человеческими ресурсами, даже если в них осознают необходимость создания комиссии. Если, отсутствует возможность физически собрать всех заинтересованных лиц, то будет достаточно самого минимального представительства.
Организации, которые не обладают ресурсами для создания комиссии, могут пойти по другому пути. Через год после разработки (с помощью автора книги) правил для небольшой организации (насчитывающей менее 50 пользователей) ее представители попросили автора помочь им скоординировать процесс пересмотра. Вместо того чтобы организовывать физическую встречу, автор проводил консультации посредством электронной почты. После того как результаты аудита были направлены всем заинтересованным сторонам, их попросили прислать по электронной почте предложения по изменению правил. Автор обработал все предложения и провел совещание, используя регулируемую группу электронной почты.
Когда представители комиссии достигли консенсуса, автор разработал измененные правила и отправил их по электронной почте в комиссию для одобрения. Автор получил копию результатов обсуждения и начал новый раунд согласования. После шести недель обсуждения и согласования комиссия внесла три изменения в свои правила, а затем была распущена, каждый участник которой остался доволен своей работой и способом ее проведения.
После разработки правил и наличия процесса пересмотра, работа по обеспечению безопасности сети организации только начинается. Администраторы безопасности должны теперь разработать или обновить процедуры и начать использовать эти средства для наблюдения и внедрения этих правил. Информационная безопасность должна стать превентивной работой, а не реакцией на неприятности.