编写制度的几点实用建议
头图书籍名称略显夸张,我并不是太赞同,当它是印子。我今天确实是要讨论制度相关的内容——如何更好地编写制度。
做技术的人比较害怕写制度,害怕绞尽脑汁却只是想要写好一句话,害怕一群人制度评审时,对着其中的每一句话、每一个词翻来覆去地咂摸,这时候脑子里只剩下“我是谁我在哪我为什么要来这儿”的疑问在回响。
根据近几年编写制度、评审制度时的经验,我总结出几点实用建议,供大家参考讨论交流:
1、定位清晰
首先要考虑的是,确认你所编写的制度位于哪一个层级。该宏观的一定不要具体,该具体的一定不要模糊。所谓的模糊是清晰的对立面,清晰是指能够描述清楚xx需要按照xx流程做xx事情,具有相应的责任(义务)、权利。
参考ISO9001质量管理体系中的文档结构:
最高一层方针、目标,一般对应公司中的“xxxx办法”这一类的制度,是所有领域都需要遵守的要求,参考ISO27001,其实它是最低标准;
第二层纲要,一般对应公司中某一领域的管理分册,比如“网络管理规范”、“终端管理规范”等等;
第三层运作程序,是第二层各领域下面的具体管理要求,从详细的流程、技术措施的要求这些去写;
第四层具体操作、第五层证据,一般用于规定申请流程的具体申请步骤、申请表的要素、技术指标、检查底稿这些东西,会经常变化,因此把它们从前面几层中抽出来,这样定期修订时,大的要求不需要经常变动,更多的修订放到这些具体的内容里。
2、对象明确
确定制度的适用对象,对象搞不清楚先不动笔。能够动笔时应不断提醒自己,每一条要求都要从适用对象的角度提出。
举个例子:
原句:应建立统一的管理平台开展xx工作。
无法确定建立这件事情谁来做,是管理层去做,还是管理对象自己做,虽然目的是统一管理,但怎么做才算统一这件事没写清楚。
改写:各子公司应根据总部统一要求,建立管理平台,开展xx工作。
3、结构经过设计
好的结构设计对于编写制度这项工作来说,事半功倍。
以信息安全领域为例,管理对象繁多、不知道如何下笔时,可以参考等保、网络安全管理办法,或者公司已经有的上一级、同一级文档,看看他们是怎么写的。
以管理对象为维度,可以采用等保1.0的写法,分出层次、边界,从物理、网络、终端、应用、数据等角度去写;
以项目为维度,可以采用项目管理生命周期的写法,分出阶段,从项目立项、建设、运维等角度去写,比如数据治理规范,可以从数据产生、数据收集、数据交换、数据处理、数据展示、数据销毁这些阶段去写,安全开发规范,就可以从安全培训、安全编码到安全发布、安全运维去写。
4、术语的专业性
我们在编写制度的时候,经常会使用大量专业术语,有些叫习惯了的词语不经思考就直接写上去了,但其实这个词语可能存在歧义、专业之外的人看不懂,甚至它可能只是个口语,进不了制度。
以信息安全领域为例,其实是有国家标准术语表的,《GB/T 25069-2010 信息安全技术 术语》,我们常用的各种密码算法、各类攻击方法、威胁都有明确的定义,可能内容稍微比较老,但可以在很大程度上较少误用、乱用。
这对于科技从业者来说,特别是工程实践过来的同学,是一件需要格外注意的事情——应极力避免想当然。我们在写到名词、概念的时候,不妨多查查字典,多看看百科,在制度中起一章“术语与定义”来描述专业词汇。你定义写的越明白,你要管理的对象和对象的内涵与外延,就搞得越清楚。
5、前后一致
我们曾经跟法务部门的同事一起评审过信息科技的制度,他们一致认为,除了专业名词众多、写的不清不楚之外,信息科技制度的一个最大的问题就是前后描述不一致。
举个例子,有的地方写互联网,有的写外网,有的写公网,写的时候不注意,因为作者脑子里这些都是一个意思,但读者很难统一到一起去。
这同样也是科技从业者需要格外注意的事情,制度当中可不是我们炫耀“茴”字有四种写法的地方。
6、用词准确
含糊是认知偏差的温床,宗教解释是含糊的典型,给人一种理解上模棱两可的感觉。
最前面两点定位清晰、对象明确也都是准确性要求的体现,制度中,能够明确使用xx流程、xx平台的就一定要出来流程步骤、平台名称,谨慎使用“相关”、“若干”、“几个”、“等”这个的词汇。
如果确实需要列举很多又不能敲那么多字怎么办?两个办法:1、补充到文尾,把需要列举的内容以附录形式展开;2、尝试把“相关”这样的字眼展开,看看究竟有哪些情况,列举到不能再列举了,再抽取主要的几个,其他的就不写了。也就是说,“相关”是详细到省略的结果,但一开始应尽量详细。
7、高效检索
我们在写制度的时候,经常需要引用、参考国家标准,以信息安全领域为例,去年下半年个人信息保护方面密集发文,今年又会有密码保护与使用相关的制度、规范不断推出,需要我们在制度编写、修订时,大量参考才能赶得上形势。
我收藏了一些检索国家标准、规范要求的很不错的网站,帮助应对这一问题。
1是国家标准全文公开系统,链接http://openstd.samr.gov.cn/bzgk/gb/index。这里面只能看不能下载,但肯定是最全的。
2是民间机构标准库,支持下载,从我目前使用情况来看,都是可以下到的。地址http://www.bzko.com/
3是网络安全领域的一个公众号,“网络安全等保与关保”,是一个个人性质的账号,公众号的主人紧跟网络安全标准与规范要求走,更新的很快,也都支持下载。相信其他领域也会有类似的公众号服务在。
制度的编写、修订是安全管理绕不开的工作,这工作考验知识面,也考验技术落地经验,但好处也很显而易见,能够开阔管理视角,帮助抽象、归纳技术能力,这需要我们在编写训练中不断思考、总结和沉淀。
版权声明: 本文为 InfoQ 作者【石君】的原创文章。
原文链接:【http://xie.infoq.cn/article/3cce7be073ad5a2157ea80d77】。文章转载请联系作者。
与其更好,不如不同 2020.03.26 加入
分享孤独,成为故事,分享思考,成为思想。 做信息安全领域的探险家。
评论 (3 条评论)