Categories
程式開發

編寫制度的幾點實用建議


頭圖書籍名稱略顯誇張,我並不是太贊同,當它是印子。我今天確實是要討論制度相關的內容——如何更好地編寫制度。

做技術的人比較害怕寫制度,害怕絞盡腦汁卻只是想要寫好一句話,害怕一群人制度評審時,對著其中的每一句話、每一個詞翻來覆去地咂摸,這時候腦子裡只剩下“我是誰我在哪我為什麼要來這兒”的疑問在迴響。

根據近幾年編寫制度、評審制度時的經驗,我總結出幾點實用建議,供大家參考討論交流:

1、定位清晰

首先要考慮的是,確認你所編寫的製度位於哪一個層級。該宏觀的一定不要具體,該具體的一定不要模糊。所謂的模糊是清晰的對立面,清晰是指能夠描述清楚xx需要按照xx流程做xx事情,具有相應的責任(義務)、權利。

參考ISO9001質量管理體系中的文檔結構:

最高一層方針、目標,一般對應公司中的“xxxx辦法”這一類的製度,是所有領域都需要遵守的要求,參考ISO27001,其實它是最低標準;第二層綱要,一般對應公司中某一領域的管理分冊,比如“網絡管理規範”、“終端管理規範”等等;第三層運作程序,是第二層各領域下面的具體管理要求,從詳細的流程、技術措施的要求這些去寫;第四層具體操作、第五層證據,一般用於規定申請流程的具體申請步驟、申請表的要素、技術指標、檢查底稿這些東西,會經常變化,因此把它們從前面幾層中抽出來,這樣定期修訂時,大的要求不需要經常變動,更多的修訂放到這些具體的內容裡。

編寫制度的幾點實用建議 1

2、對像明確

確定制度的適用對象,對象搞不清楚先不動筆。能夠動筆時應不斷提醒自己,每一條要求都要從適用對象的角度提出。

舉個例子:

原句:應建立統一的管理平台開展xx工作。

無法確定建立這件事情誰來做,是管理層去做,還是管理對象自己做,雖然目的是統一管理,但怎麼做才算統一這件事沒寫清楚。

改寫:各子公司應根據總部統一要求,建立管理平台,開展xx工作。

3、結構經過設計

好的結構設計對於編寫制度這項工作來說,事半功倍。

以信息安全領域為例,管理對象繁多、不知道如何下筆時,可以參考等保、網絡安全管理辦法,或者公司已經有的上一級、同一級文檔,看看他們是怎麼寫的。

以管理對象為維度,可以採用等保1.0的寫法,分出層次、邊界,從物理、網絡、終端、應用、數據等角度去寫;以項目為維度,可以採用項目管理生命週期的寫法,分出階段,從項目立項、建設、運維等角度去寫,比如數據治理規範,可以從數據產生、數據收集、數據交換、數據處理、數據展示、數據銷毀這些階段去寫,安全開發規範,就可以從安全培訓、安全編碼到安全發布、安全運維去寫。

4、術語的專業性

我們在編寫制度的時候,經常會使用大量專業術語,有些叫習慣了的詞語不經思考就直接寫上去了,但其實這個詞語可能存在歧義、專業之外的人看不懂,甚至它可能只是個口語,進不了製度。

以信息安全領域為例,其實是有國家標準術語表的,《GB/T 25069-2010 信息安全技術術語》,我們常用的各種密碼算法、各類攻擊方法、威脅都有明確的定義,可能內容稍微比較老,但可以在很大程度上較少誤用、亂用。

這對於科技從業者來說,特別是工程實踐過來的同學,是一件需要格外注意的事情——應極力避免想當然。我們在寫到名詞、概念的時候,不妨多查查字典,多看看百科,在製度中起一章“術語與定義”來描述專業詞彙。你定義寫的越明白,你要管理的對象和對象的內涵與外延,就搞得越清楚。

編寫制度的幾點實用建議 2

5、前後一致

我們曾經跟法務部門的同事一起評審過信息科技的製度,他們一致認為,除了專業名詞眾多、寫的不清不楚之外,信息科技制度的一個最大的問題就是前後描述不一致。

舉個例子,有的地方寫互聯網,有的寫外網,有的寫公網,寫的時候不注意,因為作者腦子裡這些都是一個意思,但讀者很難統一到一起去。

這同樣也是科技從業者需要格外注意的事情,制度當中可不是我們炫耀“茴”字有四種寫法的地方。

6、用詞準確

含糊是認知偏差的溫床,宗教解釋是含糊的典型,給人一種理解上模棱兩可的感覺。

最前面兩點定位清晰、對像明確也都是準確性要求的體現,制度中,能夠明確使用xx流程、xx平台的就一定要出來流程步驟、平台名稱,謹慎使用“相關”、“若干”、 “幾個”、“等”這個的詞彙。

如果確實需要列舉很多又不能敲那麼多字怎麼辦?兩個辦法:1、補充到文尾,把需要列舉的內容以附錄形式展開;2、嘗試把“相關”這樣的字眼展開,看看究竟有哪些情況,列舉到不能再列舉了,再抽取主要的幾個,其他的就不寫了。也就是說,“相關”是詳細到省略的結果,但一開始應盡量詳細。

7、高效檢索

我們在寫制度的時候,經常需要引用、參考國家標準,以信息安全領域為例,去年下半年個人信息保護方面密集發文,今年又會有密碼保護與使用相關的製度、規範不斷推出,需要我們在製度編寫、修訂時,大量參考才能趕得上形勢。

我收藏了一些檢索國家標準、規範要求的很不錯的網站,幫助應對這一問題。

1是國家標準全文公開系統,鏈接http://openstd.samr.gov.cn/bzgk/gb/index“。這裡面只能看不能下載,但肯定是最全的。

編寫制度的幾點實用建議 3

2是民間機構標準庫,支持下載,從我目前使用情況來看,都是可以下到的。地址http://www.bzko.com/

編寫制度的幾點實用建議 4

3是網絡安全領域的一個公眾號,“網絡安全等保與關保”,是一個個人性質的賬號,公眾號的主人緊跟網絡安全標準與規範要求走,更新的很快,也都支持下載。相信其他領域也會有類似的公眾號服務在。

制度的編寫、修訂是安全管理繞不開的工作,這工作考驗知識面,也考驗技術落地經驗,但好處也很顯而易見,能夠開闊管理視角,幫助抽象、歸納技術能力,這需要我們在編寫訓練中不斷思考、總結和沈淀。