43、数字身份系统的政策制定与治理

数字身份系统的政策制定与治理

1. 政策制定与执行

1.1 风险共识与政策视角

在关键参与者之间就风险达成共识至关重要，这能让每个人从相似的视角看待政策及其执行。

1.2 政策执行的重要性

制定政策却不执行毫无意义，就像建筑规范若不执行便会失去效力。执行职责不应由委员会承担，提供服务的运营团队也不应同时负责政策执行，因为很难同时兼顾优质的客户服务和政策监管。

1.3 政策宣传与培训

要确保政策有效传达给相关人员。可以围绕政策套件开发培训项目，并将其纳入新员工入职培训、管理层培训及其他合适的会议中。

1.4 政策执行的严格程度

政策执行的严格程度取决于违规后果的严重程度。若组织面临监管且可能面临高额罚款，则可能需要严格执行与外部法规合规相关的政策。

1.5 确认声明与合规路线图

在重要政策中可包含确认声明，如责任人签署声明表明其（或其组织）遵守政策。若无法签署合规声明，应提供帮助其制定合规路线图的方案，并要求对路线图中的主要里程碑进行报告。

1.6 审计的作用与要点

定期审计是衡量和促进合规的有效方法。规划和执行审计时需注意以下要点：
- 确保获得审计批准。
- 审计不应排除任何团体或个人，如 IT 部门或高管层。
- 不提前宣布审计。
- 尽可能采用非惩罚性的审计方式，如审计后在办公室留下糖果或石头以非威胁方式提醒问题。
- 制定标准审计表格。
- 为每种类型的政策制定定制审计程序，如密码审计与编码实践审计不同。