合规即资产

在工程领域，处理安全需求的常见方法是在交付后解决这些要求。这种做法效率低下，原因如下：

• 未能考虑如何在开发过程中整合需求，从而避免为满足需求而进行重新设计
• 通过将合规性和需求理解外包给其他团队，削弱了工程团队的自主权

为了提高个人和团队的责任感，建议借鉴修复式司法中的一个关键概念——冲突即资产。这一理念认为，西方刑事司法系统中个人权力的丧失是由于将冲突的所有权让渡给第三方。类似地，企业安全计划通常作为“警务”系统运作，工程团队将安全需求视为合规团队的所有物。虽然这看似高效，但导致了合规活动的孤岛化以及工程团队的幼稚化。

这是否意味着工程团队必须成为信息安全所有方面的深度专家？他们如何在没有全面掌握这些概念的情况下拥有安全需求？所有权并不一定意味着专业知识。就像一个人可能拥有房屋或车辆并负责维护，但大多数所有者会明白何时需要外部专业知识。

工程团队对所有需求的所有权对于问责制至关重要。为了主动解决安全问题，团队必须将这些需求视为自己的“财产”，以便在设计和开发阶段高效处理。将安全需求的管理交给另一个团队既无效也不可扩展。虽然信息安全办公室可以并且应该验证需求是否满足以支持职责分离（SoD），但实施和理解的所有权属于工程团队。