職場上有種人,叫有責無權....這真的是屎缺。
職場上有種人,叫無責有權....你不是權貴,就不要幻想,這是每天都看報紙喝茶的,不清楚狀況就出來盧的工作。
職場上有種人,叫無責無權....這類都住冰櫃。
職場上有種人,較有權有責....這種動物,還要細分,一種是清楚狀況,一種是狀況外的。
不管你是哪種人,或者你是其他種的人,好比說外星來的(像我就是,歪星來的殺手,其實我就是督敏俊,來自星星的督教授,撥一下頭髮~~ 疑~~ 假髮掉了!),我建議,在權與責之間,先決條件是記得「保護好自己。」
下面就是要講到權責問題,簡直是冰與火的戰爭....
一、資訊安全管理系統 (管理階層、資訊安全組織)
1.7是否有文件或記錄顯示管理階層對資訊安全管理系統建立、實作、運作、監視、審查、維持與改進之承諾?
說明:此項說明在於二個重點:1.管理階層有沒有核決。2.有無留下軌跡。
當職務已經擔任管理階層,有了「權」之後,相對就要有「責」,權責分明是一定要有的,雖然大家都知道,組織內很多管理階層有權之後,都不願意對是負責,規避責任,這類的事情屢見不鮮。
大家都會說:「沒有肩膀的主管。」
而在這裡,我們就要利用系統,分配責任給這類的主管,早期,一般的紙本文建,很多規避責任的主管,可以閃過很多責任,然而當系統規範之後,自然閃無可閃,而企業所用的ERP(Enterprise Resource Planning)就是建立在這個基礎上。當然,很多中小企業的ERP形同虛設,主要是企業規模還沒達到一定標準。然而,上市櫃公司就一定要走ERP系統,每個階層,一關卡一關,一關未過,絕對不會到下一關,而簽核之後,簽核的單位主管就要負責,否則就是內部管理失衡,一定會被主管機關懲處。而這樣子的概念,放到資訊安全上,就是希望管理階層去承諾與負責。
我想很多這裡的年輕人,一定不懂,甚麼叫ERP,我舉個簡單的例子,在正常的情況下,當你要請假,你送出假單,假單由你的代理人簽完之後,才能送到主管那裡,最後由主管核准,才能休假。而這種層層的簽核,就是最簡單的ERP概念。沒有過這關,無法到下關,下關駁回,就得重來。
這麼做的好處,就是希望公司管理階層,不要閃避責任,同樣的道理,資訊安全有多麼重要,把到放到銀行來看,如果一個不小心,整個銀行被駭客盜領,那到底哪裡出來問題,沒有人肯負責,沒有人肯承諾改進,那整個資安體系,很快就瓦解掉了。
資訊安全管理系統建立、實作、運作、監視、審查、維持與改進,這些敘述,是一個流程,每個頓點其實都要卡控,實際上,應該如下圖所示才對:
(製圖為作者本人)
權責要分明,才是組織讓管理階層最好的承諾方式之一,也是讓沒有肩膀的主管無所遁形的方法之一。
制度不是用來殺人的,而是用來讓組織運作起來有個標準和依據
試想!!如果工人在現場休克暈倒,難道還要等長官核准嗎??
恐怕這樣會錯過黃金急救時間,所以在權與責之間,先保護好自己
職場上我也遇過這種主管,同意行事後,出包了再全部推給妳,說是妳幹的
由於人與人之間的溝通都是建立在信任的基礎,白紙黑字往往會顯得疏遠
但
經過好幾次的教訓,這些惡主管教會我
「文件」與「書信」的紀錄就是這些不負責主管的照妖鏡