冗長的開會，真的會讓人的腦袋鈍化掉，我很討厭開會，但又不能不開，我們總經理每次說，開會的目的，不只是討論問題，另外就是讓各部門的人可以宣洩情緒，有事攤開來說。

我心裡總是OS，大家如果對你最不滿，難道也能攤開來說嗎？

今天發文已經過一半了，今天就一次討論三個主題，只是，只有一個重點，就像開會一樣，冗長的原因，常常把一個問題，拆成十個部門，然後，重複十次一樣…..

以下我們根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續4.4~4.6項之探討。

四、資訊安全組織　（資訊安全組織、人事及資訊單位）
4.4是否依一般使用者、系統管理者、系統擁有者等不同職務分別訂定其安全責任？
4.5是否訂定規範員工的資訊安全作業程序與權責(含經管使用設備及作業須知)？
4.6是否訂定各項資訊設備的安全作業程序及授權處理層級？

說明：此項說明只有一個重點：1.職務分級，設定核決權限。

在很多決策上，一般有規模的公司，都會依照資金動用的金額大小，來分配權限，當金額大到一個程度，就要由董事會來決定是否動用資金；反之，當金額較小的情況下，就由部門副總決定。這種就是核決權限，正常的公司都會設有核決權限表，以便區分權與責，避免出事的時候，公司找替死鬼代替。

用到資訊管理方面，我想這也不用解釋太多，網管也一樣會依各部門分出不同權限，這在一般的Windows系統控制台裡的使用者帳戶都看得到，如下圖所示，這也是很基本的網管的方法之一，設定核決權限之後，很基本的資訊安全就有了，只是，組織裡的員工，常常會打電話問資訊人員，為什麼這個不能打開？那個也不能打開？

因為一般的員工也不知道，到底網管開了多少權限給一般員工使用，而系統管理者也不會去主動告知，你的電腦到底權限開了哪些給你，只有在面對某些特定狀況之下，使用者不能使用時，才會向網管求救(or抱怨)，可是，資訊人或資安人員，有其專用的語言，不見得每個員工都聽得懂到底資訊人員在說甚麼東西，於是，有些爭執就開始產生了。

我講一實例，台灣原來是用一般公認會計準則GAAP，後來改用國際財務會計準則IFRS，在導入的過程，資訊人員與會計人員，花了四年時間，在系統上一直無法有效討論出結果，主要原因，就在於各有各的專業領域所使用的語言，一方講的天花亂墜，一方還是照著自己的意思去做。不停的修改，這種循環就不停的下去，然後不知不覺得過了四年。

當然，所謂核決權限這種東西，實則上，在一般公司很少會為了權限而爭執，但問題仍然存在，資訊人員普遍是沉默的一方，使用者通常會比較強勢，我不否認這種互動模式，因為這種模式的存在，基本上就是一種平衡。

我比較少聽到資訊人員跟其他部門為了系統、權限產生爭執(或許有，有的人歡迎在底下留言，我對這方面的經驗較少，也想多了解一些經驗談)，主要是因為這不涉及到利益，這也是我對於核決權限的結論。