冗長的開會,真的會讓人的腦袋鈍化掉,我很討厭開會,但又不能不開,我們總經理每次說,開會的目的,不只是討論問題,另外就是讓各部門的人可以宣洩情緒,有事攤開來說。
我心裡總是OS,大家如果對你最不滿,難道也能攤開來說嗎?
今天發文已經過一半了,今天就一次討論三個主題,只是,只有一個重點,就像開會一樣,冗長的原因,常常把一個問題,拆成十個部門,然後,重複十次一樣…..
以下我們根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續4.4~4.6項之探討。
四、資訊安全組織 (資訊安全組織、人事及資訊單位)
4.4是否依一般使用者、系統管理者、系統擁有者等不同職務分別訂定其安全責任?
4.5是否訂定規範員工的資訊安全作業程序與權責(含經管使用設備及作業須知)?
4.6是否訂定各項資訊設備的安全作業程序及授權處理層級?
說明:此項說明只有一個重點:1.職務分級,設定核決權限。
在很多決策上,一般有規模的公司,都會依照資金動用的金額大小,來分配權限,當金額大到一個程度,就要由董事會來決定是否動用資金;反之,當金額較小的情況下,就由部門副總決定。這種就是核決權限,正常的公司都會設有核決權限表,以便區分權與責,避免出事的時候,公司找替死鬼代替。
用到資訊管理方面,我想這也不用解釋太多,網管也一樣會依各部門分出不同權限,這在一般的Windows系統控制台裡的使用者帳戶都看得到,如下圖所示,這也是很基本的網管的方法之一,設定核決權限之後,很基本的資訊安全就有了,只是,組織裡的員工,常常會打電話問資訊人員,為什麼這個不能打開?那個也不能打開?
因為一般的員工也不知道,到底網管開了多少權限給一般員工使用,而系統管理者也不會去主動告知,你的電腦到底權限開了哪些給你,只有在面對某些特定狀況之下,使用者不能使用時,才會向網管求救(or抱怨),可是,資訊人或資安人員,有其專用的語言,不見得每個員工都聽得懂到底資訊人員在說甚麼東西,於是,有些爭執就開始產生了。
我講一實例,台灣原來是用一般公認會計準則GAAP,後來改用國際財務會計準則IFRS,在導入的過程,資訊人員與會計人員,花了四年時間,在系統上一直無法有效討論出結果,主要原因,就在於各有各的專業領域所使用的語言,一方講的天花亂墜,一方還是照著自己的意思去做。不停的修改,這種循環就不停的下去,然後不知不覺得過了四年。
當然,所謂核決權限這種東西,實則上,在一般公司很少會為了權限而爭執,但問題仍然存在,資訊人員普遍是沉默的一方,使用者通常會比較強勢,我不否認這種互動模式,因為這種模式的存在,基本上就是一種平衡。
我比較少聽到資訊人員跟其他部門為了系統、權限產生爭執(或許有,有的人歡迎在底下留言,我對這方面的經驗較少,也想多了解一些經驗談),主要是因為這不涉及到利益,這也是我對於核決權限的結論。