圖片來源

今天這篇不是來教大家資安的, 而是談談身處於資訊服務業的PM, 嚴格說來是離不開"資訊安全"這個議題的, 只是通常在專案裡, 這是個隱性的需求, 都是列在"非功能性需求"的清單裡而容易被忽略, 但近期因為5G, 物聯網, 大數據...等等議題, 而讓資訊安全越來越顯得重要, 並且從Should Have變成了Must Have, 所以PM也只能開始從資訊安全的入門課程開始學習, 避免低估了專案中資訊安全所佔的黃金三角(範疇, 時程, 成本), 當然啦, 資安背後所代表的其實也是"風險管理"的意涵, 本來就屬於PM知識領域的範疇.

好在大集團有線上學習平台提供了五堂資訊安全的新手入門課, 包含了CIA資安概論, 風險方程式, 資安法規, 資安威脅, 智慧資安的AI應用...等等, 至少可以能先建立一些基礎知識, 加上公司代理了不少國內外的資安產品, 有時可以聽到技術原廠的一些講座, 就一點一滴補強對資安的了解, 雖然這樣的方式有些片片斷斷, 但因為我主責的領域不是資安專案, 但在很多智慧應用的規劃上, 資安的子分項已經是不可或缺的題材, 再加上許多政府科專案都已明確要求資安需要佔總經費5~7%的比例, 所以再次跨入新領域的學習也是趨勢之所在.

若是公部門的軟體標案, 若是Web Service則有"Web網站建置資安需求", 若是APP也有"行動應用APP安全開發指引"等相關規範需要符合並完成相關測試, 進而推行了所謂"安全軟體發展流程"(Security System Development Life Cycle - SSDLC）架構，將資訊系統安全思維嵌入系統發展生命週期各階段, 這些新的變革與執行方式, PM也都必須能有效掌握, 才能在專案執行中有所要求, 另外也能更精確地掌握專案時程的規劃, 最後節錄的是資訊安全概論最入門的筆記內容:

Cyber Security

1. Vulnerability Management (弱點管理)
2. Threat Management (威脅管理)
3. Information Risk Management (風險管理)

資安三原則C.I.A.

• "資訊"機敏性(Confidentiality)：不讓資料遭未經授權者存取
  避免非法的人看到資料
• "數據"完整性(Integrity)：資訊或系統維持正確性與完整性
  避免非法的人竄改資料
• "作業"可用性(Availability)：在需要時，隨時可透過系統取得資訊
  讓合法的人想用就可以用