今天這篇不是來教大家資安的, 而是談談身處於資訊服務業的PM, 嚴格說來是離不開"資訊安全"這個議題的, 只是通常在專案裡, 這是個隱性的需求, 都是列在"非功能性需求"的清單裡而容易被忽略, 但近期因為5G, 物聯網, 大數據...等等議題, 而讓資訊安全越來越顯得重要, 並且從Should Have變成了Must Have, 所以PM也只能開始從資訊安全的入門課程開始學習, 避免低估了專案中資訊安全所佔的黃金三角(範疇, 時程, 成本), 當然啦, 資安背後所代表的其實也是"風險管理"的意涵, 本來就屬於PM知識領域的範疇.
好在大集團有線上學習平台提供了五堂資訊安全的新手入門課, 包含了CIA資安概論, 風險方程式, 資安法規, 資安威脅, 智慧資安的AI應用...等等, 至少可以能先建立一些基礎知識, 加上公司代理了不少國內外的資安產品, 有時可以聽到技術原廠的一些講座, 就一點一滴補強對資安的了解, 雖然這樣的方式有些片片斷斷, 但因為我主責的領域不是資安專案, 但在很多智慧應用的規劃上, 資安的子分項已經是不可或缺的題材, 再加上許多政府科專案都已明確要求資安需要佔總經費5~7%的比例, 所以再次跨入新領域的學習也是趨勢之所在.
若是公部門的軟體標案, 若是Web Service則有"Web網站建置資安需求", 若是APP也有"行動應用APP安全開發指引"等相關規範需要符合並完成相關測試, 進而推行了所謂"安全軟體發展流程"(Security System Development Life Cycle - SSDLC)架構,將資訊系統安全思維嵌入系統發展生命週期各階段, 這些新的變革與執行方式, PM也都必須能有效掌握, 才能在專案執行中有所要求, 另外也能更精確地掌握專案時程的規劃, 最後節錄的是資訊安全概論最入門的筆記內容:
Cyber Security
資安三原則C.I.A.