資訊安全是一門透過安全管制措施(security controls), 保護資訊資產免於受到危害, 以達到CIA的目標, 進而支持組織的業務流程(幫公司作生意)、創造價值(賺錢),以及實現組織的使命與願景的學問. (我的書第二章)
風險是影響目標達成的不確定因素. 為達成資安(CIA)、業務(生意不中斷)及組織(創造價值)的目標(三階), 必須對風險進行管理. 管理是達成目標的一套有系統的方法 (如PDCA)。風險管理的目標, 是將風險控制到經營高層可以接受的程度。風險管理的程序為風險評鑑(識別/分析/評估)及風險處置/回應. (我的書第三章及第五章)
治理是經營高層(董事會及高階主管)的管理作為。治理的目標是創造價值以實現組織的使命與願景。策略(strategy)是達成目標的高階(概念上)計晝(plan)或方法(approach); 也有人稱策略為戰略計畫(strategic plan)。資安長(CISO)必須擬定資安策略及發佈政策(policy)來指示與推動計晝(program)的執行。一個計晝(program)包含一或多個專案(project). 專案的一次性(有開始/有結束)投資, 其成果會轉為日常維運(operations)的持續收入。計晝(program)的執行, 就是策略的執行。(我的書第三章及第四章)
為達成治理的目標(創造價值), 必須進行組織層級的風險管理(一般稱為ERM, Enterprise Risk Management). 經營高層可能未善盡due diligence而導致違法, 因此法律被視為組織的風險之一。組織的政策必須適時反應法律的要求; 因此遵守公司政策通常不會違法。若公司政策違法,應先提醒公司修訂政策。法律風險通常被獨立到符合性(compliance)議題探討.
本CISSP課程探討的符合性範圍更廣, 不限於台灣人常說的法律遵循(法遵)或合規性, 它包含法律, 監管要求, 業界標準, 合約要求, 盡職調查, 道德規範等.
以上有關治理、風險及符合性的議題被整合成一門獨立的GRC的學問, 是高階主管應該具備的基本功. (我的書第三章有介紹)
The Effective CISSP系列書籍 – 台灣訂購專頁