上市上櫃公司有公司法、證交法、營業秘密法、誠信經營…等依照產業別還有針對產業規範的特別法更是要留意。
公務機關或特定所屬非公務機關有國家秘密法、公務人員服務法…等由上到下的法令及行政解釋函、以及資通安全管理法及子法。
總之,規模愈大愈是需要提昇本體格局。
格局是什麼呢?
以大多數人生活中可能有接觸過的建築物與用途舉例
範例 | 建築物 | 用途 | 功能 | 權責單位 | 使用者
------------- | -------------
1 | 銀行保管箱 | 保管重要物品 | 專人管理且保密存放服務 | 有錢銀行 | 社畜、活老百姓
2 | 臥房 | 休息 | 睡眠 | 家庭成員蒐共享,但父母親大人們有最高裁決權 | 廢宅
3 | 廁所 | 排除身上過多的液體或其它東東 | 解決生理需求 | 家庭成員或組織總務 | 廢宅
如果我們把建築物的用途/功能調換,情境變成在銀行保管箱睡覺、在臥房上廁所、在廁所放重要物品,會有什麼結果?
有發現嗎?安全是一連串的條件堆疊累積信任值
廁所門能夠遮羞就行了
臥房門能夠暫時隔離房間內外部就行了
銀行保險箱就會被要求是銅牆鐵壁可以保障使用者儲存設備安全,也是選項中安全級別最高的選項。
建立一定的概念後,緊接著該開始說說資安治理實務與績效評估方法嘍^^
資安治理是高階主管落實公司治理的所有做為成果總合,績效評估是為了瞭解資源使用現況以及成本管理。ISO/CNS 9.績效評估
資安治理共分為4個層面,分別是:
1.戰略:目標、方向
2.戰術:達成目標的細節、方向執行的程序與相關細節
3.管理:定義權責單位職責與工作內容
4.法遵:不做違法的事
績效評估要達到的幾個功能,分別是:
監督:專責監察各項數據並督促相關人員或程序合規
量測:比對標準與現況之間的差異,全程以正規化格式紀錄成果並留存備查
分析:找出問題的根本原因(墨菲定律:任何可能出錯的事情都會出錯),從快速的解決問題(治標不治本),進化到準確而完整地解決問題(治標也治本)。
評估:每一次資安事件的產生、發現、處理…,都是重新檢視現有程序的契機,
透過 PDCA 循環達到持續改善
.
.
.
.
.
.
(未完待續)
資料來源:生活中或網路上發現的業界先進、老師
新創PM一定要學會的技能!專案管理PDCA筆記
墨菲定律是真的,任何事都可能出錯!他在微軟工作兩年悟出這5件事