iT邦幫忙

2021 iThome 鐵人賽

DAY 1
1
自我挑戰組

初生之犢的資訊安全治理、管理及如何落實執行?系列 第 2

[Day 2]- 企業環境因素&組織過程資產

  • 分享至 

  • xImage
  •  

在組織經營過程,除了組織能將本身資源/資產運用得當,持續產出商品/提供服務以創造價值(營收),在經營過程當中,難免會遇到如政府機關/立法機關,或因市場機制-如客戶端/銷售市場所要求遵循的法律,合約及在標案當中,需有持有的標準認證或人員需具備專業證照等,才有資格可投標等等各種情況。

在上述這情況,組織該如何應變呢?我先就我本身所遇到的實際案例及實際我的作法來做一分享:

前言:
因客戶組織本身執行“供應商管理計畫“,而組織在該客戶為最大客戶的要求之下,怎麼向客戶提出證明,自己有做好供應商所被要求項目的證明(*要求很多項,如:供應持續不間斷等等,但我們先針對資訊安全之要求來看,先不談其他項目)。

因應步驟:
1.組織先將該客戶於組織-作業流程當中,會關聯到的部分,先盤點出來,列成清單。
2.把各自流程相關的部門,人員找出來開會.確認要達到的目標是什麼?客戶實際的要求是什麼?做到哪些指標,對客戶來說就是達標?
3.討論有哪些流程,操作的人員會接觸到客戶所要求做好資訊安全保護的資料及資訊系統有哪些?
4.這些資料,能不能做擬名化或匿名化?
5.做了之後,會不會無法識別,而造成作業上無法判斷或分別等情況?
6.若無法判斷,有沒有其他方法可以因應?作業上有沒有不需改變太大的方式可以達到客戶的要求?
7.因應該修正,有無需要修正的作業步驟?哪些部門,人員會受影響?
8.因應該修正,有無需要修正的資訊系統?需要多少費用?需要多少時間修改?
9.因應該修正,有多少時間可以讓組織來應變?
10.因應該修正,有多少人員,作業流程需重新訓練?多久可上手?

實際執行:
1.將上述步驟及任務,分派給各部門,指定統籌的負責人
2.由負責人,把現況跟客戶的要求,將其比較,做出差異在哪?哪邊需改進?如何改進?等等的初步規劃出來。
3.將所有規劃收集起來,評估整個修正需要花費多少時間,成本,先後順序。
4.與客戶端協調,組織能不能做到?或是需要多少時間準備及因應該要求,組織本身的製造,固定成本等增加了多少?有無機會可以增加報價?來反應成本增加的情況。
5.若客戶不答應漲價,這所增加的成本,該如何分擔到其他地方?或是增加哪邊的利潤?
6.實際客戶會不會要求更短時間,更大範圍及更高的標準?

這在因應步驟及實際執行之間,很多項目跟細節,都需要持續與客戶端進行溝通。
也需考量在現有資訊系統架構上,能不能承擔?以及能不能做到?


上一篇
[Day 1]-前言
下一篇
[Day-3]評估-可行性
系列文
初生之犢的資訊安全治理、管理及如何落實執行?3
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言