iT邦幫忙

2021 iThome 鐵人賽

0
Security

資訊安全制度建立與驗證系列 第 36

[Q&A] 06 風險評鑑報告生出來前的修修改改

資訊安全管理制度運行過程中,會對即有的企業或機構文化帶來一定的衝擊。

顧問有教過、學員有學過都是真的,但...學過的東西要能實際拿來用是有一段差距的。

認知涉及到每個人的學識與工作經驗,在專案合作的過程中有不同的意見可以更全面的檢視制度是否合宜,實務上進行風險評鑑作業也會常修修改改的,背後真正的原因同事之間的認知校正,的顯性特徵。

如果發生了下圖模擬情境,表示執行人員及主管已具備一定的風險評識意識,但認知不足以解決當下問題,建議方案如下:

熱血資安人版本:找顧問另約專案進度討論會議(請顧問出馬講解、釐清問題)會後每項行動壓上 Due Data ,請執行人主管協調部門資源,確保專案執行人可如期完成階段性目標。
佛系資安人版本:不檢討專案進度、不追專案必要文件、也不要求專案執行品質,時間到了自然就會取得 ISO 27001 國際認證。

https://ithelp.ithome.com.tw/upload/images/20211006/20107398QKPOGR4d4V.png


PS:

  1. 學的過程有多痛苦,刻在心裡的印記就有多鮮明。
  2. 學到的都是自已人生路上的墊腳石。

上一篇
[Q&A] 05 專案執行時內部討論的重要性
下一篇
[Q&A] 07 ISMS程序書是誰的功課?
系列文
資訊安全制度建立與驗證40

尚未有邦友留言

立即登入留言