資訊安全管理制度運行過程中,會對即有的企業或機構文化帶來一定的衝擊。
顧問有教過、學員有學過都是真的,但...學過的東西要能實際拿來用是有一段差距的。
認知涉及到每個人的學識與工作經驗,在專案合作的過程中有不同的意見可以更全面的檢視制度是否合宜,實務上進行風險評鑑作業也會常修修改改的,背後真正的原因是同事之間的認知校正,的顯性特徵。
如果發生了下圖模擬情境,表示執行人員及主管已具備一定的風險評識意識,但認知不足以解決當下問題,建議方案如下:
熱血資安人版本:找顧問另約專案進度討論會議(請顧問出馬講解、釐清問題)會後每項行動壓上 Due Data ,請執行人主管協調部門資源,確保專案執行人可如期完成階段性目標。
佛系資安人版本:不檢討專案進度、不追專案必要文件、也不要求專案執行品質,時間到了自然就會取得 ISO 27001 國際認證。
PS:
iThome鐵人賽
看影片追技術