資訊安全管理制度運行過程中,會對即有的企業或機構文化帶來一定的衝擊。
顧問領進門,修行在個人,當主管的位子夠高、夠不尊敬顧問……累積下來的黑評夠厚也是會被紀錄下來的。
當顧問提供了範本、教學、也一次次的在會議前後空擋討論、調整……此時企業或機構不想努力了(不學、不作功課),可以選擇放棄國際資格認證,或者由顧問及稽核員審查在不考慮費用的前提下,不限次數的請外稽審查、矯正、再審查...直到通過為止。
如果發生了下圖模擬情境,表示執行人員及主管完全不在狀況內,企業或機構內部授權機制並沒有上達下效,建議方案如下:
熱血資安人版本:找顧問另約專案進度討論會議(請顧問出馬講解、釐清問題)會後每項行動壓上 Due Data ,請執行人主管協調部門資源,確保專案執行人可如期完成階段性目標。
佛系資安人版本:不檢討專案進度、不追專案必要文件、也不要求專案執行品質,時間到了自然就會取得 ISO 27001 國際認證。
PS: