四、 溝通
這段條文是大多數組織做得最不好的一段,普遍的想法是只要有溝通就好,卻忽略了溝通的項目及管道。如同第四章背景分析還有第六章風險分析,都需要溝通才能獲得正確的理解,藉以推行資訊安全管理系統。條文的要求很簡單,溝通什麼、何時溝通、和誰溝通、誰應溝通以及應實現哪種溝通過程。首先必須決定要溝通甚麼,列舉以下幾個項目供參考:
• 風險評鑑的執行
• 資訊安全目標的設定
• 資訊安全事件的檢討與矯正
• 組織之角色、職掌及授權的設計
• 資訊交換協議的型式
• 資訊安全管理系統的變更
• 法令法規、主管機關或監管機關之要求
• 外部團體(客戶、使用者等)的期望
設計溝通的方式及步驟如下:
(一) 確定溝通目標:確定本項溝通要達成何種目標,例如:針對資訊安全事件,應溝通所有當事人,確保當事人權益及損失降到最低,使受影響的當事人能夠接受組織處理的方式。
(二) 選擇溝通對象:確認要溝通的對象,例如:資訊交換協議的對象是與組織交換資訊的組織或人員。
(三) 設計溝通資訊:你想要對方了解何種資訊?對方需要何種資訊,以這些作為思考範圍,設計所需要溝通的資訊,例如:相關利害關係者需要了解資訊安全管理系統效能,則組織可以通過第三方認證以及呈報組織之資通安全管理相關資訊於公司年報中,讓相關利害關係者了解。
(四) 選擇溝通方式:溝通格式(電子、文件)、方法(郵件、通訊軟體)。
(五) 規劃雙向溝通:既然定義為溝通,就應該設計雙向機制,讓接受資訊的一方,可以回饋所接受的資訊,達成溝通的目標。
(六) 確定溝通時間範圍:決定本項溝通時間、週期、及範圍內所需的活動。
(七) 資源:評估執行溝通的所需資源,包含人力、預算、設備等。
(八) 實施計劃:依照前面所訂的溝通方式進行溝通。
(九) 監控結果並尋找改進的方法:將持續改善的精神融入溝通,確保整體運作效能達到要求。
範例如下