說在前頭，高層允諾值千金

實話說在前頭，資安的千言萬語比不上高層的允諾與支持

從本系列第一篇 Day1 方向，資安治理的第一課，談到過資安治理的三種班級，各自的資安治理與管理狀況各有不同，因此將以這3個治理班級談起，如下圖。

從OGSM+A一頁企劃談資安治理的策略

(來源：商業週刊)

最早彙總OGSM方法的是從 《好企劃一頁剛剛好》 （The One Page Business Strategy）此一書，於2014年由曾任職於P&G公司，後來於荷蘭開設顧問公司的 馬克‧ 馮‧ 艾克（Marc van Eck） 及 艾倫‧林豪茲（Ellen Leenhouts） 出版，該書在美國亞馬遜網站獲得5顆星評價，並被美國聯合利華（Unilever）公司食品數位及行銷總裁（Chief Digital and Marketing）副總裁 康妮‧布萊斯（Conny　Braams） 稱譽： 「對任何想要看到策略產生結果的人，這是一本必讀的書。」
(參考來源：OGSM完勝其他管理工具？豐田、可口可樂都在用 - 工商時報 (ctee.com.tw))

「對任何想要看到策略產生結果的人」，OGSM一頁企劃很適合
OGSM是策略規劃及執行的管理工具；
是對齊上下組織認知的溝通工具；
更是一種邏輯嚴密的思維方式。

資安的方法很多，族繁不及備載；長官的承諾很少，資安有功無賞，打破要賠

資安方法先給：ISMS(ISO 27001),NIST CSF,NIST SP800-53,台灣資通安全管理法,台灣技術服務中心共通規範,SABSA企業安全架構.... 好多好多的參考資料

所以談資安方法前，先談長官的承諾，談長官的承諾太難，談如何透過一頁企劃OGSM+A提案說服長官，請長官給予承諾 (畫押核准留紀錄) ，再透過 成本／風險／數據，做一個好幕僚協助長官做出優質的決策，自然在高階治理會議上，也能支持資安。

OGSM+A一頁企劃的資安使用範例

看完後，有沒有發現，跟ISMS的目標設定表/有效性量測表，是不是有一點相似之處，不過我們改用商業邏輯常見的方法，盡量簡單易懂的向治理層(大老闆／老闆)溝通，透過一張紙，搭電梯的時間或5~10分鐘的時間，向老闆報告取得承諾與資源。

以資安治理3個班級的OGSM+A一頁企劃的資安使用範例

示意一下資安治理3個班級的OGSM+A，行動計劃的部分略過的比較多，預計是在明天 Day5 流程中說明。

取得高階長官允諾值千金，面對資安治理管理好優雅。
期望各位可能善用OGSM+A來提升自己向上向下向同儕的溝通力。

參考資料：
公司治理|風險管理|資訊安全 -友達光電

OGSM 目標導向
OGSM疑難雜症總整理》「一頁表格」推動變革，怎麼做才對？－敏敏校長的管理學｜商周 OGSM完勝其他管理工具？豐田、可口可樂都在用 - 工商時報 (ctee.com.tw)
OGSM：再复杂的战略计划，都能用一页纸说清楚
【精明工作】OGSM是什麼意思？OGSM管理輕鬆打造高效團隊
OGSM是什麼？一張表格、4個元素，讓團隊凝聚共識、敏捷調整行動|經理人 (managertoday.com.tw)
【OGSM 管理工具】跟著全球經理人，用1張紙簡單打造完勝團隊
什麼是OGSM？讓基層員工看到自己的價值，豐田、NASA都在用

有功無賞，打破要賠

後記： (通常是不正經的評論，請君一笑)
今天的主題說好寫不好寫，說難寫不難寫，資安方法論何其多，古人曰：書中自有顏如玉 ，書中自有黃金屋，所以筆者以為業績導向／業務導向，真的是硬道理，但要成為優雅的君子，應該是：君子愛財，取之有道，不義之財不可取。

身為一位專業的顧問，應該要秉持的道德準則憑道德及專業為做事情的依據，不應妥協／假造... 因為事情總有一天會爆 (防舞弊很重要)，當然我知道有些上梁不正，人在江湖飄哪有不挨刀，但是專業做事，是保護自己的最重要的工具。

舉例：

• 你是一名食品檢員，你發現有問題的食品要出場，課長要求你當作沒看見，這樣不行，你可以選擇不簽(我知道這很難)...;
• 當你是一名專業會計師，你發現公司作假帳，或是高層要求你這樣搞，你應該要秉持著專業做事，這樣是違法的，用專業拒絕(但我知道這很難)。

但我想跟各位資安的前輩及後學說，吃東西會死人會慢性自殺的,作假帳會詐騙投資人錢的，這種公司如果能不待就不待了... 往往要做資安的是「有功無賞，打破要賠。」，更可能要面對一群 「有功有賞，打破不必賠」的人，共勉之。