今天的小故事

之前聽某客戶對管理顧問的揶揄之言：你們這些顧問小朋友，沒管過公司還要來教老闆治理公司?
某管理顧問：誰叫你要花錢請小朋友來教你管公司?
(以上內容純屬虛構，如有雷同純屬巧合)

資訊技術及安全放兩邊，業務目標擺中間

上一篇的文章：Day5 流程，由組織共識及業務目標展開的資安治理流程,有提及OGSM方法及各資安治理的流程(NIST CSF, ISO27014:2013, ISACA COBIT 5)，而主流的 資安治理的共識為：向企業治理的策略及目標 對齊 ，因此在實戰經驗中，常見的謬誤為 挾資安的大義，以令全組織 。

下面再次借用Day5 文章中的圖，以資安治理的 ISO27014:2013 的流程，再次複習一次

應該是由 公司治理為主延伸至資訊安全治理及資訊技術治理。

從搞懂(誰)治(誰)的理開始

老闆的 目的(O)及目標(G) = 公司政策／治理原則／業務目標
老闆擬定的 策略(S)及衡量(M)指標 = 資源管理(人力／成本／時間等)
最終，老闆的業務目標及資源分配 會影響 資安治理層的 目的(O)及目標(G)

思考組織業務的優先度

要思考「業務」的優先度為何?

• 合規／風管為優先業務：金融業、政府、非特定公務機關等
• 營運效能為優先業務：製造業等

業務優先度 影響分配的 資源(成本／人力) ，進而影響 老闆的支持!!

因此!!常說「沒錢管理解(人工paper work)，有錢技術解(系統)」
paper work是一種解決方案，因為你沒錢!! 不因為愛搞paper work (迷之聲)

最後，
老闆的意圖(目的／目標)決定組織政策方向及業務目標
造成老闆擬定資源管理(成本／人力)的分配，影響其他OO長／XX長／部門首長的 目標及資源。

如果老闆的意圖都搞定：

1. 大力支持資安，比較好的業務驅動可以採用 SABSA安全框架，利用6X6的SABSA矩陣逐步分析 。
2. 請資安全力支持業務發展，營收要緊，請好好 執行各業務事業單位的需求訪談，業務事業單位是你的使用者(金主)。