今天的小故事

你的資安不是你的資安，還是一廂情願的拿資安當令箭，成為獨裁者的工具?! 資安無限大法師

參考及借用：安全與風險|KEYENCE

• 這是一隻獅子，他會咬人，有危害，有風險
• 防止獅子會咬人，避免危害，降低風險，所以要安裝鐵欄
• 資安無限大法師：對我打，公司全部都要裝鐵欄，會有獅子(資安)!!!
• 秘書：可是這裡沒有獅子，也根本很難發生~
• 資安無限大法師：對我打，不要問為什麼，人家就是這樣做....
  
  來源：電影<陣頭>

看個影片輕鬆一下

人有失心瘋，不要成為資安無限大法師

透過三個問題，反思是否資安失心瘋，成為資安無限大法師

• 第一個問題：做資安的目的是什麼?
• 第二個問題：要怎麼推動成功的資安制度及文化
• 第三個問題：資安風險管理的目的為何?

(ISO/CNS 31000:2021 風險管理－指導綱要) 說明：
本標準係供 透過管理風險、訂定決策、設定與達成目標及改進績效，
俾以 創造 與 保護組織價值 的人員使用。

風險的定義：對目標不確定性之效應 (對達成目標影響的因素)
風險通常以風險來源(3.4) 、潛在事件(3.5) 、其後果(3.6) 及其可能性(3.7)
表示。

用《ISO/IEC 指南 51》國際標準提供的定義表示：
什麼是風險？

風險的定義是「危害發生機率與危害嚴重性的組合。」
風險 = 危害嚴重性 × 危害發生機率

什麼是安全？

安全的定義是「免於難以承受的風險」。

試問：什麼是資訊安全?

2.33 資訊安全(information security)
保全資訊之機密性(2.12)、完整性(2.40)及可用性(2.9)。
備考： 此外，亦可能包含諸如真確性(2.8)、可歸責性、不可否認性(2.54)及可靠性(2.62)等其他性質。 ( ISO/CNS 27000:2016 )

可是有導入ISMS管理制度時，常常會進行風險評鑑， 常常大家的風險評鑑都是 落在可接受風險值 (意思代表安全了，因為免於難以承受的風險了) 真的是這樣嗎?

機器會故障，可以承受的風險，叫安全；不能承受叫不安全
根據《ISO/IEC 指南 51》，「安全」的定義為免於無法承受的風險。換句話說，將風險降低到可承受的等級，就能達到安全。

來源：安全與風險|KEYENCE

你的資安不是你的資安，確保 "創造" 與 "保護組織價值" 才是資安風險管理，也是資安治理的根源。

前面有提過：
ISO/CNS 31000:2021 風險管理－指導綱要 標準係供 透過管理風險、訂定決策、設定與達成目標及改進績效，
"創造" 與 "保護組織價值" 的 人員使用。

資安管理尤其是ISO 27001(ISMS)管理系統或其他採用 annex SL (即PDCA框架)的標準，包含但不限於ISO9001品管系統、ISO50001能源管理系統、BS10012 PIMS個資系統等，皆是基於 風險管理精神(指向ISO 31000) 且循PDCA持續精進的標準...

所以 真的理解 風險管理(係指ISO 31000的)嗎? 是一個值得令人反思的問題!!
成為一名老闆／公司其他部門同事中的 資安好教練，幫助組織 創造 & 保護組織價值，也就幫助組織達成目標

後記：

自從被同事曝光之後，在眾人的凶狠的監視下...

筆者究竟會如何發展呢?

既然你(對，就是電腦螢幕的你)誠心誠意地發問了，那我就大發慈悲地告訴你，為了防止世界被破壞，為了維護世界的和平，貫徹愛與真實的邪惡，我還是會繼續寫下去~~