背景說明
為什麼會想要寫這個主題的原因是，筆者在7/8 上場考 CISSP 後失利了，那就是休息一陣子後再繼續準備考試。 目前打算利用三十篇的文章寫點相關雜記及雜談。

CISSP 的證照考是在考啥? 就是資訊管理類的考試，絕對不是技術類的考試，其他有興趣的讀者就自行去各大線上搜尋引擎查找後就會得到更詳盡的資訊。

考試前要先設定目標，沒有明確的目標就沒有動力，這樣一切都白搭，所以筆者早早就去ISC2的網站設定考試日期及刷卡登記考試。

第一次: 7/8 (滑鐵盧，下次再戰)

再戰: 10/13
OS: 聽說10/31前如果考沒過，可以跟ISC2 申請敗部復活的免費重考機會，原定11/28 要申請考試乾脆就直接提前了

---------- 正文開始 -------------

要達成目標的方式 必須存在以下三個要素

• 風險管理
• 戰略管理
• 解決方案

1. 風險管理: 為什麼要做這個？　因為風險是達成目標的不確定因素．跟玩大富翁一樣，每每翻牌時到底是得到機會還是命運。應該只有天知道，所以必須把風險管理到經營高層可以被接受的程度才行。

那，風險要怎麼管理呢? 方法是先 做 風險評鑑 再做 風險處置

風險評鑑

1. 要先找出風險在哪裡，找出來後寫到一張記錄表中，那張表通常被稱為風險登入表

2. 識別出風險後就要去做風險的分析，分析的目的就是要分解跟深入了解，需要去分析風險的不確定性跟影響因子有哪些，通常這被稱為暴險 (Risk explosure)

   • 怎麼做?
     • 用量化的方式表達: 常用的是期望值法
     • 靠經驗法則: 通常是靠直覺或過往的經驗，或者是使用專業的法則 例如: 德爾菲法（Delphi method）

3. 先找出來後也做了分析，接下來就要做風險的評估。必須確定這個風險是否要被處置。

   • 處置: 要再分輕重緩急(優先順序)
   • 不用處置: 還是要記錄在風險登錄表中，因為風險永遠都會存在，不可能完全沒有風險

風險處置

做法由於各家不同，就把常用的列表在下面

• PMI 應對壞的風險 (威脅) 的處理方式

  • Avoid (避免)
  • Transfer (轉移)
  • Mitigate (緩解)
  • Accept (接受)

• ISO 27005 威脅處理方式

  • Avoidance (避免)
  • Share (共享)
  • Modification (修正)
  • Retention (保留)

[無腦應用] 為了要考證照，找個可以吃喝拉撒睡的安全環境閉關，跟利害關係人說明，這兩三個月就當我去流浪了，不要來找我 ....

那常見的風險又有哪些呢?

• 殘餘風險:
  • 就是當風險處置後還遺留下來的風險
• 固有風險:
  • 不考慮實施任何風險控制措施的前提下，由內部環境或其他客觀因素導致的重大錯誤而稱之。
• 併連風險:
  • 風險發生後所帶來的其他風險 例如: 颱風襲台後的風雨帶來大量的土石流
• 二級項目風險:
  • 實施風險處置措施時，直接出現的風險
• 符合性風險:
  • 通常泛指跟法律合規有關的風險

[十萬個為什麼??] 那剩餘風險跟二級項目風險有什麼差別?

參考資料: 二級項目/剩餘風險比較

[十萬個為什麼??] 請問符合性風險有分個人跟企業組織嗎?

有的，簡單分類原則如下

2. 戰略管理,這是啥? 戰略通常是指經營高層的管理意圖, 那為啥要用在這？　要去考試，除了設定目標之外，一定要有很多不同的計劃跟達成的里程碑．

舉例:
要打仗前就會有戰略的組成跟戰術執行

戰略的組成及發展：　
（１）　分析對方及自己的戰力差別，及如何做才能達到更好的效益，就是指ＲＯＩ ,但需要滾動式修正
（２）　分析後就要開始設計很多計畫來達成各種里程碑
（３）　評估設計出來的計畫是否符合成本效益，如果符合就可以成為可執行的戰術

[現代人觀點] 出現想法後要如何變現成可執行的戰術呢?

1. 當有想法出現時，需要說明自己為什麼會有這樣的想法及優缺特點
2. 進行成本效益分析，看看這個想法是否可以取得最大化的成本效益
3. 得捯上頭的同意後就形成 業務案例，business case
4. 專案開始時就必須先有業務案例，專案章程(project charter) 才會開始做後續的行為

戰術的執行

戰略組成後必須要寫成可執行的戰術，讓下面的將官有一個依歸的方向，他們得到戰術後會繼續細分到如何做到更精準的打擊．例如：　火攻，要用多少火箭，如何射擊及安排多少射手．　這些都需要有標準步驟及特定程序才能正確被執行

[現代人觀點]
戰術 跟政策是一樣的，但有了戰術(政策)後，還需要有更多的依循方法才能讓下面的人更精準地去執行。 例如: 建立標準(標準操作流程SOP) , 執行的程序 (procedure) 及指南。

［無腦應用］　
假設是一人公司，
公司的願景：　考到ＣＩＳＳＰ　證照　　
使命：　設定很多可以達到願景的各種計劃及里程碑．　

那解決方案 又是啥呢? 就是達成目標的一套有系統的方法，就是控制好風險後把戰略及戰術做到位，這樣就可以達成目標，
　　
要做好那些計畫的最小元素 就是 PDCA 　

但 ...

什麼是ＰＤＣＡ？

西方人表示

圖片引用自 專案管理輕鬆學

日本人表示 錯了啦，應該是

• PLAN (計畫)
• DELAY (延遲)
• CANCEL (取消)
• APOLOGIZE (切腹道歉)
  

圖片引用自日式PDCA

台灣人這時表示 ....

是嗎? PDCA 應該是

• PLAN (計畫)
• DO (做)
• CANCEL (取消)
• AGAIN (再來一次)
  

圖片引用自here we go again

各位看倌，您的PDCA 是哪個版本呢?

有人去執行各種戰術，如果出現問題了就要有人負責才行，如同上面提及的各種詭異的PDCA情境一樣，下達的戰術跟執行出來的不同. 這時就要有人出來負責

通常角色有分以下幾種:

• 主將:
  • 制定戰術或交付任務的人，出事了要出來扛責任
• 將軍或被任命的小兵:
  • 負責完成任務的人
• 軍師:
  • 通常是事前可以做雙向溝通的人物
• 傳令兵:
  • 用來通知戰情資訊 (一次性)

[十萬個 WHY] 一一? 這不就是R&R嗎?

小結

CISSP 是一個(沒)有範圍的考試，有範圍指的是考試大綱加上無範圍的各種應用情境 ，筆者在這次失利後，有針對弱項的部分去做加強。 這三十篇可能就雜談及將自己理解後的知識整理在這吧!
PS: 跟往年一樣沒有存稿的習慣，一天一篇，沒有壓力。

希望感是達成目標的行動力 by Snyder,1995