iT邦幫忙

2022 iThome 鐵人賽

DAY 14
2
Security

可以狼狽,也可以優雅:從資安治理到資安應變的修養之道系列 第 14

Day14 團隊協作:不在其位,不謀其政,請老闆充分授權,分層處理

  • 分享至 

  • xImage
  •  

複習ICS組織說起

Day11 建構資安指揮體系提及指揮體系,其中有說明最基本的框架如下圖:
https://ithelp.ithome.com.tw/upload/images/20220914/20102269P5AS1ayD7T.png

運用於資安事件的應變組織,適用人選可能為如下圖:
https://ithelp.ithome.com.tw/upload/images/20220914/20102269EQRHlam2LG.png

如果組織既有ICS架構的應變體系,可以加資安事件應變加入其中,不需要另設組織

最小可行常見組織,如下圖
很多功能被合併,事件指揮官兼任發言人;執行秘書兼任安全官、聯絡官;執行&規劃合併;後勤&財務合併。
https://ithelp.ithome.com.tw/upload/images/20220914/2010226927C2UR27Jb.png


當規模由小變大時,指揮難度提升,老闆授權,分層負責,乃至當責很重要。

從經驗心得歸納可從三個原則性來思考:
可指揮性:1個人可以領導的人數,約略10人,再多就要往下分層。
可當責/負責性:(注意:當責 跟 負責 是不一樣的,請參考:Day2 架構,從ARCI矩陣窺探資安治理的真假)。
資源可分配性:針對事件的分類及所需的資源(人/物資/錢等)。

將組織團隊分為大腦 及 身體(組織規模大時,可能兼任第二大腦),如下圖:
https://ithelp.ithome.com.tw/upload/images/20220914/20102269UPDgsVAGES.png

再依據上述的原則,依規模進行分類,如下圖:
https://ithelp.ithome.com.tw/upload/images/20220914/20102269Uiwoy87K34.png

為了避免各指揮體系權責不分,老闆應該充分授權,分層授權,例外管理 (前面幾天的文章有說明,不贅述)

最後依據資源可分配性,將事件分級後,依據組織的框架,投入不同的資源,以有效運用資源,例如:輕微事件指揮官不用總經理,可由一線班長處理,又或者是集團型公司有台灣公司/美國公司/墨西哥公司/非洲公司,又要再拆分授權當地公司處理。參考下圖疫情指揮中心開設分級。
https://ithelp.ithome.com.tw/upload/images/20220914/201022696pV3N9kaEq.png

https://ithelp.ithome.com.tw/upload/images/20220914/20102269C8ka1tSo8J.png

最後事件分級參考,請參考Day13 事件分級,從政府、上市櫃公司到外商談起


最後組織架構的心法參考

可以參考 程天縱老師的文章或書籍,如:郭董說先「定策略」最後才「建系統」,為什麼接班人要反過來做?


上一篇
Day13 事件分級,從政府、上市櫃公司到外商談起
下一篇
Day15 演練,讓人優雅面對事件
系列文
可以狼狽,也可以優雅:從資安治理到資安應變的修養之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
小哈片刻
iT邦研究生 4 級 ‧ 2022-09-14 09:55:25

浮水印也太多了吧,害我一直仔細看,想看清楚到底是什麼。

搞半天才發現是無關的浮水印。

黑修斯 iT邦新手 4 級 ‧ 2022-09-14 15:49:38 檢舉

哈哈哈,浮水印代表自己認真自己做圖的印記。

我要留言

立即登入留言