Day11 建構資安指揮體系提及指揮體系,其中有說明最基本的框架如下圖:
運用於資安事件的應變組織,適用人選可能為如下圖:
如果組織既有ICS架構的應變體系,可以加資安事件應變加入其中,不需要另設組織
最小可行常見組織,如下圖
很多功能被合併,事件指揮官兼任發言人;執行秘書兼任安全官、聯絡官;執行&規劃合併;後勤&財務合併。
從經驗心得歸納可從三個原則性來思考:
可指揮性:1個人可以領導的人數,約略10人,再多就要往下分層。
可當責/負責性:(注意:當責 跟 負責 是不一樣的,請參考:Day2 架構,從ARCI矩陣窺探資安治理的真假)。
資源可分配性:針對事件的分類及所需的資源(人/物資/錢等)。
將組織團隊分為大腦 及 身體(組織規模大時,可能兼任第二大腦),如下圖:
再依據上述的原則,依規模進行分類,如下圖:
為了避免各指揮體系權責不分,老闆應該充分授權,分層授權,例外管理 (前面幾天的文章有說明,不贅述)
最後依據資源可分配性,將事件分級後,依據組織的框架,投入不同的資源,以有效運用資源,例如:輕微事件指揮官不用總經理,可由一線班長處理,又或者是集團型公司有台灣公司/美國公司/墨西哥公司/非洲公司,又要再拆分授權當地公司處理。參考下圖疫情指揮中心開設分級。
最後事件分級參考,請參考Day13 事件分級,從政府、上市櫃公司到外商談起
可以參考 程天縱老師的文章或書籍,如:郭董說先「定策略」最後才「建系統」,為什麼接班人要反過來做?
浮水印也太多了吧,害我一直仔細看,想看清楚到底是什麼。
搞半天才發現是無關的浮水印。
哈哈哈,浮水印代表自己認真自己做圖的印記。