iT邦幫忙

2023 iThome 鐵人賽

DAY 3
0
Security

資通安全管理法入門系列 第 3

[Day3] 人員

  • 分享至 

  • xImage
  •  

雖然資安法管理的推動在民間企業或扁平化組織看來可能只需要老闆的命令,再指派一位負責人即可,通過驗證就滿足資安的要求,但在公務機關的官僚制度中,事情不僅僅是這樣簡單。

公務機關大概是精簡人事的典範,「一個蘿蔔一個坑」的官僚式架構,每個職缺都有明確的責任和職責。這樣的環境下,沒有人可以處理。好的員工一個人當兩個人用能者多勞,有缺額時,往往是遇缺不補。

面對如此的現實,要求公務機關再專門設置資安專職人員是很難的。然而,在「資安即為國安」的政策驅動下,至少必須約聘僱人員,來當資安專職人員,以確保資安管理事務得以進行。

但問題又來了,資安專職人員經常面臨上級的壓力。新進人員通常需要接手前任的計劃,而且又可能缺乏適當的培訓和指導。在這樣的情況下,常見的情形可能是...
長官心態:你都專職資安了還做不好,考績吃乙吧你
承辦人員:臣妾做不到啊......

資安的核心是不斷地進行PDCA(Plan-Do-Check-Act)循環。對新手來說,Plan是前承辦做的,Do卻要新人來做,這個循環可能會變得十分艱難導致離職又回到困難的開始。

所以,這裡想要強調的是:資安不只是技術問題,更是人員問題。

資安規範建議設置的人員包括:
資安長(由機關首長或副首長兼任):負責支持與提供資源
委員會(由機關各單位的一級長官組成):開管理審定會議,進行決策
工作圈(由機關各單位的二級主管組成):執行資安管理相關事宜。

這三層人員各有其責任和功能,但真正的問題是如何確保他們都有效地參與資安管理。

實務上以上長官他們都很忙,信發出去石沉大海
好的工作圈小組還會轉信指派人處理
不想理你的就直接說
吃屁

如果所在的機關不是很大,有可能自己處理資安工作,如盤點百人以內的資訊資產。但如果有大量其他業務和部門的機關,建議將工作圈小組的結構再加上指派一名資安窗口,單位二級主管的工作就是cc知悉,資安窗口才負責協助資安管理業務的執行。

資安窗口角色是本鐵人賽的乾貨之一,他們不是外部的聯絡人,而是機關內部處理所有資安相關事宜的窗口。不同於Google到的資安窗口角色,一般指的是計中或資訊中心的對外資安窗口,負責資安通報、聯繫等相關業務。

一開始就指派好某位做為內部資安窗口,因為如同上面所提到的PDCA,第一次永遠是最痛苦,頻繁更換資安窗口只會延續痛苦,而cc給單位二級主管就是當資安窗口離職時,至少還可以略懂交接要做什麼

最後,資安工作的原則是「No news is good news」。而且是一個額外的工作負擔。為確保資安工作的順利進行,對人員的選擇和管理是關鍵。

如果還沒有資安窗口的機關,不用看到最後一天可以請資安長快點下令各單位派一個出來~


上一篇
[Day 2] 範圍(Scope)
下一篇
[Day 4] 文件管理
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言