此篇來說明一下,何謂CISSP中的安全功能還有治理以及管理,一間公司中必須要具有安全功能,安全功能就是虛擬的功能單位(也可以是實體),要有專職專責的資安人員,負責處理資安相關事務,部門會拆掉不見、但事情有人要做。該功能最大的負責人就是資安長也叫做CISO,CISSP中有提到CISO要報告的對像。
-
CEO 執行長
-
COO 營運長:最了解公司營運
-
CIO 資訊長: 缺點利益衝突,優點好溝通
-
CFO : 優點有經費, 缺點不懂技術
-
稽核委員會:會影響獨立性
了解了安全功能之後,接著要知道何謂治理與管理。 治理:是經營高層的管理作為 以下是簡潔版本
- 要目標
- 要戰略:對齊組織的目標,達標的計畫
- 控制風險(如符合性風險)
- 創造價值達到使命與願景
以下是複雜版本
治理通常涵蓋以下幾個方面:
-
組織目標和戰略:治理需要確定組織的目標和戰略,以確保組織的發展符合其使命和價值觀。
-
組織結構和權限:治理需要確定組織的結構和權限,以確保信息和決策的流通、責任的明確和合理的授權。
-
管理流程和程序:治理需要確定管理流程和程序,以確保資源的有效配置和風險的管理。
-
政策和規程:治理需要制定和實施相關政策和規程,以確保行為的一致性和遵循。
-
監督和評估:治理需要確定有效的監督和評估機制,以確保組織的行為符合標準和期望。
-
透明度和責任:治理需要確定透明度和責任機制,以確保組織的行為對外透明和對內負責。
總之,治理是指組織如何制定和實施決策和管理措施,以實現其目標和使命,確保其行為符合道德、法律和社會期望。
管理:是達到目標的一套方法
- 兩者都是有目標(Goal)
- 要有戰略,有戰略管理
- 管理風險,有風險管理
達標三輪車:戰略管理,風險管理,解決問題解決問題 定義問題 處理問題 先緩解(停損) work around 找根因,提出解決方案 建立制度(解決通用問題)戰略:達成目標的一套高階方法政策(Policy): 高階的管理意圖
- 戰略的組成: Portfolio (投資組合, 看ROI報酬), Program(計畫)及Projects(時間、範圍、產出)
- 戰略的形成(Strategy Developmemt): 發展出來,無中生有出來。從現在走向未來, 了解差距, 設定路線(Gap分析)(里程碑, 評估/business case與立案/project charter), 投入資源, 及了解限制
- 戰略的執行: 做。下達政策指示(policy), 制定標準與程序, 提供指引(guideline), 專案管理, 績效評估
以下是一些績效評估的方法:
-
KPI(關鍵績效指標):通過制定關鍵績效指標,評估組織的關鍵目標和業務流程,以確保組織的績效符合預期。
-
OKR(目標和關鍵結果):通過制定目標和關鍵結果,評估組織的業務流程和人員績效,以確保組織達到目標和預期結果。
-
360度評估:通過從不同方面評估個人或團隊的表現,包括自我評估、上級評估、同事評估、下屬評估等,以綜合評估績效。
-
BALANCED SCORECARD(平衡計分卡):通過平衡計分卡,評估組織在不同方面的表現,包括財務、客戶、內部流程和學習和成長等方面。
-
SWOT 分析:通過 SWOT 分析(優勢、劣勢、機會、威脅),評估組織的內部優勢和劣勢以及外部機會和威脅,以制定相應的績效改進計劃。
-
PDCA(計劃、執行、檢查、行動):通過 PDCA 循環,評估組織的計劃執行和績效改進情況,以確保績效不斷提升。