资安治理实务与绩效评估方法

上市上柜公司有公司法、证交法、营业秘密法、诚信经营…等依照产业别还有针对产业规范的特别法更是要留意。
公务机关或特定所属非公务机关有国家秘密法、公务人员服务法…等由上到下的法令及行政解释函、以及资通安全管理法及子法。
总之，规模愈大愈是需要提昇本体格局。

格局是什麽呢?
以大多数人生活中可能有接触过的建筑物与用途举例

如果我们把建筑物的用途/功能调换，情境变成在银行保管箱睡觉、在卧房上厕所、在厕所放重要物品，会有什麽结果?

有发现吗?
安全是一连串的条件堆叠累积信任值
厕所门能够遮羞就行了
卧房门能够暂时隔离房间内外部就行了
银行保险箱就会被要求是铜墙铁壁可以保障使用者储存设备安全，也是选项中安全级别最高的选项。

建立一定的概念後，紧接着该开始说说资安治理实务与绩效评估方法喽^^

资安治理是高阶主管落实公司治理的所有做为成果总合，绩效评估是为了了解资源使用现况以及成本管理。ISO/CNS 9.绩效评估

资安治理共分为4个层面，分别是：
1.战略：目标、方向
2.战术：达成目标的细节、方向执行的程序与相关细节
3.管理：定义权责单位职责与工作内容
4.法遵：不做违法的事

绩效评估要达到的几个功能，分别是：
监督：专责监察各项数据并督促相关人员或程序合规
量测：比对标准与现况之间的差异，全程以正规化格式纪录成果并留存备查
分析：找出问题的根本原因(墨菲定律:任何可能出错的事情都会出错)，从快速的解决问题(治标不治本)，进化到准确而完整地解决问题(治标也治本)。
评估：每一次资安事件的产生、发现、处理…，都是重新检视现有程序的契机，

透过 PDCA 循环达到持续改善

.
.
.
.
.
.
(未完待续)

资料来源：生活中或网路上发现的业界先进、老师

新创PM一定要学会的技能！专案管理PDCA笔记
墨菲定律是真的，任何事都可能出错！他在微软工作两年悟出这5件事