组织计划为建立一个专责的资安部门（安全功能），最不重要的考虑是“安全和隐私安全控制选择”

-外部和内部分析
存在为客户服务的组织；他们的需要和要求很重要。组织在开始战略计划之前进行外部和内部分析或背景和组织分析。同时识别和分析利益相关者或利益相关方。
建立一个部门来负责安全功能是一种组织变革。法律和法规要求或客户的需求和要求这种情况并不少见。安全功能的位置、角色和职责可能与 IT 功能重叠。例如，防火墙、端点安全、安全运营中心和服务台可能会使用共享资源，模糊了安全运营和 IT 运营的界限。
安全和隐私安全控制的选择很重要，但它不像上面提到的其他因素那麽重要，因为可以在安全部门成立後考虑控制。此外，控制可以应用於各种级别，例如资讯系统级别、设施级别、业务流程级别或组织级别。控制是风险缓解策略的一部分。它们在风险评估後实施。因此，它更像是一个风险管理问题，而不是建立安全部门时的问题。

资料来源： Wentz Wu QOTD-20210719
My Blog: https://choson.lifenet.com.tw/