GRC: 高阶主管基本功

资讯安全是一门透过安全管制措施(security controls), 保护资讯资产免於受到危害, 以达到CIA的目标, 进而支持组织的业务流程(帮公司作生意)、创造价值(赚钱)，以及实现组织的使命与愿景的学问. (我的书第二章)

风险是影响目标达成的不确定因素. 为达成资安(CIA)、业务(生意不中断)及组织(创造价值)的目标(三阶), 必须对风险进行管理. 管理是达成目标的一套有系统的方法 (如PDCA)。风险管理的目标, 是将风险控制到经营高层可以接受的程度。风险管理的程序为风险评监(识别/分析/评估)及风险处置/回应. (我的书第三章及第五章)

治理是经营高层(董事会及高阶主管)的管理作为。治理的目标是创造价值以实现组织的使命与愿景。策略(strategy)是达成目标的高阶(概念上)计昼(plan)或方法(approach); 也有人称策略为战略计画(strategic plan)。资安长(CISO)必须拟定资安策略及发布政策(policy)来指示与推动计昼(program)的执行。一个计昼(program)包含一或多个专案(project). 专案的一次性(有开始/有结束)投资, 其成果会转为日常维运(operations)的持续收入。计昼(program)的执行, 就是策略的执行。(我的书第三章及第四章)

为达成治理的目标(创造价值), 必须进行组织层级的风险管理(一般称为ERM, Enterprise Risk Management). 经营高层可能未善尽due diligence而导致违法, 因此法律被视为组织的风险之一。组织的政策必须适时反应法律的要求; 因此遵守公司政策通常不会违法。若公司政策违法，应先提醒公司修订政策。法律风险通常被独立到符合性(compliance)议题探讨.

本CISSP课程探讨的符合性范围更广, 不限於台湾人常说的法律遵循(法遵)或合规性, 它包含法律, 监管要求, 业界标准, 合约要求, 尽职调查, 道德规范等.

以上有关治理、风险及符合性的议题被整合成一门独立的GRC的学问, 是高阶主管应该具备的基本功. (我的书第三章有介绍)

The Effective CISSP系列书籍 – 台湾订购专页