分類
Cissp-WentzWu

治理

治理就是管理, 它只是強調經營高層(董事會及高階主管)的管理作為. 皇帝只會用”朕”, 不會用”我”這個字. 只要是高階主管的管理作為, 就可以說是治理.

如果你是CISO, 那就可以說是在治理資安. 但本質就是在管理資安而已.

CISSP只是一個資格, 要知道治理的意義. 但不是取得CISSP就會當上CISO或成為經營高層的一員. 所以CISSP可能懂治理是什麼, 但可能沒有實權去治理資安.

經營高層如何治理資安?

1. 想東想西: 戰略管理

2. 出一張嘴: 政策指示

治理的目標就是創造價值, 實現組織的使命與願景. 白話文就是: 作生意賺錢, 永續經營, 善盡社會責任.

然後, 經營高層就要晝大餅(願景), 想辦法(戰略)帶大家(領導)往目標邁進, 以實現願景.

簡單說, 經營高層要把公司管好(治理好), 才能賺錢, 實現使命與願景.

經營高層如何管好(治理好)公司? 要有一套辦法(戰略), 要叫人家去作(政策)

這些都是同一回事, 也是很簡單的道理. 只是簡單的東西被複雜化而已.

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。