分類
CISSP

戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP:安全和風險管理》中有詳細信息。 政策(Policy)代表管理意圖。一旦制定或製定了戰略,就會發布策略來指導戰略的執行/實施。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160OPuoDlxjHb.jpg
-戰略水平

戰略(Strategy)
戰略是一個流行詞。每個人都使用它,但可能不會使用具有一致定義的它。一般而言,戰略是一項計劃(plan), 旨在實現源自組織使命和願景的長期(long-term)或總體(overall) 目標。可以由不同級別的經理在公司,業務或職能級別上進行開發。
. 計劃 實現長期或總體 目標 (ISO 9000:2015)
. 計劃 完成 組織的任務 並實現 組織的願景 (ISO 21001:2018)
. 組織的總體 發展計劃,描述了 在組織未來活動中有效使用 資源以支持組織的
事項注1:涉及設定 目標 和提出 行動計劃 (ISO / IEC / IEEE 24765:2017)
. 組織 實現其 目標的方法 (ISO 30400:2016)

戰略管理(Strategic Management)
戰略管理是公司治理的關鍵要素,包括三個階段:戰略制定/制定(戰略思維,內部和內部分析,差距分析),戰略實施/執行以及戰略評估。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ZEQC0oS4bP.jpg
-大衛的戰略管理流程模型
https://ithelp.ithome.com.tw/upload/images/20210521/20132160I7u9nZj971.jpg
-資訊安全治理

策略制定(Strategy Formulation)
戰略思維(STRATEGIC THINKING)
戰略制定通常始於對組織使命和願景進行戰略思考,從而塑造了組織的長期和整體性質。戰略目標是從使命和願景中得出的。戰略思維有助於定義所需的狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160lpHB3m1WXt.jpg
-戰略思維
https://ithelp.ithome.com.tw/upload/images/20210521/20132160eK2WcAldtQ.jpg
-目標,策略和風險
https://ithelp.ithome.com.tw/upload/images/20210521/20132160hPsPUpRX87.jpg
-目標與目的

外部和內部分析(EXTERNAL AND INTERNAL ANALYSIS)
通常進行外部和內部分析,以掃描宏觀和微觀環境和行業,尋找機遇和威脅,確定利益相關者,了解他們的需求和要求,確定約束條件和資源,等等。SWOT分析是用於內部和外部分析的最著名的工具之一。它有助於確定當前狀態,並可能有助於達到所需狀態。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160CQEIztPirp.jpg
-外部和內部分析

差異分析(GAP ANALYSIS)
確定期望狀態和當前狀態之間的間隙意味著已經確定了期望狀態和當前狀態。一旦發現差距,便會定義一個具有里程碑和舉措的路線圖,以從當前狀態過渡到所需狀態。策略可以表示為計劃的組合。商業案例根據成本和收益以及其他可行性維度評估一項計劃。如果業務案例獲得批准,則該計劃將變成一個項目。通過投資回報率評估的投資組合可以包含一個或多個程序或項目。
https://ithelp.ithome.com.tw/upload/images/20210521/20132160ou1oOREHJ7.png
-戰略發展
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pKAIiqMU1f.jpg
-戰略投資組合

戰略實施/執行(Strategy Implementation/Execution)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160nDMp8I9kPZ.jpg
-戰略,計劃,產品和項目 -專案生命週期(來源:PMBOK)

策略評估Strategy Evaluation (績效評估Performance Measurement)
https://ithelp.ithome.com.tw/upload/images/20210521/20132160pdNQUzrmWs.jpg
-平衡計分卡(BSC)

參考
什麼是“策略”?
戰略管理與戰略規劃過程
麥肯錫7-S框架
TOWS分析:綜合指南

資料來源: Wentz Wu QOTD-20210520

Wentz Wu:

建議的答案是A.
差距分析表示”未來狀態”及”現有狀態”的分析都已完成. 因此進行差距分析之前, 必須先進行戰略思考, 內外部環境分析, 才能釐清使命及願景, 以及確立戰略目標, 這就是未來狀態. 另外, 內部外部境境也是了解現有狀態, 了解環境的變化(如PEST), 了解產業的競爭, 了解組織內部(value chane或麥肯鍚的7S模型)等. 之後才會進行差距分析, 然後訂出由現在走向未來的路線圖.

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。