以ISO 27001:2022 4.2為基礎，應用非暴力溝通於資訊安全管理

在資訊安全管理（ISMS）中，組織不僅需要技術與法規的支持，更需有效的溝通來理解並滿足關注方的需求（ISO, 2022）。然而，企業在回應關注方時，常見的溝通方式可能帶有批評、指責或防衛心態，這類「暴力式溝通」可能導致誤解，甚至影響企業對資訊安全的落實。

馬歇爾·盧森堡博士（Rosenberg, 2015）所提出的「非暴力溝通」（Nonviolent Communication, NVC）強調以理解、同理與合作來促進對話，這種溝通方式不僅適用於個人關係，也能幫助組織在面對資訊安全挑戰時，更有系統地回應關注方的需求。

清晰識別關注方需求與回應

ISO 27001:2022 4.2條款要求企業識別資訊安全管理系統（ISMS）相關的關注方、其需求及如何因應（ISO, 2022）。但如果組織無法以清晰、開放且無對抗的方式溝通這些需求，資訊安全策略將難以有效執行。

根據Rosenberg（2015）的非暴力溝通理論，組織可透過四個步驟來強化對關注方需求的理解與回應：

• 觀察（Observation）：客觀識別關注方的需求，而非以偏見或既有認知進行判斷。例如，在與監管機構互動時，組織應專注於法規要求的具體內容，而非僅將其視為干擾。
• 感受（Feeling）：理解關注方對資訊安全的擔憂，如供應商可能擔心數據分享的風險，或客戶可能對隱私保護感到焦慮。
• 需求（Needs）：識別關注方的核心需求，如數據透明度、系統穩定性與合規性。
• 請求（Request）：透過合作與協商，提出具體可行的解決方案，如調整安全政策或提供更多資訊透明度。

非暴力溝通如何提升資訊安全策略的執行力

許多企業在推動資訊安全政策時，常採取「自上而下」的強制性做法，這類權威式管理容易引發內部抵抗，甚至導致合規性降低，透過非暴力溝通，組織能夠更有效地促進內外部資訊安全對話，例如：

• 內部管理：資訊安全團隊可透過NVC技巧與員工對話，解釋政策的必要性，而非單向強制執行。
• 供應鏈協作：企業可採用「共享權力」的方式，與供應商共同制定符合雙方需求的資訊安全策略。
• 客戶關係：透過清晰、無對抗性的溝通方式，提升客戶對企業資訊安全措施的信任度。

溝通心理學觀點：清晰溝通與信任的建立

溝通心理學研究指出，當組織能夠採取透明、尊重與合作的溝通方式，將有助於建立長期信任關係。這對資訊安全管理至關重要，因為關注方的信任度直接影響組織的風險管理與合規性。

資訊管理觀點：動態需求管理

資訊管理學研究也強調「動態能力」（dynamic capabilities）對企業長期競爭優勢的影響。資訊安全管理應不斷適應變化，而非僅依賴靜態政策。透過NVC，組織能夠建立動態的資訊安全溝通機制，確保政策能夠回應不同關注方的需求。

ISO 27001:2022 4.2 強調關注方需求的識別與管理，而NVC則提供了一種更具包容性、清晰且有效的溝通框架。兩者結合後，得出以下策略性建議：

1. 運用NVC技巧來識別與回應關注方需求：以開放、無對抗的方式溝通資訊安全政策。
2. 透過NVC提升內外部資訊安全協作：在內部培訓、供應鏈管理與客戶關係中運用NVC原則。
3. 建立動態的資訊安全溝通機制：確保資訊安全政策能夠靈活回應關注方的變化需求。

透過這些策略，企業不僅能夠提升資訊安全管理的有效性，還能夠在數位時代建立更具信任感的組織文化。

參考文獻（APA 7th）

• ISO. (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization.
• Rosenberg, M. B. (2015). Nonviolent communication: A language of life. PuddleDancer Press.