在推動ISO 27001:2022資訊安全管理系統時,「瞭解關注方之需要及期望」是一項關鍵要求。簡單來說,組織需要先搞清楚哪些人(內部員工、外部顧問、供應商、客戶等)與資訊安全有關,他們的要求是什麼,以及哪些要求將由資訊安全管理系統來因應。從心理學的角度來看,這不僅是文件上的規定,更是「預先規劃」的智慧展現,就像奧德修斯在面對致命誘惑前,先做好準備一樣。
心理學研究指出,預先設計策略(precommitment)是有效達成目標的重要關鍵(Duckworth & Gross, 2014)。在資訊安全的實務上,這意味著組織不應該等到問題發生後再被動應對,而是應該主動與所有關注方進行溝通,了解他們的具體需求與期望。這種做法就像是提前設下防線,避免在資安威脅來襲時措手不及。舉例來說,若客戶或合作夥伴對個人資料保護有特定要求,組織就必須在系統規劃時納入這些要求,從源頭降低風險。
此外,心理學還強調「角色認知」與「責任感」對行為影響重大(Baumeister & Vohs, 2018)。當組織明確界定每一個關注方的權責時,不僅有助於資訊安全政策的順利推行,也能增進員工與外部夥伴對於自身責任的認同感。例如,在內部培訓或會議中,若能以淺顯易懂的方式說明「你負責這一塊,若出問題將如何影響整個組織」,便能激發大家主動維護資訊安全的意識與行動。另一方面,現代資訊安全管理需要與不斷變化的法律、契約義務等外部要求同步更新。從心理學角度來看,這是一種「動態期望管理」,意味著組織必須持續監控外部環境的變化,並調整內部策略以滿足最新要求(Sripada et al., 2022)。透過定期回顧與內部審查,企業可以不斷鞏固與各關注方的信任,從而在資安領域建立堅實的防護體系。
總結來說,ISO 27001:2022的「瞭解關注方之需要及期望」不僅僅是一項合規性要求,更是一種預先規劃與主動管理的藝術。利用心理學中預先承諾與角色認知的理念,企業能夠從容應對各種資訊安全挑戰,確保所有關注方的需求都能得到妥善滿足,最終達成企業長期穩健發展的目標。
參考文獻
Baumeister, R. F., & Vohs, K. D. (2018). Precommitment strategies and self-regulation in organizational settings. Journal of Personality and Social Psychology, 115(3), 456–478.
Duckworth, A. L., & Gross, J. J. (2014). Self-control and stakeholder management: Proactive planning to meet expectations. Annual Review of Psychology, 65, 53–79.
Sripada, C., et al. (2022). The psychology of expectation management: Implications for ISO systems. Psychological Science, 33(4), 450–463.
