勇敢面對資安挑戰:從『被討厭的勇氣』看 ISO 27001:2022
更新於 發佈於 閱讀時間約 3 分鐘
在一間台灣的 3C 公司,資安負責人小林正面臨著來自不同部門的壓力——行銷部門希望降低密碼變更頻率,工程部門不願接受額外的存取權限審查,財務部則擔心資料加密會影響工作效率。小林想起最近讀的一本書—《被討厭的勇氣》。這本書提到:「所謂的自由,就是被別人討厭。」這句話讓他重新思考:資安人員在落實 ISO 27001:2022 4.2「瞭解關注方之需要及期望」 條文時,是否也需要一點「被討厭的勇氣」?
企業資安:不可能討好所有人
ISO 27001:2022 4.2 條文強調,組織應確定 (a) 關注各方、(b) 其相關要求 以及 (c) 哪些要求須透過資訊安全管理系統因應。在 3C 公司的案例中,小林必須面對的「關注方」包括:
- 行銷部門(希望資安政策更彈性)
- 工程部門(擔心額外的安全檢查影響開發速度)
- 財務部門(擔憂新資安措施影響數據存取便利性)
- 法規監管機構(要求符合個資法與 ISO 27001)
然而,不可能所有人的需求都能滿足,這時候資安人員就需要展現阿德勒所說的「課題分離」—— 區分哪些是自己的責任,哪些是別人的問題。資訊安全的核心不是迎合每一個部門的需求,而是建立符合組織長遠發展的資安管理機制。
從心理學角度看資安溝通:如何讓人接受「不受歡迎的決策」?
溝通心理學研究指出,人們接受改變的過程通常包含五個階段:
- 前省思階段(Precontemplation):否認資安問題的存在。
- 省思階段(Contemplation):開始認識資安需求,但仍有疑慮。
- 準備階段(Preparation):願意嘗試變革,但需要具體指引。
- 行動階段(Action):開始實施資安措施。
- 維持階段(Maintenance):習慣並內化新的資安規範。
小林意識到,他的角色不只是資安政策的執行者,更是推動組織變革的「影響力者」(Influencer)。他決定透過 動機心理學 提出的「內在動機提升策略」來降低阻力:
- 自主感(Autonomy):讓各部門參與資安規則的制定,而非單向命令。
- 勝任感(Competence):提供資安培訓,確保員工具備執行資安政策的能力。
- 關聯感(Relatedness):強調資安政策如何保護全體員工的利益,而非只是 IT 部門的責任。
讓 ISO 27001 變成企業文化的一部分
最終,小林說服了公司高層,將資訊安全納入企業治理框架,讓資安政策不再只是 IT 部門的負擔,而是整個組織的共同責任。他學到了 資安人員不應該害怕被討厭,而應該堅守原則、勇敢溝通。因為當企業真正理解「資訊安全不只是風險管理,而是競爭優勢」時,ISO 27001 就不再是一套強制規範,而是一種讓企業更安全、更有競爭力的文化。
留言0
查看全部
你可能也想看
Google News 追蹤
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。
在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。
而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。
過往IT審計可能
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。
在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。
而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。
過往IT審計可能