Embedded Files
利害關係人地圖
利害關係人地圖
「利害關係人地圖(Stakeholder Map)」是企業組織進行專案過程常用的方法,其目的是盤點有利益關係的組織或個體,將這些組織和個體對專案關聯性做重要性分級,制定戰略會考量重大利益相關者的影響。
「利害關係人地圖(Stakeholder Map)」是企業組織進行專案過程常用的方法,其目的是盤點有利益關係的組織或個體,將這些組織和個體對專案關聯性做重要性分級,制定戰略會考量重大利益相關者的影響。
採用類似資料結構 Graph 概念的 Sociogram,節點就是利害關係人,節點的大小代表利害關係人影響強度,節點間的邊線就是兩兩關聯,邊線的粗細代表關聯強度,若邊線為箭頭代表影響方向。
採用同心圓結構的 Proximity Chart,利害關係人定錨在哪層圓軌就代表其涉入程度,譬如由內至外代表的可能是直接涉入、定期涉入、定期聯繫、偶爾聯繫等。也可以在同心圓畫一條界線區隔左右側利害關係人主要是支持或反對態度。
將利害關係人分置於上、下、左、右的 Forcefield Analysis,左右側利害關係人主要是支持或反對態度,上下側利害關係人是中性或不確定態度,這四個方向的利害關係人再加上不同粗細或數量的箭頭表示其影響力,以這些箭頭呈現專案進行中的推拉力道。
也可以整理出一系列利害關係人的 Persona Cards,記錄其個性、興趣、行為、動機和偏好等訊息,更多細節有助於與利害關係人進行溝通。
最常見的則是將利害關係人分布在四個象限的矩陣,橫軸是影響程度高低、縱軸是感興趣程度高低。
來自Mike Clayton 文章的部分截圖
前述的最後一種利害關係人地圖是最容易理解、也是最常見的,甚至有一些線上工具如 Lucidspark[7]就提供利害關係人地圖模板,專案成員可以共同編輯將所有潛在利害關係人標示上去,根據他們的影響力或感興趣程度加入某個象限,並加上標籤標示應如何與各利害關係人進行互動。
前述的最後一種利害關係人地圖是最容易理解、也是最常見的,甚至有一些線上工具如 Lucidspark[7]就提供利害關係人地圖模板,專案成員可以共同編輯將所有潛在利害關係人標示上去,根據他們的影響力或感興趣程度加入某個象限,並加上標籤標示應如何與各利害關係人進行互動。
將利害關係人以四象限分類呈現的矩陣,在矩陣中 Y 軸是影響程度(Influence)、X 軸是感興趣程度(Interested),四個象限裡分別為:
將利害關係人以四象限分類呈現的矩陣,在矩陣中 Y 軸是影響程度(Influence)、X 軸是感興趣程度(Interested),四個象限裡分別為:
右上角是最徹底的管理(Manage Most Thoroughly),這些利害關係人為高權力、高興趣。必須讓這些人充分參與,並盡最大努力讓他們滿意。
左上角是隨時了解情況(Keep Completely Informed),這些利害關係人權力較大,但是興趣度較低。應當在這些人身上投入適當的精力來保證他們滿意,但要避免過多的資訊讓他們感到厭煩。
右下角是預測並保持需求(Anticipate and Meet Needs),這些利害關係人雖影響力小,但有著高度興趣。應當將相關資訊充分告知這些人,並與他們保持聯繫。
左下角是定期性的最小接觸(Regular Minimal Contact),這些利害關係人的影響力小,也不怎麼感興趣,只需要保持一些關注,過度溝通會讓他們感到厭煩。
以教育體系來說,會有來自行政院、教育部、數位部、教育機構資安驗證中心發出的相關函文,而發生資安事件時就會受到教育部資科司、臺灣學術網路危機處理中心特別關注,所以這些單位都應該納入利害關係人,而且依據影響力及感興趣程度分類如左。而且,有些利害關係人如廠商業者應再逐一詳列,並記錄窗口聯繫方式,以備發生資安事件時進行聯繫。
以教育體系來說,會有來自行政院、教育部、數位部、教育機構資安驗證中心發出的相關函文,而發生資安事件時就會受到教育部資科司、臺灣學術網路危機處理中心特別關注,所以這些單位都應該納入利害關係人,而且依據影響力及感興趣程度分類如左。而且,有些利害關係人如廠商業者應再逐一詳列,並記錄窗口聯繫方式,以備發生資安事件時進行聯繫。
若將上述表格資料套用到 Flourish[12]的 Quadrant chart 模板,就能自動產生利害關係人地圖(此圖表開放 duplicate and edit),而且這個圖表可以隨時依資料欄位更新,也有網頁版可對外界公開,有助於讓全機關人員了解並提醒落實與利害關係人的溝通。
若將上述表格資料套用到 Flourish[12]的 Quadrant chart 模板,就能自動產生利害關係人地圖(此圖表開放 duplicate and edit),而且這個圖表可以隨時依資料欄位更新,也有網頁版可對外界公開,有助於讓全機關人員了解並提醒落實與利害關係人的溝通。
利害關係人關注紀錄與回應處置
利害關係人關注紀錄與回應處置
資通安全稽核檢核項目的2.1資安政策目標定期檢視、2.2資安績效定期檢視、2.3管理階層對資安持續改善的支持、2.5資安考核獎懲、2.6利害關係人相關檢討,這些共通點就是定期檢視,當然最好就安排在推動委員會議進行下列項目報告或討論:
資通安全稽核檢核項目的2.1資安政策目標定期檢視、2.2資安績效定期檢視、2.3管理階層對資安持續改善的支持、2.5資安考核獎懲、2.6利害關係人相關檢討,這些共通點就是定期檢視,當然最好就安排在推動委員會議進行下列項目報告或討論:
資安政策程序書的檢討
有效性量測表的量測項目、量測結果檢討
參考資通安全維護計畫範本所列應討論事項:過往議案處理、資安內外部議題、維護計畫內容、資安績效(如政策實施情形、人力及資源配置、資安防護控制措施、內外部稽核結果及矯正措施)、風險評鑑、資安事件處理、持續改善
考核獎懲討論
利害關係人關注紀錄及回應處置
最後一項就是利害關係人關注紀錄及回應處置,各負責單位應記錄當年度有哪類利害關係人提出與資安相關的的年度要求事項,將日期、彙整來源的單位、以及後續的追蹤與改善措施都加以記錄(關注事項的作業起迄日期、預計規劃辦理資安/個資/其他議題事項、現況狀態追蹤、回應利害關係人方式等相關資訊),最好也把處置所依據程序書之名稱編號列入及檢討是否需調整相關程序內容。這樣的紀錄提報至推動委員會議進行報告或討論,以落實利害關係人管理工作及精進資安管理作為。
最後一項就是利害關係人關注紀錄及回應處置,各負責單位應記錄當年度有哪類利害關係人提出與資安相關的的年度要求事項,將日期、彙整來源的單位、以及後續的追蹤與改善措施都加以記錄(關注事項的作業起迄日期、預計規劃辦理資安/個資/其他議題事項、現況狀態追蹤、回應利害關係人方式等相關資訊),最好也把處置所依據程序書之名稱編號列入及檢討是否需調整相關程序內容。這樣的紀錄提報至推動委員會議進行報告或討論,以落實利害關係人管理工作及精進資安管理作為。
利害關係人關注紀錄及回應處置紀錄表
利害關係人關注紀錄及回應處置紀錄表
依據「資通安全責任等級分級辦法」[13]之規定,A、B級公務機關每年應辦理一次資安治理成熟度評估,在「資安治理成熟度評估參考指引」[14]的第5題檢核項目就是評估如何落實利害相關者溝通方式,包含機關內部與外部相關權責機關或其他利害相關者(如IT服務供應商、民眾、其他各專家),成熟度1~5級,最低的1級程度至少要有相關規劃,2級則是有定期檢討執行情形,要達到3級就要訂定標準作業程序或相關文件化,更進一步來到4級則是要有質化或量化衡量指標,最高的5級就是持續精進流程與執行方式。所以,我們建議要做的利害關係人地圖、利害關係人關注紀錄及回應處置紀錄表,就是最基本的利害關係人管理工作,在這樣的基礎之上持續提升精進。
依據「資通安全責任等級分級辦法」[13]之規定,A、B級公務機關每年應辦理一次資安治理成熟度評估,在「資安治理成熟度評估參考指引」[14]的第5題檢核項目就是評估如何落實利害相關者溝通方式,包含機關內部與外部相關權責機關或其他利害相關者(如IT服務供應商、民眾、其他各專家),成熟度1~5級,最低的1級程度至少要有相關規劃,2級則是有定期檢討執行情形,要達到3級就要訂定標準作業程序或相關文件化,更進一步來到4級則是要有質化或量化衡量指標,最高的5級就是持續精進流程與執行方式。所以,我們建議要做的利害關係人地圖、利害關係人關注紀錄及回應處置紀錄表,就是最基本的利害關係人管理工作,在這樣的基礎之上持續提升精進。
4.2 暸解關注方之需要及期望
4.2 暸解關注方之需要及期望
組織應決定:
組織應決定:
a) 與資訊安全管理系統有關之關注各方 ;
a) 與資訊安全管理系統有關之關注各方 ;
b) 此等關注方之相關要求事項 ;
b) 此等關注方之相關要求事項 ;
c) 此等要求事項中之哪些要求事項,將透過資訊安全管理系統因應。
c) 此等要求事項中之哪些要求事項,將透過資訊安全管理系統因應。
9.3管理審查
9.3管理審查
9.3.2 管理審查輸入
9.3.2 管理審查輸入
管理審查應包括對下列事項之考量。
管理審查應包括對下列事項之考量。
a) 過往管理審查之議案的處理狀態。
a) 過往管理審查之議案的處理狀態。
b) 與資訊安全管理系統有關之外部及內部議題的變更。
b) 與資訊安全管理系統有關之外部及內部議題的變更。
c) 與資訊安全管理系統相關關注方之需要及期望的變更。
c) 與資訊安全管理系統相關關注方之需要及期望的變更。
監管機構(地方、區域、國家或國際)
母組織或附屬組織
客戶
社群團體
非政府組織
供應商
鄰居
合作伙伴
工人、公會、他們的代表、學徒和其他代表該組織工作的人
業主/投資者
競爭對手
學術界和研究人員
非政府組織
要分析做到哪些資安管理作為才能滿足利害關係人的要求,在ISO 管理系統標準指南提到需要考慮的關注事項,可能包括(但不限於下列):
要分析做到哪些資安管理作為才能滿足利害關係人的要求,在ISO 管理系統標準指南提到需要考慮的關注事項,可能包括(但不限於下列):
適用法律
許可證、執照或其他形式的授權
政府法規
法院或行政法庭的判決
該組織所屬的更大實體的要求
條約、公約和議定書
相關行業法規和標準
已簽訂的合約
與客戶、社群團體或非政府組織達成協議
與公共當局和客戶達成協議
透過採用自願原則或業務守則來滿足要求
自願符合或環境承諾
政策與程序
根據與該組織的合約安排產生的義務
資通安全事件通報作業規範之考量
資通安全事件通報作業規範之考量
建立資通安全事件通報窗口及聯繫方式,基本做法就是有一份完整的清單。在稽核實務上常見的狀況就是僅建立部分內部利害關係人清單,但是漏掉了一些系統的委外廠商或管理人員,如此在發生資安事件時將會影響聯繫時效。
建立資通安全事件通報窗口及聯繫方式,基本做法就是有一份完整的清單。在稽核實務上常見的狀況就是僅建立部分內部利害關係人清單,但是漏掉了一些系統的委外廠商或管理人員,如此在發生資安事件時將會影響聯繫時效。
更理想的做法,可以建立一個系統管理維護窗口聯繫資料,像 是內部各單位資安窗口或各系統管理者這類利害關係人,或外部相關廠商等利害關係人,要求窗口人員異動交接就要在系統上更新聯繫資訊,確保需要聯繫時可以找到正確的窗口人員。甚至,若能再加上即時通訊的推播訊息或群組廣播機制(如臺中區網中心以LINE BOT進行資安通報[19]),這樣就能在發生一些狀況時做到最即時的通知。
更理想的做法,可以建立一個系統管理維護窗口聯繫資料,像 是內部各單位資安窗口或各系統管理者這類利害關係人,或外部相關廠商等利害關係人,要求窗口人員異動交接就要在系統上更新聯繫資訊,確保需要聯繫時可以找到正確的窗口人員。甚至,若能再加上即時通訊的推播訊息或群組廣播機制(如臺中區網中心以LINE BOT進行資安通報[19]),這樣就能在發生一些狀況時做到最即時的通知。
Page updated
Report abuse