用户投稿
Policy Framework
组织(organization)由人(person)组成。它跟自然人(natural person)一样也可以成为法律实体(legal entity)或所谓的法人,具有法律身份(identity)、享有法律上的权力与义务。组织内的人被赋予责任(responsibilities)与权力(authorities),透过彼此的协作让组织运作(operations),来达成组织的目标。能代表组织作出决策的人在ISO的标準中称为高阶管理层(top management),在WUSON的课程中则称为治理(governance)阶层或经营高层。
经营高层对组织行为及发展方向的期待称为管理意图(management intent)。文件化的管理意图就代表组织的政策(policy)。政策除了展现经营高层的管理意图,通常会对组织人员提出要求(requirement) — 一种可衡量、文件化、强制性的需要(need)或期待(expectation)。这些强制性的政策要求或指示,通常会配套的发展出相关的标準(standard)、规则(rule)、作业程序(procedure)、参考指引(guideline),或提供指导正确行为或有效决策的原则(principle)等。政策、标準与程序这些文件在ISO 标準中常被称为三阶文件,若再加上记录与表单则称为四阶文件。
资讯安全政策必须被充分揭露及有效沟通,让组织的人员都能了解经营高层对于资讯安全的要求与期待。透过标準及程序的制定,让人员都能依照制度的规範来进行决策与行动。无法白纸黑字或三言二语写清楚的规範,可以透过指引来提供给更多的资讯、参考资料,或行事与决策原则,以赋能(empower)员工与催生当责(accountability)文化。
参考资料
Organization Policy Requirement and Principle
资料来源:https://wentzwu.medium.com/%E7%B5%84%E7%B9%94%E6%94%BF%E7%AD%96%E8%88%87%E5%8E%9F%E5%89%87-82fb4cc1c296
PS:经作者同意转载
微信扫一扫打赏
支付宝扫一扫打赏
