引言
從零開始的資安素養指南
市面上的資安產品、專業服務、訓練課程早已百花齊放,公益組織仍因資訊安全議題而苦惱不已,我們實際上在面對的困境是什麼?又該如何解題?
台灣公益團體自律聯盟(後稱自律聯盟)自2021年公益組織個資外洩詐騙事件起,從危機事件處理、主題培力、個別健檢、共創學習,一路與公益組織們共同前進,隨著時間推移,資安議題已成為國安議題,上市櫃企業與中小企業早已啟動更進一步的資安治理,公益組織雖非外部攻擊重心,但亦肩負責信的重大責任,包括守護服務對象、工作夥伴的個人資料、組織營運的核心資料以維持穩定運作等,艱難的時刻,我們更需要找出專屬於公益組織自己的解方。
透過與公益組織們一起前進的歷程,我們意識到雖然缺錢、缺人、缺知識是普遍的痛點,但更關鍵的因素在於組織上至治理層、下至執行層有全面的風險意識與認知,才能在組織內部更有效率地推動,這是一個重要卻十分困難的過程,我們開始思考,如何才能在一次次的輔導陪跑、培力訓練後,將這樣的思考留在組織內發酵?如果治理層是關鍵人物,我們如何協助組織的溝通樞紐向治理層開啟對話,進而對內有效推動?
回到實務現場,溝通樞紐主要仍由身兼多職的管理層或執行層承擔,除了平日繁忙的組織業務,資安議題的環境、法遵、專業技術壓力已如巨山壓頂,但資安議題沒有馬上可套用的速食套餐,對資訊安全的全觀視角與實際案例輔佐說明,就成為公益組織開啟資安管理的重中之重。有鑑於此,自律聯盟在2024年的尾聲,沉澱了過去與組織共同走過資安優化路途上的學習歷程,重新以「素養」的角度出發,將組織夥伴常面臨的管理問題,如:如何擬定資安政策、技術與實務問題,整理為資安素養指南,包括什麼是資訊安全、如何擬定管理政策、日常中如何推動與使之有效落地,以及最重要的以人為本的教育訓練、長期規劃等實踐參考,希望擔任組織資安樞紐的工作夥伴,無論正在面臨哪些挑戰,都能從零開始,以擬定組織資安管理政策的全觀視角,將資安素養指南當作找到答案的索引、與外部專業對話的參考,架構組織的資安知識、能力、態度。
資訊安全議題是一個辛苦的組織治理任務,科技與技術的快速進步,往往帶來更大的適應挑戰,除了很難證明資源投入的效益,又無可避免地會擾動工作夥伴們的工作習慣、挑戰學習與應變的動力,特別感謝於此期間與自律聯盟一同共創的公益組織,集眾之智、群策群力,無私貢獻與分享組織的成長歷程,期待公益組織治理層能提高對於風險管理的意識,讓組織更有動能面對隨時來臨的資安危機!
適合對象
肩負公益組織資訊安全規劃與執行任務的工作夥伴
使用情境
1. 需要擬定組織資訊安全管理政策時
2. 已有資訊安全管理政策,但在推動時遭遇困難,需要策略思考與實務案例參考。
說明
1. 本指南以素養為核心,內容不包含技術工具或廠商名單。
2. 公益組織規模、需求多元,本指南以提供基礎概念與思考面向為重點。
3. 環境情勢變化迅速,這是一本有機的指南,期待關心公益組織資安議題的夥伴投入,持續提供回饋建議。