用户投稿四、沟通
这段条文是大多数组织做得最不好的一段,普遍的想法是只要有沟通就好,却忽略了沟通的项目及管道。如同第四章背景分析还有第六章风险分析,都需要沟通才能获得正确的理解,藉以推行资讯安全管理系统。条文的要求很简单,沟通什么、何时沟通、和谁沟通、谁应沟通以及应实现哪种沟通过程。首先必须决定要沟通甚么,列举以下几个项目供参考:
•风险评鉴的执行
•资讯安全目标的设定
•资讯安全事件的检讨与矫正
•组织之角色、职掌及授权的设计
•资讯交换协议的型式
•资讯安全管理系统的变更
•法令法规、主管机关或监管机关之要求
•外部团体(客户、使用者等)的期望
设计沟通的方式及步骤如下:
(一)确定沟通目标:确定本项沟通要达成何种目标,例如:针对资讯安全事件,应沟通所有当事人,确保当事人权益及损失降到最低,使受影响的当事人能够接受组织处理的方式。
(二)选择沟通对象:确认要沟通的对象,例如:资讯交换协议的对象是与组织交换资讯的组织或人员。
(三)设计沟通资讯:你想要对方了解何种资讯?对方需要何种资讯,以这些作为思考範围,设计所需要沟通的资讯,例如:相关利害关係者需要了解资讯安全管理系统效能,则组织可以通过第三方认证以及呈报组织之资通安全管理相关资讯于公司年报中,让相关利害关係者了解。
(四)选择沟通方式:沟通格式(电子、文件)、方法(邮件、通讯软体)。
(五)规划双向沟通:既然定义为沟通,就应该设计双向机制,让接受资讯的一方,可以回馈所接受的资讯,达成沟通的目标。
(六)确定沟通时间範围:决定本项沟通时间、週期、及範围内所需的活动。
(七)资源:评估执行沟通的所需资源,包含人力、预算、设备等。
(八)实施计划:依照前面所订的沟通方式进行沟通。
(九)监控结果并寻找改进的方法:将持续改善的精神融入沟通,确保整体运作效能达到要求。
範例如下
微信扫一扫打赏
支付宝扫一扫打赏
