1002 第一次諮詢會議，會前紀錄

# 1002 第一次諮詢會議，會前紀錄 ## 上次上課內容 ## 討論內容服務對象：https://www.zhi-shan.org/about/our-team ## 作業內容指引 # 資安健檢團諮詢綱要發想指引 > 本指引旨在協助小組同學為即將服務的組織制定出訪前的規劃步驟。我們整合了 ISO27001 的內外部議題盤點與 Security & Privacy Acceptance Framework (SPAF) 的元素，以確保小組在進行資安規劃時能夠涵蓋所有面向。 > > 透過這個活動，我們希望能夠幫助大家： > - 練習設想組織的內外部環境 > - 識別並推測關鍵利益相關者所面臨的挑戰 > - 從SPAF意識、動機和能力三個面向，設計更精確的訪談問題 > - 制定初步的行動計劃 ## 0. 熟悉您的服務對象（10-15分鐘） > 請各組利用教學團隊提供的會議記錄與資安自評表，初步掌握組織的狀況以及想解決的資安問題。 ## 1. ISO27001內外部議題分析 (15分鐘) > 請利用您可得的資訊（如組織官網、初訪紀錄）推測您將協助的組織，可能面臨的內部和外部議題，待第一次晤談結束後，可於此表紀錄訪談前推測與實際訪談後之差異： | 內部議題 | 初步推測 | 初訪之後 | | ----------------- | -------------------------------------------- | ----------------------------------- | | 組織結構與文化 | 例：扁平化管理或家族經營文化結構可能導致資安責任不明確 | 請同學第一次晤談後再回填 | | 資源配置與限制 | 例：難以投資高階資安設備 | 請同學第一次晤談後再回填 | | 技術基礎設施與能力 | | 請同學第一次晤談後再回填 | | 其他內部因素 | 例：因產業發展性問題，難以聘請專職資訊人員、高流動率的志工或實習生團隊可能增加資訊洩露的風險 | 請同學第一次晤談後再回填 | | 外部議題 | 初步推測 | 初訪之後 | | ------------------- | -------------------------------------------- | ----------------------------------- | | 法律法規環境 | 例：個資保護法 | 請同學第一次晤談後再回填 | | 技術發展趨勢 | | 請同學第一次晤談後再回填 | | 外部威脅 | 例：針對非營利組織的釣魚攻擊日益增多 | 請同學第一次晤談後再回填 | | 其他外部因素 | e.g., 媒體報導對非營利組織聲譽的影響等 | 請同學第一次晤談後再回填 | ## 2. 利益相關者識別與分析 (10分鐘) `請小組確定與資安規劃相關的關鍵利益相關者，並簡要描述其角色和對於提升資安防護能力的影響。請依據您所協助的組織類型，分開討論：` 1. 高層管理者：提供所需物力人力協助 2. IT/資安/網管人員：提供所需軟體協助及網路配置資訊 3. 一般員工：可提供現有資安改善執行細節，並提供修正意見的參考 4. 志工：了解組織對外部人員的政策 5. 委外廠商：提供現有訂閱服務的相關資訊 ## 3. 訪談問題設計 (20-30分鐘) > 根據前面的分析、SPAF (Security & Privacy Acceptance Framework) 框架，以及問題設計原則（e.g., 意義清楚、客觀公正…），為不同的利益相關者設計具體的訪談問題。請確保問題涵蓋意識（Awareness）、動機（Motivation）和能力（Ability）三個維度： **用來詢問高層管理者的問題** 1. 核心問題： - 申請計畫時的期待 - - 是否有外部志工，以及權責歸屬 - 目前外包及自建的系統清單 3. 衍生問題： - 意識 (Awareness)： - 您如何看待近期媒體報導的資安事件？這些事件對組織/企業有何啟發？ - 組織/企業目前面臨的最大資安威脅是什麼？為什麼？ - 動機 (Motivation)： - 在資源有限的情況下，您認為投資資安措施能為組織帶來哪些具體好處？ - 能力 (Ability)： - 目前組織/企業在實施資安政策時面臨的最大挑戰是什麼？ **用來詢問IT/資安人員的問題** 1. 核心問題： 2. 衍生問題： - 意識 (Awareness)： - 您如何評估我們組織/企業員工與志工的資安意識？ - 動機 (Motivation)： - 在推動新的措施時，您遇到過哪些阻力？ - 能力 (Ability)： - 目前我們的資安系統中最薄弱的環節是什麼？ **用來詢問一般員工/志工的問題** 1. 核心問題： 2. 衍生問題： - 意識 (Awareness)： - 您在日常工作中最常遇到哪些資安相關的情況或挑戰？ - 動機 (Motivation)： - 遵守資安規定對您的日常工作有何影響？ - 能力 (Ability)： - 您在執行資安措施時遇到過哪些困難？ **用來詢問捐助者/合作夥伴/外部廠商的問題** 1. 核心問題： 2. 衍生問題： - 意識 (Awareness)： - 您對組織所在的行業（非營利組織/小型企業）的資安風險有哪些關注？ - 動機 (Motivation)： - 一個組織的資安措施會影響您與其合作的決策嗎？ - 能力 (Ability)： - 您認為非營利組織在提升資安能力方面面臨哪些獨特挑戰？ ## 4. 課程反思與回饋非常謝謝同學今天的陪伴！請小組自由給我們一些反饋： - 本日課程中最關鍵的收穫： - 想要進一步了解的主題： - 未來小組可能面臨的晤談挑戰：