作者:黃品瑄|政治大學商學院 科技管理與智慧財產研究所 113屆科管組研究生。
研究興趣:數位金融、服務創新、科技意會
“When the same initiative lands in different contexts, it grows in different directions. Misalignment does not arise from mistakes but from failing to see how others work, decide, and cope in their own situations. Frame misalignment emerges not because people misunderstand the system, but because the system never truly understands the practitioners’ mind.”
這一篇文章出自許瑋元老師之手,是我近年讀到最能說中組織日常心事的研究之一。文字不炫目,卻句句敲在現場經驗的軟肋上;概念不複雜,卻把我們習以為常的專案風景照得更清楚一些。讀著讀著,會不自覺點頭——原來許多看似難以解釋的摩擦,並不是誰不努力,而是彼此帶著不同的眼光走在同一條路上。正因如此,這篇文章讓人格外有感,也值得反覆回味。
在許多金融與資訊密集產業裡,資安認證專案往往有一個似曾相識的劇情。董事會表態支持,總經理說這是公司升級的重要一步,資訊部門終於有理由好好整理系統,員工在說明會上也都點頭,承諾「會配合」。專案里程碑一一完成,專案簡報看起來漂亮工整,最後證書也順利入手。但一年過去,大家的日常工作卻回到老樣子:密碼寫在便條紙上、權限申請改走關係管道、應付稽核的文件與實際操作分成兩套世界(Hsu, 2009)。
許老師研究的,就是這種「表面一切順利、私底下各有盤算」的認證故事。她以台灣一間金融機構——文中以Finance House 指稱——為案例,這家公司約四百多名員工、十一個部門,在主管機關高度監管之下,於 2004 年啟動 BS 7799 Part 2 資安管理認證,並在 2005 年取得全公司認證。
表面上,這是一個導入標準、通過審查的案例;此研究卻把注意力放在「不同人怎麼理解這件事」,並用「科技框架(technological frames)」來分析這些理解如何慢慢拉開距離,讓同一套制度在各種日常情境中越走越歪。這便是「框架失準(frame misalignment)」。
同一張證書,不同世界:研究問題的鋒利之處
問題其實很直接:在這個認證專案裡,各種角色——高階主管、資安認證小組、一般員工——明明都在談同一套標準文件,為什麼在導入過程中做出的選擇與反應卻南轅北轍?
她注意到,資訊安全研究長期重視的是標準內容、控管措施與制度架構,很少有人細看「組織裡的不同群體到底把這套標準當成什麼」。在 Finance House 裡,管理團隊把 BS 7799 Part 2 當成「外部合規與公司形象的保證」,認證小組則把它視為「導入系統化控管的契機」,而許多員工心裡真正盤算的,往往是:「這會不會又是一次只加不減的工作?」
於是,她提出一個關鍵提問:当組織成員帶著不同的框架看待同一個資安認證時,這些理解上的落差會在導入過程中如何發酵?又會在什麼時刻,悄悄把制度推向與原先目標不同的方向?
Finance House 的故事因此不再只是「我們通過了某某認證」,而是「我們在通往認證的路上,彼此一直在說不一樣的語言」。這也是這篇文章最耐人尋味的地方:它沒有把導入失調歸咎於單一錯誤決策,而是回到一個更細膩的層次——人們怎麼理解這件事,然後依照自己的理解行動。
科技框架:從條文到「心中劇本」
科技框架這個概念,說穿了,就是人們用來回答三個問題的「心中劇本」:這個東西是什麼?要做什麼?為誰而做?在 Finance House,Hsu 把三種主要框架描寫得相當鮮明。
對高階管理者而言,資安認證首先是一張「對外可見的保證」。在主管機關愈來愈重視資訊安全、國際合作夥伴開始把資安標準當成基本門檻的情況下,取得 BS 7799 Part 2 是一個在年報、對外簡報、客戶會議上都能拿得出來的象徵。他們談資安時,常會連結到「國際接軌」、「企業形象」、「風險控管」等字眼;在董事會裡,專案的進度報告往往以里程碑、預算與預期效益呈現。
對認證小組與資訊/資安人員來說,這套標準則是一本厚重的操作手冊。他們長期面對系統漏洞、權限混亂、備援不足等問題,終於有機會藉著認證專案,要求各部門清查資產、重新界定資訊分類、訂出密碼規則與異常通報流程。研究中記錄了一段訪談,有工程師提到:「以前出事大家都說是資訊部門的問題,現在至少可以用標準說話。」這種期待,反映的是希望藉由認證,把多年來「靠資深人的記憶與默契撐住的安全」轉成較有依循的制度。
然而,在多數第一線員工眼中,故事卻完全不同。櫃台人員關心的是每日交易是否順利結清,業務在意的是客戶是否被服務好、績效有沒有機會達標,行政人員則在夾縫中處理各種跨部門協調。當認證專案開始要求他們填寫新的資產清冊、遵守更嚴格的密碼政策、在寄送文件時改用加密機制,許多人直覺反應是:「這會拖慢我的速度。」在訪談裡,有員工形容資安文件是「要給稽核看的東西」,而不一定是工作的重要工具。
同一套 BS 7799 Part 2,在這三種框架裡長出了三種樣子:對管理層是一張證書、對專業人員是一套控管系統、對多數員工是一連串增加負擔的要求。這些差異不是誰對誰錯,而是立場與關心點不同。問題在於,如果這些差異一直沒有被說破,制度就很難在日常工作裡找到穩定的位置。
導入歷程:從「大聲說支持」到「默默照舊」的軌跡
Finance House 的導入軌跡也很值得玩味。故事一開始,高層在外部環境壓力下決定啟動認證。公司成立了跨部門的資訊安全委員會,由資訊部主管擔任召集人,並邀請外部顧問協助規劃。第一階段的工作偏向「整理與補課」:盤點既有政策、收集各部門的作業流程、把過去分散各處的制度文件整合成一套比較完整的資安管理手冊。
第二階段,事情開始變得棘手。按照標準要求,公司必須重畫權責範圍、強化人員與系統的登入控管、調整備份與異常通報機制。這些改動,牽涉到部門界線與日常習慣。例如,有部門原本共用一組帳號處理例行查詢,改制後必須改成個人帳號登入,於是出現排隊與延遲;又如,分行同仁習慣以 USB 搬移某些報表,資安規定卻要求改用加密傳輸,結果在月底高峰時段引發不少抱怨。
第三階段是「認證衝刺期」。認證小組密集追蹤文件是否齊備、流程是否與標準對應,各部門則忙著準備「給稽核看的證據」,例如簽到紀錄、教育訓練照片、緊急演練紀錄表。Hsu 訪談中有人坦承,有些演練是「集中在認證前一段時間做完」,而不是依照手冊所說的固定頻率執行。
認證通過當下,整家公司看似鬆了一口氣。高層在內外簡報中強調這是公司治理的重要里程碑,資訊安全委員會也被視為功不可沒。然而,追蹤到認證後一段時間的變化,發現一部分員工慢慢回到舊有做法;有些程序在非稽核期間就不再那麼嚴格執行,甚至連資安委員會的開會頻率都隨著外部壓力減弱而逐步降低。認證專案彷彿被收納進公司的歷史成就,卻未完全長進日常的工作肌肉。
從「大聲說支持」到「默默照舊」,這條路不是一夕之間跑出來的,而是在各個關鍵節點中,一次又一次被不同框架拉向各自覺得合理的方向。
從框架差異到行動失準:三種關鍵落差
許老師將這些過程中的磨擦與偏移,整理為幾種彼此交纏的「落差」。它們不是單一事件,而是整個導入歷程裡反覆出現的模式。
第一種是目標上的落差。管理階層期待的是「拿到證書,向外界證明公司有負責任的資安管理」;認證小組希望透過標準,把資訊安全變成一套較不依賴個人意願的制度;許多員工則在心裡計算:「新規定會不會拖慢我處理案件的速度?」在某次訪談裡,一位主管坦言:「對我來說,重點是這張證書;對資訊人員來說,重點是系統不能出事;對前線來說,重點是客戶不要抱怨。」三種重點都說得通,但當時間與資源有限時,誰的重點被放在前頭,就會出現差異。
第二種是責任上的落差。資訊人員認為關鍵在於「大家要改習慣」,否則再多控管也是紙上談兵;不少員工則覺得「系統應該先做得方便好用,才有可能要求大家按規定來」,而管理階層則傾向把責任交給專案團隊:「你們負責規畫與推動,我支持資源。」於是,資安認證變成一種「人人口頭支持,卻不太覺得主責在自己身上」的專案。
許老師在田野裡捕捉到一個很有代表性的畫面:資訊安全委員會會議上,各部門代表一致同意要強化密碼政策;會後,真正要面對同仁抱怨的卻是單一部門主管,他最後私下對認證小組說:「規定我支持,但你可不可以幫我想一個比較不會被罵的實施方式?」這種「支持在檯面上,保留在心裡」的態度,使得任何需要人力調整的措施都顯得孤立無援。
第三種是價值上的落差。多數人並不否認資安的重要,但在現場做決定時,效率、客戶關係與內部績效指標常常排在更前面。許老師舉例,有員工說:「我知道不應該把檔案寄到私人信箱,可是客戶臨時要資料,公司的郵件系統又卡住,我總不能跟他說等明天吧。」在這個世界裡,「把事情解決」是首要價值,而資安規定若沒有明確協助解決問題,往往被視為需要靈活調整的參考。
這三種落差讓我們看到,單純加強宣導與教育,未必足以改變行為。如果背後的框架沒有被好好對話與重新排列,制度再怎麼完整,都可能只在簡報與稽核報告裡光鮮亮麗。
理論貢獻:把資訊安全從「控管」拉回詮釋現場
在資訊安全與認證相關文獻裡,過去多半關心標準設計是否合理、控管措施是否完備,或是企業取得認證後是否有助於提升形象與績效。此研究的貢獻,在於把焦點拉回到「人怎麼理解這些標準」,並以科技框架為工具,分析不同群體之間的落差如何影響制度的落地。
首先,她讓我們看見資安認證不只是規範清單,更是一場詮釋活動。Finance House 的例子清楚顯示,同一套標準,對不同群體的意義可以相差甚遠;若忽略這一點,學界在討論認證制度時,很容易只看到制度層次的一致,而看不到日常實踐中的分岔。
其次,她補充了科技框架理論在資訊安全領域的應用。過去關於科技框架的研究,多半聚焦在大型系統導入、流程再造或新技術採用。許老師則指出,框架落差在看似「技術中立、條文清楚」的資安標準裡同樣存在,而且影響深遠。
最後,她也提醒我們,很多制度看起來「導入成功」,其實只是達成形式上的標準,而沒有進入工作慣例。若不把框架落差納入分析視野,我們很難理解為何這種「紙上合規、行動打折」的現象如此普遍,卻又難以在傳統效果評估指標裡被看見。
管理啟示:你眼中的資安是什麼?
如果把這篇文章當成給管理者的提醒,那麼最關鍵的一點是:導入資安認證時,真正值得花時間的,不只是梳理流程與控管項目,更是讓不同框架有機會彼此碰撞。
在 Finance House,如果在專案初期就問每一類利害關係人:「你覺得這個認證對你部門意味著什麼?你最期待什麼?又最怕失去什麼?」那麼後續許多摩擦,也許可以較早被看見。例如,前線員工早就知道月底結帳期間無法承受任何系統延遲;若能在設計控管措施時一起討論「如何兼顧月底高峰」,那些後來被迫出現的灰色做法,或許可以轉化為制度上的例外處理規則,而不是悄悄違規。
在制度設計上,許老師的研究也提醒我們,標準不等於萬靈丹。Finance House 雖然採取全公司認證,但不同部門的業務性質差異很大。與其要求所有單位用同一流程處理文件,不如訂出幾項共同原則,例如「敏感資料不得以未加密方式外傳」、「查詢紀錄必須可追蹤」,再讓各部門在這些原則下設計較適合的做法。這種作法不是放水,而是正視不同工作情境的合理差異,讓認證不再只是「外加的標準」,而是與工作需求對話過的安排。
更重要的是,真正的對齊,發生在語言與故事的轉變之中。當有一天,前線員工不是用「因為稽核要求」來解釋自己的作法,而是自然地說:「這樣做比較安全,也保護我自己」;資訊人員不再只是說「標準規定要這樣」,而是會用業務聽得懂的方式說明:「如果不留這個紀錄,一旦出問題,你會更難自清」;管理階層在內部簡報裡談資安,不再只報告認證是否通過,而是關心「我們這一年是如何處理幾次重大事件」。那時,資安才真正從專案變成企業日常的一部分。
結語:問題不在誰說謊,而在誰從未被好好聽懂
讀完許老師的研究,最容易浮上的感受是:組織裡的人其實少有惡意,大多只是忠實活在自己理解世界的方式裡。對管理者而言,資安認證是對外說明負責任的一把鑰匙;對資訊與資安人員而言,它是把多年來隱形工作制度化的機會;對前線員工而言,它則可能是壓在既有工作上的另一層要求。
當這些故事彼此隔離時,再多的說明會與宣導,也只是各自站在自己的位置把聲量調大,而沒有真正聽見對方。於是,制度在文件裡長得愈來愈完整,在日常生活裡卻愈來愈輕。
許老師 的文章提醒我們,下一次當你負責導入一項看起來理所當然的標準時,不妨在專案啟動會前,先問出那句看似簡單的問題:「在你眼中,這件事到底是什麼?」
同一件事落在不同人的情境裡,就會長成不同的形狀;偏離往往不是犯錯,而是彼此未曾看見對方在現場如何做、如何判斷。知識的落差,不是因為有人不了解制度,而是因為制度從未真正理解實踐者的世界。在許瑋元老師的案例中,高層在會議室裡理解的是「風險管理與外部聲譽」,資訊人員在機房裡理解的是「控管力度與技術可行性」,而前線員工在柜台前理解的則是「客戶壓力與時間緊迫」。這些理解都在各自的情境中成立,但當制度試圖跨越場域時,就出現了框架失準——不是誰不懂,而是每個人懂得方式不同。
這正是「框架」的重要之處:行動者的理解並非抽象原則,而是在當下情境裡,依據手頭資源、任務壓力、責任邏輯所形成的判斷。若不進入這些實踐現場,制度再完整,也會在跨部門之間逐漸走偏。
參考文獻
Hsu, C. 2009. Frame misalignment: Interpreting the implementation of information systems security certification in an organization. European Journal of Information Systems, 18: 140–150.
沒有留言:
張貼留言