G 觀點

有多少次... 我們在各自的觀點與理解下，一起錯過了該有的機會？！ 明明是再簡單不過的功能需求，卻無法實現？! 投影片中，Mary 洞悉市場了解領域知識，Peter 熟於管理需求的實現，John 則是有著豐沛經驗的工程師。良好的機會本應帶來甜美的果實，但最終卻是以 Mary 痛哭流涕作結。到底是什麼問題導致了這樣讓人遺憾的結果？ 需求的缺損！ 市場驅動需求的產生，接著我們會探索需求並且描述需求的樣貌，然後透過工程與管理進而實現需求，並且交付需求。過程中，具備不同職能的專家會依照自己的觀點與理解來傳達資訊，一些隱含在需求中的情境資訊，免不了會在傳遞過程中遺失。然而，只有完整的需求才能創造真正的價值。因此，改善需求傳遞時，情境缺損所造成的需求缺損是一個直觀且重要的議題。此外，不同角色對於軟體產生的過程也有不同的關注點。銷售人員關注的是產品是否實現需求，管理人員關注的是如何調控過程，然而工程人員關注的是如何交付需求。不同的關注點會造成對於需求價值的認知不同，進而影響需求的流動。 BizDevOps 正是為了解決上述的問題而存在，所以 BizDevOps 就是： 在原汁原味的產品需求理解下，讓商業人員、管理人員和工程人員能夠有共同認知並且協作達成商業目的 實現 BizDevOps 該處理的第一件事：需求理解問題 如上述，需求傳遞免不了因為情境和領域知識的不夠，而使得不同的人對於需求有不同程度的理解。為了能夠解決這樣的問題，組建一個完整的團隊對於解決理解需求是相當重要的事情。 完整的團隊存在著具有不同技能的成員。為了讓團隊能夠盡量有能力獨立實現需求，團隊中的成員需要不排斥擁抱跨職能，跨職能不是只意味著一人多用，或者是取代誰的工作，更重要的是讓團隊成員能夠在需要的時候互相幫忙，並且可以擁有共通的知識讓溝通和理解更加順利。常見的團隊人數為 8~12 人，然而最佳的人數還是得回到實際開發的需求。根據 Dunbar’s number 可以知道團隊人數在 15 人以內時，成員之間可以建立深厚的信賴關係，所以在組建團隊時別忘了考量人數規模。人不是多就好，多人就會提高溝通與管理的成本。

你的企業是否早已有一套施行已久的 IT 服務管理（IT Service Management, ITSM）流程？ 以目前使用最廣泛的 ISO 27001 國際標準來看，ISO 27001 藉由全面性的指引協助企業建構資訊安全管理系統（Information Security Management System, ISMS），來達成資訊安全的三個主要目標 CIA： ISO 27001 基於 「規劃－執行－檢查－行動」（Plan-Do-Check-Act, PDCA） 循環過程來落地並且持續改善資訊安全管理系統，企業為了因應 IT 服務管理通常會設置專職團隊，並由該團隊推動企業內的資安治理，來確保企業所使用的資訊系統（內部服務）與所提供的資訊服務（外部服務）之安全性。該團隊亦是變更管理、稽核、資安事故的最後一道把關人。 有些經營決策者認為當 IT 邁向 DevOps 轉型時，只要將 DevOps 套上既有系統性的資安管理就可以快速地實現 DevSecOps。然而，傳統資安有幾個顯著 DevSecOps 落地的阻礙：

以客戶為中心是每個成功的企業所努力的方向！為了能夠更了解客戶，企業無不竭盡全力留存客戶的相關訊息，並且希望從中了解客戶的需求。隨著資料的範圍與量的增長，個資外洩所引發的企業風險正在慢慢地累積！ 可曾思考過或許你並不需要承擔如此大的風險？ 其實，企業可以把握 Privacy by Design (隱私納入設計) 的原則，並且將隱私融入DevOps 來有效地去除風險！ Privacy by Design (隱私納入設計) Privacy by Design 的概念是在 90 年代，由 Ann Cavoukian 博士所提出。從 GDPR 將其納入條文的作為，便可以知道這概念對於個資保護的重要性，而它的確也為企業提供了如何在個資使用與商業價值之間取得平衡的方法。這個概念主要包含了七大原則： 主動而非被動，預防而非補救 (Proactive not Reactive, Preventative not Remedial) 隱私為預設原則 (Privacy as the Default Setting) 隱私內植於設計 (Privacy Embedded into Design) 雙贏思維與決策 (Full Functionality – Postive Sum, not Zero Sum) 資料全生命週期的保護 (End-to-End Security – Full Lifecycle Protection) 透明公開 (Visibility and Transparency – Keep it Open) 以使用者為中心，尊重使用者隱私 (Respect for User Privacy – Keep it User-Centric) 從這七大原則不難了解，個資保護並非期望企業犧牲商業利益，而是希望企業與其客戶之間的利益取得平衡。

資訊安全管理系統（ISMS）對企業資產的全面保護加上 DevOps 對數位產品價值的驅動力，為企業帶來四大顯著價值： 1. 規範式敏捷 組織可基於最小可行治理原則達成企業目標，同時又能讓創新與響應變化保持彈性。 2. 降低成本 以自動化的方式進行持續整合、測試與交付，取代原先耗費大量人力與紙本的繁瑣驗證。 3. 可視性 以價值流為出發並以數據作為驅動，提升整體流程與資訊的透明度。 4. 業務持續性 透過關鍵指標的建立、持續性監控與快速響應，提升企業數位業務的韌性。 無論以利害關係人、工程人員或是稽核人員的角度，透過 DevOps 的實踐可大幅地促進組織在 ISMS 實施與審查的效率，讓企業在顧及安全性與可靠性的同時，保持市場的競爭力。 CPHT 擁有豐沛的實務經驗與領域專家，能夠為企業打造基於安全與有序的 DevOps 顧問與培訓方案。歡迎進一步了解我們的企業服務。