寫一篇客戶採訪大綱，讓我卡關兩個月

「有些事情不是你想得那麼簡單的啊！仲威...」我老闆說。

大概兩個月前，有次在跟我的老闆報告工作狀況時，老闆建議我可以去看大前研一《思考的技術》這本書，那時我因為手邊還有別的書還沒看完，所以一直都沒有看。大概上個禮拜，我的老闆又跟我提起了一次，說我應該要多看書（暗示叫我去看大前研一《思考的技術》），我怕再不看我就完了，所以隔沒幾天我就馬上去買了。

最近在卡一個東西叫做「採訪大綱」，從六月底卡到現在，一直生不出來。這個採訪大綱的訪問對象是我們產品的使用客戶，因為我們要做「客戶成功案例分享」的文件，這對於企業版的產品推行，非常有幫助。原本我提議可以翻譯國外原廠的資源，但是老闆覺得那樣幫助不大，國外的公司國人不熟悉，無法讓客戶產生連結。因此就吩咐我，要我充當記者的角色，先去生一個採訪大綱出來，以後就要我去採訪客戶。

關於這種「成功案例」採訪的Case，其實也可以跟平面媒體配合，他們有專業的寫手，可以負責從建立訪綱、採訪、撰稿，到排版，通通一手包辦，基本上只要你有預算，什麼事情都是有可能發生的。可是我們公司的決定就是要先自己做做看，先不外包，這樣子可以省錢，又可以讓內部員工有學習的機會（這是我自己推想的）。

關於這份訪綱，這邊是第1個版本：（為避免這些文字被Google搜尋到，我做了一些處理）

Dear〔老闆〕,

關於客戶案例訪綱，可提下列四個問題：

1.貴公司的簡介及規模（用戶數、管理的裝置數）
2.在選擇〔我們公司的產品〕之前，貴公司所面臨的資安問題，或簡述資安管理環境
3.為什麼會選擇〔我們公司的產品〕？
4.〔我們公司的產品〕為貴公司帶來的成效為何？需提供數據資料

上面這篇提交後馬上就被打槍了，所以我再去做一下功課，看看別人的案例當做範本，揣摩一下成功案例需要具備哪些呈現因素。兩天後我又回了下面這個修改的第2個版本：

〔老闆〕午安，

關於客戶案例訪問，以下是修改過的訪綱，再麻煩您看一下有沒有任何需要增減的部份（訪問時間約30～60分鐘），謝謝您！

• 第一部分：背景說明

  • 公司簡介

    • 成立時間
    • 營運據點
    • 員工人數
    • 管理設備數量

  • 現狀說明

    • 人力佈署
    • 碰到的問題
    • 企業需求

• 第二部分：解決方案

  • 導入

    • 決定選擇〔我們公司的產品〕的原因

  • 測試

    • 測試過程
    • 測試結果

  • 系統上線

    • 與之前的差異性

  • 評估總結（需要具體數字，比較前後差異）

    • 系統Alarm數
    • 尋求供應商支援的客服量
    • 員工尋求IT人員協助的客服量（資安相關類）
    • 人力成本
    • 頻寬

結果這次又很快被打槍了，原因是不是夠仔細。於是我又把問題修改了一下，試著問出更多細節，可是第3個版本還是被打槍了。

之後老闆要我濃縮成10個問題就好，於是就出現了下面這個第4個版本：

Dear〔老闆〕,

關於客戶案例採訪，以下為整理出的十個問題，請您過目一下，謝謝！

1. 請問貴公司目前需要被管理及防護的端點裝置數量及分布概況？
2. 能否跟我們分享，在導入〔我們公司的產品〕之前，貴公司曾經遭遇過的一些資安事件。
3. 貴公司最常見的資安問題有哪些呢？目前遭遇的最大挑戰為何？
4. 當初在評估新的資安產品時，貴公司的主要的需求為何呢？評選要素有哪些呢？
5. 貴公司為何選擇〔我們公司的產品〕?
6. 在軟體佈署的過程中，有沒有碰到什麼問題？還是都一切順利呢？佈署的時間及人力花費大概是多少呢？
7. 使用〔我們公司的產品〕這段時間以來，感覺如何？內部員工及主管的評價如何呢？
8. 以威脅數量來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如攔截的威脅數量、垃圾郵件數量）
9. 以流程簡化來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如電腦更新的處理）
10. 以成本概念來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如時間成本、人力成本）

結果還是不行，我被要求要將問題，與現在的資安趨勢做結合，就寫了第5個版本、第6個版本，但是最後還是被評論不夠用心。

接著我又回去做功課，看了更多案例當做範本，這是第7個版本：

Hi〔老闆〕,

關於訪綱結合個資法的議題，我覺得能夠從「前言」下手，這樣子後面問的問題，都能跟個資法扯上關係。

再麻煩您看一下這樣子寫有沒有問題，謝謝您！（請見紅色文字部分）

根據新版個資法第27條規定，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」若公司違反，被害人將可依新版個資法第 29 條規定向該公司請求損害賠償。若被害人不易或不能證明其實際損害額時，可以請求法院以每人每一事件 500 元以上 2 萬元以下計算，最高損害賠償金總額為 2 億元。

1. 企業內，每部電腦主機都需要安裝端點防護軟體，以確保整體資安防護效果能落實。而企業除了需要保護員工、客戶或會員的個資安全，同時更要保護許多商業機密，請問貴公司目前安裝〔我們公司的產品〕的裝置數量及分布概況為何呢？
2. 能否分享貴公司曾經遭遇過的資安事件呢？
3. 貴公司目前常見的資安問題有哪些呢？目前遭遇的最大挑戰為何？
4. 當初在評估新的資安產品時，貴公司的主要的需求為何呢？評選要素有哪些呢？
5. 貴公司為何選擇〔我們公司的產品〕?
6. 在軟體佈署的過程中，有沒有碰到什麼問題？還是都一切順利呢？佈署的時間及人力花費大概是多少呢？
7. 使用〔我們公司的產品〕的產品這段時間以來，感覺如何？內部員工及主管的評價如何呢？
8. 以威脅數量來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如攔截的威脅數量、垃圾郵件數量）
9. 以流程簡化來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如電腦更新的處理）
10. 1以成本概念來看，貴公司對〔我們公司的產品〕的成效看法為何呢？（例如時間成本、人力成本）

可惜最後還是沒過關，我試著讓這些問題的前後加入一些「潤滑用的文字」，讓問題乍看之下比較有內涵。所以下面這是第8個版本：

Dear〔老闆〕，

關於客戶案例訪綱，延續原本的採訪方向，以下是問題的細節補強及調整，分為4個部份，共10個問題。請您過目，謝謝！

採訪主線：客戶使用〔我們公司的產品〕的經驗與成果分享

-------------------訪綱如下------------------

我們希望能以貴公司做為成功案例，分享使用〔我們公司的產品〕的經驗與成效。

第一部份：背景描述

近期對於企業資安最攸關的議題莫過於「個資法」，根據新版個資法第27條的規定，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」若企業違反個資法規範，因個資外洩而造成被害人損失，被害人將可依新版個資法第29條規定，向企業求償，求償金額可以每人每一事件，賠償500元到2萬元以下的金額，企業最高損害賠償金總額為2億元。

以往企業採購資安產品的主要需求是為了維持企業營運的順暢，不會受到惡意軟體干擾，但現在企業同時也必須要顧及法令問題，遵循個資法規範。以導入功能更完善的資安解決方案。使每個裝置、每個環節，都能夠有面面俱到的防護。

1.請問貴公司納入資安防護的裝置共有哪些呢？這些裝置的數量及分布概況又是如何呢？

第二部份：遭遇問題與需求

企業資安所重視的不只是加強「裝置本身」的安全性而已，「資料傳遞的過程」以及「人的行為」也需要管控，在資安控管範圍擴大之下，企業需要管理功能更強大的資安解決方案，以幫助IT人員能夠透過最有效率的方式進行管理，解決企業目前的資安問題。

2.請問貴公司之前遭遇的資安問題有哪些呢？其中最需要克服的問題又是什麼呢？
3.對於資安解決方案，貴公司重視的需求有哪些呢？
4.貴公司想要更換原本所使用的端點防護解決方案，其因素有哪些呢？原本所使用的解決方案是否無法達成貴公司的需求呢？

第三部份：導入過程

由於企業進行資安管控的裝置數量眾多，當企業決定更換新的資安解決方案時，要與資安廠商相互配合，運用最少的人力及時間成本，從測試開始，一直到快速完成規劃及佈署。同時也要確保後續維護的運作順暢，因此資安廠商的服務品質將成為導入新方案的成功關鍵。

5.請問貴公司當初考慮 〔我們公司的產品〕的原因有哪些呢？〔我們公司的產品〕最令貴公司看重的是哪一點呢？
6.請問貴公司在導入〔我們公司的產品〕e期間，其測試、規劃及佈署流程分別是如何進行呢？
7.承上題，貴公司導入〔我們公司的產品〕所使用的人力及時間成本為何呢？

第四部份：成效評估

在企業順利完成導入新的資安解決方案後，需要從不同角度去評估方案的成效，也將成為往後是否繼續沿用的指標。

8.從資安威脅數量的角度來看，貴公司認為〔我們公司的產品〕成效如何？
9.從資安管理的角度來看，貴公司認為〔我們公司的產品〕成效如何？
10.從成本的角度來看，貴公司認為〔我們公司的產品〕成效如何？

但上面這個版本最後還是沒過關，評語是「還不夠深」，oh my god。

原本想說最後一次應該沒問題了，但最後還是被打槍，嗯...之後我思考了一下，我想我的問題應該出在「我自己沒有試著去回答過這些問題」，所以才會寫出這麼多我自己看不到的盲點。於是今天我試著回答我提出的這些問題，結果真的是「慘不忍睹」，真的問不出什麼東西。最後還回顧一下我自己的回答：

1.請問貴公司納入資安防護的裝置共有哪些呢？這些裝置的數量及分布概況又是如何呢？
答：目前我們要防護電腦數量約為15台，並有3台伺服器，分布於新竹及台北兩地。

2.請問貴公司之前遭遇的資安問題有哪些呢？其中最需要克服的問題又是什麼呢？
答：我們之前沒有遭遇任何資安問題。

3.對於資安解決方案，貴公司重視的需求有哪些呢？
答：當然就是不要讓公司的電腦中毒，不要造成系統負擔，讓速度變慢之類的。

4.貴公司想要更換原本所使用的端點防護解決方案，其因素有哪些呢？原本所使用的解決方案是否無法達成貴公司的需求呢？
答：原本的雖然也沒有什麼中毒的情形發生，但是速度還是會有影響。

5.請問貴公司當初考慮〔我們公司的產品〕的原因有哪些呢？〔我們公司的產品〕最令貴公司看重的是哪一點呢？
答：覺得你們的管理功能做得比較好。

6.請問貴公司在導入〔我們公司的產品〕期間，其測試、規劃及佈署流程分別是如何進行呢？
答：之前大概測了半年，沒什麼問題，接著就由你們家的工程師來幫我們進行建置了。

7.承上題，貴公司導入〔我們公司的產品〕所使用的人力及時間成本為何呢？
答：我們公司負責這個case的就一個人而已，時間成本應該是你們公司比較多吧？你們都要派人過來。

8.從資安威脅數量的角度來看，貴公司認為〔我們公司的產品〕成效如何？
答：目前還感覺不到明顯的差異耶。

9.從資安管理的角度來看，貴公司認為〔我們公司的產品〕成效如何？
答：一樣感覺不到什麼差異。

10.從成本的角度來看，貴公司認為〔我們公司的產品〕成效如何？
答：你們家的軟體還滿貴的，這是高成本阿！

我的回答好虛，雖然回答都是隨便想的，但我可以體會到我的問題好像真的問不出來什麼好答案。你覺得咧？看來我又要重寫了。

photo credit: pasukaru76 via photopin cc