<div dir="ltr">Lets consider conflicts of interest within the whistleblower and BoD when making decisions.<div>Declaration of interests must be performed before involvement or decision making.</div><div><br></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 4:41 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>Bil,<br><br>This is really good stuff and I think it's moving towards the right direction. Often confusions arise from differing or unclear expectations and this document should really help.<br><br>

</div><div>Here's my feedback:<br><br><b>- Exclusions from Radical Transparency & Handling the Inappropriate Disclosure</b><br><div>We
 agree by this document that it isn't acceptable for the individual to 
inappropriately share the "excluded" information in certain settings. 
However, how do we handle that shared information if that happens? For 
example, if whistle blower claims aren't to be made public "either before, during, or after the processing of the complaint" then what do we do with the posted information? <br><br>(a)
 Should it live on and be both publicly accessible and archived at 
owasp? If so, this seems to be undermining the point of this policy.<br>(b)
 Should it be deleted and replaced with a message that the complaint has
 been received but it's not appropriate (per this policy) to post it 
publicly? If so, we should be very clear through this policy that this is the expected series of events.<br></div><div><br></div><div><b>- Updates to the Policy</b><br></div><div>I think we should add a final section that states the following:<br>

</div>Updates
 to this policy can be made by discussion and general consensus on the 
governance mailing list. Final approval for modifications will be 
ratified by the OWASP Foundation Board.<br><br></div><div><b>- Levels of information restriction</b><br></div><div>I'm not sure if I see a difference between levels (1) and (2) in our current setup. We could certainly look to change our setup, but I wanted to raise this for consideration. For example, because all mailing lists are public there is no distinction in my mind between (1) Public (most open) and (2) All OWASP members, staff, Board of Director. This means that any information posted to mailing lists must be appropriate to be disclosed to (1) Public. <br>

</div><div><b><br></b></div><div><b>- Levels (5) and (6)</b><br>(5) Executive Director, Board of Directors & (6) Board of Directors (most restricted)
<br></div><div>I think it is good to specify that some information falls into these categories and must be discussed in a non-public forum. This speaks to the larger value of expectation setting for everyone.</div><div><br>

</div><div>The purpose of this section is to make it clear that the document can evolve and to direct people to the right place to have that conversation.<br><br><br>Thanks for your work on this. I think it is a really good item to clarify and set expectations on a topic that can be ambiguous otherwise.<br>

</div><div><br><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>@_mwc<br><br></div></div><div><div class="h5">
<br><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 1:29 AM, Bil Corry <span dir="ltr"><<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">Let me clarify my comment – I am hooking into the existing disciplinary policy, rather than creating a parallel process within the Transparency policy.  There are a variety of policies that can be violated, it makes more sense to have a single disciplinary policy that the rest can refer to, rather than creating individual disciplinary sections in each policy.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">I can clean up the disciplinary policy after we're done with the transparency policy, if that's desired.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">To answer your question – if I were to setup a system, it would be a committee of members that weigh the evidence and make a ruling.  The BoD can then be used to appeal the decision.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">- Bil<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Josh Sokol [mailto:<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>] <br>

<b>Sent:</b> Thursday, June 19, 2014 10:17 PM</span></p><div><div><br><b>To:</b> Bil Corry<br><b>Cc:</b> OWASP GOVERNING<br><b>Subject:</b> Re: [Governance] Transparency Policy<u></u><u></u></div></div><p></p><div>
<div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Please don't feel like you have to defer to any existing policy or make any assumptions.  If you're taking the time and effort to draft this policy, who would you ideally like to see make that decision?<u></u><u></u></p>

</div><p class="MsoNormal">~josh<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><div><p class="MsoNormal">On Thu, Jun 19, 2014 at 2:36 PM, Bil Corry <<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>> wrote:<u></u><u></u></p>

<div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">Good question – I defer to the Whistleblower policy as to the disciplinary details, but my assumption is the BoD makes the final determination.  The Whistleblower policy can be updated to be more clear on this point.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">- Bil</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Josh Sokol [mailto:<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>] <br>

<b>Sent:</b> Thursday, June 19, 2014 6:19 PM</span><u></u><u></u></p><div><div><p class="MsoNormal"><br><b>To:</b> Bil Corry<br><b>Cc:</b> OWASP GOVERNING<br><b>Subject:</b> Re: [Governance] Transparency Policy<u></u><u></u></p>

</div></div><div><div><p class="MsoNormal"> <u></u><u></u></p><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">One question for clarity, who determines the action as a result of a policy violation?  The Compliance Officer?  A Committee?  The Board?  The ED?<u></u><u></u></p>

</div><p class="MsoNormal">~josh<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> <u></u><u></u></p><div><p class="MsoNormal">On Thu, Jun 19, 2014 at 9:48 AM, Bil Corry <<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>> wrote:<u></u><u></u></p>

<div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">Thanks Josh, I've updated the violation section based on your suggestion.  I also added the whistleblower exception, as our whistleblower policy states it is a confidential process. </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black">- Bil</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Josh Sokol [mailto:<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>] <br>

<b>Sent:</b> Thursday, June 19, 2014 4:06 PM<br><b>To:</b> Bil Corry<br><b>Cc:</b> OWASP GOVERNING<br><b>Subject:</b> Re: [Governance] Transparency Policy</span><u></u><u></u></p><div><div><p class="MsoNormal"> <u></u><u></u></p>

<div><div><p class="MsoNormal" style="margin-bottom:12.0pt">I really like where this is going.  It reads similar to a data classification plan and maybe we should even consider labeling documents based on the levels outlined.  When I have some time, I will try to add additional examples for consideration.  In the meantime, my only advice may be to rephrase the policy violations section at the bottom more along the lines of "including the possibility of suspension or revocation of membership, exclusion from OWASP events and mailing lists, or other such action as determined."<u></u><u></u></p>

</div><p class="MsoNormal">~josh<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> <u></u><u></u></p><div><p class="MsoNormal">On Thu, Jun 19, 2014 at 5:18 AM, Bil Corry <<a href="mailto:bil.corry@owasp.org" target="_blank">bil.corry@owasp.org</a>> wrote:<u></u><u></u></p>

<div><div><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">Hello Governance,</span><u></u><u></u></p><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">I am proposing we create (and have the BoD adopt) a policy on transparency to clarify the information that should never be shared publicly.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">To that end, I've created an initial draft, which you can find here:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Arial","sans-serif";color:black"><a href="https://www.owasp.org/index.php/Transparency_Policy" target="_blank">https://www.owasp.org/index.php/Transparency_Policy</a></span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">I'm requesting discussion and feedback on the draft, along with additional exclusions (I only started with two).</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">Thank you for your time in advance,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black"> </span><u></u><u></u></p><p class="MsoNormal"><span style="font-family:"Arial","sans-serif";color:black">- Bil</span><u></u><u></u></p>

</div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>Governance mailing list<br><a href="mailto:Governance@lists.owasp.org" target="_blank">Governance@lists.owasp.org</a><br>

<a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><u></u><u></u></p></div><p class="MsoNormal"> <u></u><u></u></p></div></div></div></div>

</div></div><p class="MsoNormal"> <u></u><u></u></p></div></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div><br>_______________________________________________<br>
Governance mailing list<br>
<a href="mailto:Governance@lists.owasp.org" target="_blank">Governance@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><br>
<br></blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
Governance mailing list<br>
<a href="mailto:Governance@lists.owasp.org">Governance@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><font style="color:rgb(153,153,153)" size="1">Global Board Member</font><br></div>

</div>