資安稽核沒有考古題 找出風險比過關有價值

 

* 你在乎網路的隱私權嗎?

*
你的資料還在裸奔嗎?

*
你擔心程式被竊取嗎?

*
你擔心機密文件被駭客入侵嗎?

*
資訊安全專家 - 正新電腦將提供給您資訊保安的產品和服務。

雖說業界普遍不景氣,但公司高層卻頻頻走馬換將,光管轄後勤單位的副總今年就換了三位。剛上任這位聽說以前是法官退休,在其他單位的法務主管待了一陣子,就直接空降這個缺。

 

新副總上任的首要工作,便是年度外部的例行性查核,隨著稽核時間日益逼近,逐漸感受到副總的不安,被叫進辦公室問話的次數也就日漸增加。

 

「你知道這次查核人員的背景是什麼嗎?」

 

「大部分的稽核以前都有來過,但其中有一位之前沒有接觸過。」

 

「這不是我要問的重點,他們不是已經查核過很多次了嗎,那他們要問的問題你們應該很清楚,如果有新來的人,他問的問題是不是也都一樣,這你們都要先去打聽,為什麼我在你們的書面報告裡看不到這些?」

 

「雖然每次查核人員大部份都相同,但查核範圍都不太一樣,他們還會到現場觀察實際執行狀況,我們只會瞭解他們查核的模式和重點,但不會特別列出這些查核問題。」

 

「我 覺得你們對這次的查核很輕率,事前準備工作根本不夠。你們應該要把查核人員會問的每一個問題都列出來,然後召集相關部門來開會,確認各部門都瞭解所列出來 的問題,然後請他們回去準備答案。最好還可以拿到查核人員的標準答案,看看和我們準備的有什麼不一樣,甚至你們還可以去抽考那些受查核的人,看看他們有沒 有把標準答案背熟,這樣才能確保會通過查核。怎麼能像你們現在這樣,都只是給我看一些日常執行的記錄,做事一點都不嚴謹,我真不知道你們要如何通過這次查 核?!

 

做資 安那麼久,第一次讓我不知道如何回應,如果查核人員只是憑著一份萬年不變的考題,每年要求一成不變的回應,根本看不出組織有哪些風險,甚至可以說是交差了 事,換另一個角度,如果資安工作的推動都能夠有標準答案,每個人都能按照所說的方式去做,那大概也不會有什麼資安事件了。

 

實際 經驗告訴我們,每一次推動資安專案時,幾乎都得面臨各種反對意見,但真正碰到事情了,卻又反過來怪資安人員當初推動不力,或是酸資安人員當初沒有強調重要 性,反正千錯萬錯都是負責資安的錯,這也就算了,沒想到現在連提供標準答案這件事也和資安有關,看來在下一次查核過程中,我要錄下稽核員所說的每一個字, 明年的日子才可能好過些。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7257

SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。

有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : http://www.pronew.com.tw

正新電腦  TEL : 04-2473-8309