觀點

一個測試紀錄,後面還有這麼大的玄機?!

2015 / 02 / 16
編輯部
一個測試紀錄,後面還有這麼大的玄機?!

    委外廠商查核的案件真是數量驚人,不但案件多,現在要查的東西也越來越多。以往只要看資訊安全一項,現在連個人資料也要看。這些廠商和公司承攬的業務都不同,很難用一張檢核表涵蓋全部,每家都要重新設計查核項目。也難怪,資安部門現在聽到委外查核就要唉聲四起。

    這次又安排了另外一家委外廠商,資安聽說也是做了好幾年,也有通過認證,至於個資保護則剛開始做。反正該看的還是不會少。看到程式開發這個部份,程序書上寫得很清楚,程式要先經過測試,並留下測試報告之後,才可以進行程式變更。但翻了翻最近的程式修改紀錄,怎麼就是找不到與測試資料。怕是因為程式修改的幅度太小,又找了近期新上線的系統,結果還是沒有看到和測試有關的文件。先與訪談的同仁確認後,這一條就列入的查核發現事項。就在結束會議上,另一位資訊同仁站起來說話

「這個案子我明明有測試,為了這個測試都加班了好久,怎麼會沒有測試紀錄呢?」
「但是我在電子表單裏面也沒看到,實體文件也沒有,所以我才寫下這條查核發現。」
「嗯,我想想,應該是前一陣子驗收,我拿去總務那邊,我馬上拿過來給你。」
「我還是要看一下,如果新上線的系統有測試,那其他的程式修改呢?」
「這我不管,反正新系統有測試紀錄,你就不能寫我的缺失。」

    這下子有些尷尬了,明明與訪談的同仁確認過,他也都說測試是沒有做得很完整,怎麼會結果完全不一樣呢? 趁著會議結束,趕緊又再找來那位同仁。

「你如果要寫缺失,算我這裡好了,還是你如果缺失數不夠,我多和你講一條,這樣應該就可以了吧?」
「但這不是缺失數的問題,而是你們的程序書就這樣寫,我也是照著你們的程序書來稽核。」
「是這樣說沒錯,但剛剛發言的是主管,主管都已經這樣說了,那缺失就只能我們來扛,基本上你提的是新系統,所以才有測試紀錄,不然我們平常是不會有測試紀錄的,更何況我們有些都沒有測試環境,就直接換版上線後再測試,那怎麼可能會再留紀錄?」

    原來小小一個測試紀錄,後面還有這麼大的玄機,如果不是結束會議已經結束了,也許我可以再多寫一兩條缺失,但缺失寫再多,如果還是發現了錯誤,要不就死不認錯,要不就找代罪羔羊,但這都不能真正解決問題,只能讓資安看上去一片太平,只是我很懷疑,到底這下子又有多少的未爆彈呢?