拜見資安行家（上）

工作檔期除了滿還是滿，行程通常都排到一、兩個星期以後，一天工作時間平均12到13個小時是正常。但是，即使面臨工作滿載的情況，萬幼筠還是會抽空擠出時間，去教授一些資安相關課程，因為他認為台灣的資安教育環境和資安產業有斷層，他希望可以就目前他能力範圍內，為資安產業造就更多人才。

萬幼筠謙虛的說，他其實是專門幫客戶解決各項資安疑難雜症的專家，客戶一般會有一種心態也可以說是一種對顧問的迷思，覺得花重金請來顧問，就應當什麼都要會解決，因此舉凡任何資安相關事情，就算是客戶與其他資安廠商合作解決不了的資安問題，也會一併轉向萬幼筠請益。

為了給客戶滿意的資安服務，行程滿檔、不斷與客戶溝通、接不完的電話，都是資安顧問普遍有的工作現象。所以資安顧問的抗壓性也要夠，要懂得如何排譴自己壓力。萬幼筠分享他的抗壓祕方，就是透過大量的閱讀，充實新知並增加自己的能力。萬幼筠強調，其實顧問業是很容易被知識掏空的行業，因此他只要閒暇時間，就會閱讀各類型的書籍來充電。他覺得，資安不只是單一領域的專業，更需要多面項的去吸收各種不同領域的知識。

成功在於落實，忌唱高調

他更分享經營顧問工作的心得，其指出，顧問最忌諱的就是只會唱高調，而沒有務實的心態，因此顧問是否擁有實際落實執行的能力，以及是否有用心投入才是最重要的部份。而令他覺得最有成就成的事，就是當別人不能解決的問題，你卻可以迎刃而解，即使工作壓力和挑戰再艱巨都很值得。

萬幼筠相當有自信的表示，通常客戶與我們團隊的關係都相當深厚，因為我們從不延宕，而且實際用心投入，只要經過一次的交手印象就會相當深刻、粘著度也會很深。

沒有無解資安問題!

從每次的合作過程當中，萬幼筠都有很深的體悟，他發現，天下沒有不能解決的資安”技術”問題，最大的資安問題在於”人”。

資安的技術與觀念通常只要擁有正確的方法論，並有實際執行的能力加上經驗就已成功了一大半。在國外學校所重視並在教導也就是一套方法論，如何能實際應用出來就是每個人的功力所在。

選擇資安只因寧為雞首

從小就立志當學者和顧問的萬幼筠認為，目前的工作正讓他實現了小時候的志向。至於當初為何選擇資安領域，萬幼筠指出，因為他很清楚知道在一般的科技領域已人才濟濟，他在當中就在再努力、再突出也只不過是顆細砂。但是資安領域則不同，當時還沒有什麼人投入，當時他心想如果他首先投入資安領域，未來的成功機會或許會大很多，就在一種「寧為雞首不為牛後」的心態下，毅然決然地決定壓寶資安產業，並離開資策會投效到顧問公司全力發揮其長才。

同時在當時也巧遇他的恩師鄭祥勝(他是國內第一位研究BS 7799的人)一直不斷地鼓勵他去專研BS 7799。這當中沒有幾年的光景，萬幼筠光證照的部份就幾乎把所有資安相關的證照全部羅列，包括：國際公認電腦稽核師(CISA)、認證資訊系統安全專家(CISSP)、認證資訊安全管理師(CISM)、以及BS7799資訊安全稽核師(BS7799 Lead Auditor)。同時國內第一個BS 7799的資安顧問團隊，就是萬幼筠成立的。

最後，萬幼筠強調，資安人需擁有五大能力：溝通、發現問題、解決問題、執行、持續學習的能力，擁有這五大能力後相信就足夠在資安領域中遊刃有餘。


蒲樹盛：稽核員的第一要件是身體要好！（BSi大中國地區訓練經理）
來自英國的資訊安全標準BS7799，近年在國內水漲船高，成為許多有心導入資安管理企業的頭號參考目標，目前國內約有14家組織通過BS7799認證，其中有10家都是BSi英國標準協會台灣分公司的客戶，目前擔任BSi大中國地區訓練經理的蒲樹盛，除了負責稽核客戶是否通過BS7799的驗證要求外，由於擔任大中國地區訓練經理，常要台灣、大陸兩地跑，負責公司內稽核員的訓練課程安排和訓練事宜，尤其近年大陸地區設點越來越多，兩案奔波的頻率也越高。

稽核員生活猶如空中飛人

除了勤跑對岸外，負責稽核工作常得視客戶的所在地而海內外四處奔波，蒲樹盛表示，稽核員平均一個月內有半個月都是在外出差旅行。除了高階主管外，大部份稽核員在公司內是沒有固定位置的。而不管客戶在何處，BSi規定稽核員最遲必需在早上8:50前向客戶報到，從上午九點工作到下午五點，滿八個小時。因此，他們常有清晨五點多趕飛機的經驗，因為九點前稽核員就得到達無論埔里、高雄..任何客戶的所在地。

稽核員第一要件：身體要好

國外的案子，當然也不例外，令蒲樹盛印象最深刻的是，在BSi七年的工作經驗中，曾經有兩次在飛機上發燒，雖然難過，還是得咬牙撐到客戶那把工作完成，甚至連客戶都沒有察覺有異樣。畢竟每個稽核員常是工作滿檔，很難臨時抽調人手，而客戶的時程當然也不得延誤。因此，談到做稽核員的要件之一就是：身體要好，蒲樹盛提到，除了要把身體狀況控制好，由於常是獨自到遠地方出差，因此在外的安全也要自己格外留意；至於和家人聚少離多，又是另一個課題了。他笑說，累積了這麼高的飛行里程可是用命換來的。

由於很少進辦公室，一進辦公室自然活動排得滿滿的，到今年年底，蒲樹盛的行程已經滿檔。而稽核員自身專業的累積相當重要，除了不斷output外，還需時時充電。他表示平常會密切注意全球的發展趨勢，或是引進英國總公司的新標準，例如有關企業員工篩選的BS7858、軟體開發安全的BS15000，都屬較細項的資安標準，也是組織在推動BS7799之外，其他可供參考、導入的規範。因此、辦研討會、活動、課程等來推廣「正確」的認知，也佔了工作中的蠻大比例。

做稽核工作不能太主觀

提到面試新進人員的要求，蒲樹盛指出個人特質很重要，因為做的是稽核工作，個人不能太主觀，要能夠開放接受不同意見，而這些在面試時從言談中就能略知一二，他舉例有些面試者在言談中就會發現喜好爭辯，這多少也代表著太過主觀。而一個稽核員的訓練養成時間至少也需半年，因此在徵才時也會格外謹慎。目前BSi台灣分公司的稽核員有二十多位，各自擁有不同的背景資歷，總公司對於人員的專業知識部份有相關的技術代碼要求；至於工作經驗部份，以往多是要求五年以上，現在由於人才難尋，經驗門檻已降至三年。

「因為一直都在學習新的東西，相信很多人喜歡這樣的工作。」蒲樹盛指出稽核員的工作可以不斷自我提升、成長。不過要接受這些挑戰的前題還是要保持良好體能狀況，以及在時間、工作和家庭中做好最適當的調配。


呂孟玲：顧問的每一步路都不會白走！（台灣優利系統資訊安全與網路事業部資深經理）
資訊領域，向來是陽盛陰衰的局面；來到資安領域，女性同胞更顯珍貴，而其中許多亮麗的女性身影便是來自顧問業界，台灣優利系統資訊安全與網路事業部資深經理呂孟玲便是一例。談到當初為何會選擇英國倫敦University of Westminster的資訊安全研究所就讀，其實也算是個巧合。

呂孟玲表示，當初赴英國唸研究所，原本想選當時熱門的電子商務科系，但由於需要技術背景，因此在學校顧問的推薦下，選擇了未來會很熱門的資訊安全，碰巧又遇到人推薦資安會是未來的趨勢，讓原本猶豫的她下定決心，成了該學校資訊安全研究所首批來自台灣的畢業生，也開啟了她成為資安顧問的機緣。

唸完書回國後，呂孟玲曾經做過會計事務所的稽核員，也當過會計事務所的資安顧問，目前來到系統整合大廠優利的資訊安全部門。呂孟玲表示，在系統廠商這邊，有整體的資源可以利用，主機部門執行過的案子，可能會再交由他們來負責安全的部份；案件的來源也會比較多樣化，像優利擅長於金融領域，金融的安全挑戰、要求均高，做過較複雜的金融案子，再做其他產業就較游刃有餘。

顧問要懂得處理人的問題

「安全管理的觀念是相通的，」呂孟玲表示，會針對不同行業的保護重點做量身訂做，但基礎的安全概念是互通的，例如製造業重視的是研發資料的保護；銀行業則是客戶資料、存取權限，只要先將重點定義好，便可將安全觀念、理論應用在不同領域上。不過每家客戶有各自特有的企業文化，這必須深入相處才能得知。「光做事情還容易，最怕是要處理人的問題。」呂孟玲提到，客戶公司內部的恩怨情仇，他們並不知情，一不小心可能就會踩到火線，因此必需要很小心地去觀察；和不同的人有不同的溝通方式，處理好人的問題才能讓案子推行得更順利。

做案子像坐雲宵飛車

而贏得一件案子，除了有前期提企劃書的準備工作外，她形容，拿到案子後又是另一個痛苦的開始。不過痛苦竟然也會上癮，呂孟玲憶起有次兩天只睡兩個小時，趕案子的時候很痛苦，但趕完後又很開心；若是受到客戶的肯定，更會帶來極大的成就和滿足感。因此一個案子結束，往往就忘了先前的痛苦，緊接著下一個案子開始，又是一次痛苦、快樂的輪迴。就像坐雲宵飛車般，高低起伏的兩種極端情緒，呂孟玲卻愛上這樣的精彩和挑戰性。由於資訊不斷進步，資安步伐自然也走得飛快，不斷有新的東西需要學習，她提到很多顧問都有資訊焦慮症，週末也不得閒，加上現在客戶的素質越來越高，顧問們不分工作天、週末，都有許多功課要做。

顧問要賣的是自己

而想做資安顧問需具備何種條件？她指出，要擅於溝通、表達要清楚、喜歡與人相處、樂於解決問題，同時思考的角度也應更「high level」，要從風險管理的角度思考，顧問不是只和資訊部門的主管對話，原因很清楚，資安若不能從高階管理主管推動難以落實。「做顧問是一種態度，」呂孟玲表示，她把自己定位在提供建議的角色，而不是只提供解決方法，更不是來賣產品。即便客戶知道自己的需求，但難免會跼限在自己的角度上，她會把自己設想在客戶的位置，用更長遠的角度來看，要如何做到更好。另外，女性較細心的特質也相當適合在安全領域發揮。

呂孟玲表示，踏入資安的這幾年是畢業後成長最快的時期，成長最快，也最快樂。「快樂來自於我知道自己要做什麼，也知道自己能做什麼。」她認為資安未來具有前景，值得新鮮人投入，雖然辛苦，但辛苦會有代價。她強調，「顧問要賣的是自己，而你的每一步都會留下記錄，都不會白走」。