導正客戶觀念 提昇本身技術~顧問辛酸有誰知？

神啊！請多給我一點時間
相對於一般導入資訊安全產品的資訊安全顧問而言，一個導入資訊安全管理體系的資訊安全顧問更是必須有強迫自己全方位發展的意識與能力，畢竟一個安全機制的導入可能選擇的控管方式，是隨著各項不同產品的控管機制而有所不同，如何在已導入資訊安全產品時，制訂符合客戶的安全控管，抑或是在客戶尚未導入產品或欲更新其安全控管之軟硬體設備前，為客戶規劃適合其公司文化與作業方式的管理體系，這也才是屬於資訊安全管理導入顧問的價值與工作使命。

在這樣一個壓力下，不斷地了解整體資訊安全的趨勢，善用搜尋引擎閱讀無限發散的各項資訊，隨時注意國內外所發生的資訊安全事件及其因應方式，都是每天不可不吃的第四餐。不過，國內有關於資訊安全的資料稍嫌不足，國外Deloitte資訊風險知識入口網站每兩週的資料更新，以及相關資訊安全機構或網站資訊，是目前最常閱讀的資訊來源。

所以，英文在這個領域裡才是官方語言，閱讀蝌蚪文似乎已成為每天的家常便飯。進入這個領域的第一年曾跟大學同學戲稱，大學四年所讀的原文書，還比不上做這項工作一年內所讀的英文多。所以當午夜夢迴時偶有種想法，神啊！請多給我一點時間。

組織文化、個人認知　
待提升 在幾年的工作之中，反覆思考著一個問題：「如何讓一個企業的經營者了解資訊安全與企業營運息息相關？」，多數的台灣企業仍舊將企業的營運流程與資訊安全視為兩個獨立的議題來看待。 公司內一般的使用者部門所認為的資訊安全僅止於網路安全、系統安全層面，對於涉及到人員、作業流程所隱含的資訊風險，如客戶資料的外洩、企業的持續營運多半不受重視，或未做整體性的衡量。是故，往往可以在影印機、印表機旁發現屬於客戶基本資料的廢紙；在制訂密碼管理規則時，總會有使用者跳出來反對，為什麼要我每三個月就換一次密碼，還規定要四碼以上，還不能跟以前幾次的重複。 其次，對於資訊安全認知較有意識的管理階層，開始要求制訂各項標準作業程序時，資訊部門自行撰寫或委請外部顧問開始建置起整體的資訊安全管理體系，惟這往往是最難的一件事情。

曾與某公司的專案負責窗口聊起專案導入事宜時，他坦白地說出不想接下這樣的一份專案工作，因為大多的使用者都是不理性的，無法體會資訊安全管理體系導入後對公司所帶來的價值，對一般的使用者而言，這只是個對他們必須付出額外成本，浪費時間與精神的管理體系，所以如果可以選擇的話，他寧可不要接下這一份工作。

此外想像在另一個場景，一場BCP的營運衝擊分析完成後，開始討論各項流程異地備援的先後順序，各部門主管都要求自己部門內的各項工作，都必須在一天內回復各系統以降低衝擊，一場部門本位主義的大戰又不知須爭論到何時方能進行下一階段的程序制訂。

最難部份是公司成員認知
一個整體性資訊安全體系建置，網路安全、系統安全相對而言都是屬於較容易佈建的一環，最難達成的部份還是在於公司成員的認知。投入相當的資金，可以添購適當的網路安全設備，投入相同的資金卻可能無法提升公司成員的資訊安全認知的意識。原因為何？當大多數人都將資訊安全的觀念停留在網路層面、系統層面時，卻不曾注意起自己有過類似的做法：要求資訊人員不可設定系統強迫更改密碼；將自己的帳號與密碼以便利貼的方式貼在螢幕旁的醒目位置；業務人員為求工作上的方便，強力要求開放各項網路服務以與客戶聯繫；涉及機密資料之文件於列印完後卻未取回。

諸如此類的真實現象，一個再強而有力的網路安全架構、一個系統權限設定再多嚴謹的控管，終將於人性的弱點暴露之下功虧一簣。當政府端出一盤一年幾千萬的資訊安全牛肉大餐時，曾與一位銀行業資訊安全主管對此有過相同的想法：「難！當組織的文化與個人的習性皆未能提昇時，一個再嚴謹的認證方式都是無法達成推展資訊安全的理想的。」

標準作業程序　非解危萬靈丹
一場SARS的戰役激起了台灣各大小媒體的評論，指出政府缺乏標準作業程序或作業機制不當導致防疫大戰漏洞百出。而曾看過暨南大學李家同教授所談論的：「在我看來，政府目前的管理制度，至少有以下幾個嚴重的缺點：
(1)沒有一個跨部會而又有地方政府代表的總指揮中心；
(2)沒有建立管理情報系統（Management information system）；
(3)沒有鉅細靡遺的標準作業程序」。

而這些其實也足以套用於一般的企業組織中，只是光是以上三點又是否足夠？台灣的企業多半對於文件的管理與稽核制度甚為忽視，所以當專案完成兩年後再來檢視相關的文件時，多半還是兩年前的那一份。而稽核的工作，則是能不做則不做或是大事化小、小事化無，畢竟這不是法令所要求的工作，也存著不想找同事麻煩的心態，所以一套良好的管理體系也往往隨著時間的流逝、流程與環境的改變而早已不適用了。

如果把專案的成果，當成資訊安全顧問這個爸爸和企業相關負責人員這個媽媽所共同孕育出的小嬰兒話，往往小嬰兒都沒發育好，長得一副營養不良的樣子，對於辛苦導入的顧問而言並非是個成功的專案，工作所帶來的成就感也會打個折扣了。

資安是一門「管理的藝術」
少數的資訊安全顧問，認為資訊安全體系建置的專案其實是很簡單的，資訊安全政策、管理程序其實有著許多參考不完的範本。殊不知一個體系的文件建立與一個體系的實質運作，缺乏一個「認知提昇」的催化劑。當衡量一個可供執行的資訊安全體系時，以流程的角度切入其最主要之原因，也在於藉由訪談的過程中，了解到屬於這個流程所涉及人員的工作習性與組織文化，進而可分析屬於這組織文化下的人性弱點。

「橫看成嶺側成峰、遠近高低各不同」，同樣一套資訊安全政策與管理程序，再加入了不同的評估模式後，所呈現出來的也許是大同小異，但對於實際運作之有效性做衡量時，可能就產生了截然不同的結果了。

做一個稱職的資訊安全顧問不應僅是涉獵有關於資訊安全方面的資訊，不斷地累積管理方面的知識，閱讀各項管理學的聖經、新知，也都是一個成功的資訊安全顧問所應努力的方向，因為往往解決專案導入問題的地方不在於技術面的排除，而在於組織文化、獎懲績效，甚至於是流程改造中所蘊含的理論架構，所使用於資訊安全管理的一種運用方式，而這也正是多數資訊安全同業的顧問所應共同努力的方向。

（本文作者現職為勤業眾信會計師事務所企業風險管理組副理）