拜見資安行家

勤業眾信風險顧問協理萬幼筠：顧問眼中沒有無解的資安問題！
談到資安，不少投入資安建置的政府單位、大型企業都會提到資安顧問界的行家—勤業眾信萬幼筠協理。他雖為五年級生，但在資安領域卻是超過20年以上資歷的資安大老，處理過的資安案子不下數百件。
工作檔期除了滿還是滿，行程通常都排到一、兩個星期以後，一天工作時間平均12到13個小時是正常。但是，即使面臨工作滿載的情況，萬幼筠還是會抽空擠出時間，去教授一些資安相關課程，因為他認為台灣的資安教育環境和資安產業有斷層，他希望可以就目前他能力範圍內，為資安產業造就更多人才。
萬幼筠謙虛的說，他其實是專門幫客戶解決各項資安疑難雜症的專家，客戶一般有一種心態，覺得重金請顧問，就應當什麼都要會解決，因此舉凡任何資安相關事情，就算是和其他資安廠商合作解決不了的資安問題，也會一併向萬幼筠請益。
為了給客戶滿意的資安服務，不斷與客戶溝通、行程滿檔、接不完的電話，都是資安顧問普遍有的工作現象。所以資安顧問的抗壓性要夠，要懂得如何排譴壓力。萬幼筠分享他抗壓祕方，就是透過大量閱讀，充實新知。萬幼筠指出，其實顧問業是很容易被知識掏空的行業，因此他只要閒暇時間，就會閱讀各類型的書籍來充電。他覺得，資安不只是單一領域的專業，更需要多方吸收不同領域知識。

成功在於落實，忌唱高調
他更分享經營顧問工作心得，顧問最忌諱只會唱高調，而沒有務實去做的心態，因此是否擁有執行能力才是重點。同時，解決別人不能解決的資安問題，是他覺得最有成就感的事。
萬幼筠相當有自信的表示，客戶與我們團隊的關係都相當深厚，因為我們從不延宕，而且用心投入，所以只要經過一次交手印象就會相當深刻。

沒有無解的資安問題！
在每次合作過程中萬幼筠發現，天下沒有無解決的資安”技術”問題，最大問題在”人”。
因為資安技術與觀念通常只要擁有正確的方法論，並有實際執行能力加上經驗就已成功了一大半。在國外學校所重視及教導也就是這套方法論。

選擇資安只因 寧為雞首
從小就立志當學者和顧問的萬幼筠認為，目前工作讓他實現小時候的志向。至於當初為何選擇資安領域，是因清楚知道科技領域已人才濟濟，他在當中就算在努力、再突出也只不過是顆細砂。但是資安領域則不同，當時鮮少人投入，他心想如果他首先投入資安領域，未來的成功機會或許會大很多，就在一種「寧為雞首不為牛後」的心態下，毅然決然地決定壓寶資安產業。
沒幾年光景，萬幼筠資安證照就幾乎羅列，包括：國際公認電腦稽核師(CISA)、認證資訊系統安全專家(CISSP)、認證資訊安全管理師(CISM)、及BS7799資訊安全稽核師(BS7799 Lead Auditor)。同時國內第一個，也是規模第一BS 7799資安顧問團隊，就是萬幼筠成立的。
萬幼筠強調，成功的資安人需擁有溝通、發現問題、解決問題、執行、持續學習五大能力，如此相信在資安領域中將可遊刃有餘。

工作內容：
大的案件舉凡資安政策的規劃、小到任何資安執行的細節問題，都在萬幼筠管轄範圍內。他指出，通常資安顧問的工作相當繁忙，手中大型案件至少有四、五件，不但要同時進行還要將進度掌控得宜、並從規劃到落實執行一手包辦。



BSi大中國地區訓練經理蒲樹盛：稽核員的第一要件是身體要好！
來自英國的資訊安全標準BS7799，近年在國內水漲船高，成為許多有心導入資安管理企業的頭號參考目標。目前國內約有14家組織通過BS7799認證，其中有10家都是BSi英國標準協會台灣分公司的客戶。目前擔任BSi大中國地區訓練經理的蒲樹盛，除了負責稽核客戶是否通過BS7799的驗證要求外，由於擔任大中國地區訓練經理，常要台灣、大陸兩地跑，負責公司內稽核員的訓練課程安排和訓練事宜，尤其近年大陸地區設點越來越多，兩案奔波頻率也越高。

稽核員生活猶如空中飛人
除了勤跑對岸外，負責稽核工作常得視客戶的所在地而海內外四處奔波，蒲樹盛表示，稽核員平均一個月內有半個月都是在外出差旅行。除了高階主管外，大部份稽核員在公司內是沒有固定位置的。而不管客戶在何處，BSi規定稽核員最遲必需在早上8:50前向客戶報到，從上午九點工作到下午五點，滿八個小時。因此，他們常有清晨五點多趕飛機的經驗。
第一要件：身體要好
國外的案子，當然也不例外，令蒲樹盛印象最深刻的是，在BSi七年的工作經驗中，曾經有兩次在飛機上發燒，雖然難過，還是得咬牙撐到客戶那把工作完成，甚至連客戶都沒有察覺有異樣。畢竟每個稽核員常是工作滿檔，很難臨時抽調人手，而客戶的時程當然也不得延誤。因此，談到做稽核員的要件之一就是：身體要好。蒲樹盛提到，除了要把身體狀況控制好，由於常是獨自到遠地方出差，因此在外的安全也要格外留意；至於和家人聚少離多，又是另一個難題了。他笑說，累積了這麼高的飛行里程可是用命換來的。
到今年年底，蒲樹盛的行程已經滿檔。而稽核員自身專業的累積相當重要，除了不斷“output”外，還需時時充電。他表示平常會密切注意全球的發展趨勢，或是引進英國總公司的新標準。因此，辦研討會、活動、課程等來推廣「正確」的認知，也佔了工作中蠻大比例。

做稽核工作不能太主觀
提到面試新進人員的要求，蒲樹盛指出個人特質很重要，因為做的是稽核工作，個人不能太主觀，要能夠開放接受不同意見，而這些在面試時從言談中就能略知一二。他舉例有些面試者在言談中就會發現喜好爭辯，這多少也代表著太過主觀。而一個稽核員的訓練養成時間至少需半年，因此在徵才時也會格外謹慎。目前BSi台灣分公司的稽核員有二十多位，各自擁有不同的背景資歷，總公司對於人員的專業知識部份有相關的技術代碼要求；至於工作經驗部份，以往多是要求五年以上，現在由於人才難尋，經驗門檻已降至三年。
「因為一直都在學習新的東西，相信很多人喜歡這樣的工作。」蒲樹盛指出稽核員的工作可以不斷自我提升成長。不過要接受這些挑戰的前提是要保持良好體能狀況，以及在時間、工作和家庭中做好最適當的調配。

工作內容：
引進、提供全球最新資安發展趨勢(如資安市場趨勢、英國BSi最新標準)
宣導、加強資安的正確認知和意識(辦工作營、研討會、課程等)
實務經驗分享(如和承辦單位和顧問公司等)
提供客戶稽核、認證服務。(如BS7799、ISO9000等)
內部同事的教育訓練



台灣優利系統資訊安全與網路事業部資深經理呂孟玲：顧問的每一步路都不會白走！
資訊領域，向來是陽盛陰衰的局面；來到資安領域，女性同胞更顯珍貴，而其中許多亮麗的女性身影便是來自顧問業界，台灣優利系統資訊安全與網路事業部資深經理呂孟玲便是一例。呂孟玲談到去英國唸研究所時，原本想選當時熱門的電子商務科系，但受限於無技術背景，因此學校顧問推薦資訊安全會是未來熱門領域，碰巧又遇到人推薦資安為未來趨勢，讓原本猶豫的她下定決心，成了該校資安研究所首批來自台灣的畢業生，也開啟了她成為資安顧問的機緣。

顧問要懂得處理人的問題
「客戶雖來自各種領域，但安全管理的觀念是相通的，」呂孟玲表示，會針對不同行業的保護重點做量身訂做，但基礎的安全概念是互通的。不過每家客戶有各自特有的企業文化，這必須深入相處才能得知。「光做事情還容易，最怕是要處理人的問題。」她提到，客戶公司內部的恩怨情仇，他們並不知情，一不小心可能就會踩到火線，一接新案首先就是要去觀察人員的互動情形，運用不同的溝通方式和技巧，處理好人的問題才能讓案子推行得更順利。

做案子像坐雲宵飛車
贏得一件案子，除了有前期提企劃書的準備工作外，她形容，拿到案子後又是另一個痛苦的開始。不過痛苦竟然也會上癮，呂孟玲憶起有次兩天只睡兩個小時，「趕案子的時候很痛苦，但趕完後又很開心；若是受到客戶的肯定，會帶來更大的成就和滿足感。」因此一個案子結束，往往就忘了先前的痛苦，緊接著下一個案子開始，又是一次痛苦、快樂的輪迴。就像坐雲宵飛車般，高低起伏的兩種極端情緒，反而令呂孟玲愛上這樣精彩和富挑戰性的工作。由於資訊不斷進步，資安步伐自然也走得飛快，不斷有新的東西需要學習，她提到很多顧問都有資訊焦慮症，週末也不得閒，加上現在客戶的素質越來越高，顧問們不分工作天、週末，都有許多功課要做。

顧問要賣的是自己
而想做資安顧問需具備何種條件？她指出，要擅於溝通、表達要清楚、喜歡與人相處、樂於解決問題，同時思考的角度也應更「high level」，要從風險管理的角度思考，顧問不是只和資訊部門的主管對話，原因很清楚，資安若不能從高階管理主管推動難以落實。「做顧問是一種態度，」呂孟玲表示，她把自己定位在提供建議的角色，而不是只提供解決方法，更不是來賣產品。她會把自己設想在客戶的位置，用更長遠的角度思考如何做到更好。另外，女性較細心的特質也相當適合在安全領域發揮。
呂孟玲表示，踏入資安的這幾年是畢業後成長最快的時期，「成長最快，也最快樂。」「快樂來自於我知道自己要做什麼，也知道自己能做什麼。」她認為資安未來具有前景，值得新鮮人投入，雖然辛苦，但辛苦會有代價。她強調，「顧問要賣的是自己，而你的每一步都會留下記錄，都不會白走」。

工作內容：
資安顧問的工作便是協助客戶，針對該公司的重要資產保護和需求，上從政策的協助擬訂，下至相關設備的採購建議，協助客戶從管理著手，由上而下將資安防護完整導入。除了要花功夫準備企劃書，以贏得客戶案子外，真正進入案子的導入階段，才是更大挑戰的開始。呂孟玲和兩位同事組成一合作團隊，身為領隊的她要負責流程的管理、專案時程的掌控和行政管理事宜；另一位同事熟網路安全；另外一為則專長在密碼學，有人偏技術面，有人偏管理面，彼此可相互補足。



台北金融大樓安全室安全總監徐子文：安全需要的是T型人才！
提到台北的新地標，多數人馬上聯想到位在信義區的101大樓，而光是想像要負責這棟超高大樓的安全性，就令人覺得沉重、艱鉅。曾任UPS、遠傳電信安全主管的徐子文，目前正是台北金融大樓安全室安全總監，身負確保這棟大樓和內部人員的安全重任，無分實體安全和資訊安全。
徐子文的每任工作都和安全息息相關，但由於公司營業性質的差異，要保護的重要資產、面臨的挑戰也大不相同。在UPS時，管轄領域涵蓋四個國家五個機場，不同地區要因應不同文化予以管理；而遠傳最重視的則是客戶資料，因此會偏重於資訊安全；來到101大樓，則又稍微偏重實體的安全和緊急狀況處理。他在巡視大樓的同時，也在觀察人的行為，研究人在遇緊急危險事件時會做何反應，犯罪學、心理學都是近來的涉獵領域。

安全主管越老越值錢
「我們不是為了取悅老闆而存在，卻又要老闆付我們薪水，」徐子文指出安全人員在公司內的地位高低，和老闆是否重視安全大有關係，因為老闆要能夠包容這些「烏鴉」，而安全花費的成效雖無法立竿見影，卻是為了保障公司的長遠發展，「我們不直接賺錢，而是強化公司的體質、競爭力，協助公司賺錢。」因此安全人員很難證明自己的價值，重要的是老闆能夠認同、信任。「國外的安全主管是越老越值錢，安全專家是要經過千鎚百鍊的。」其價值便是來自豐富的經驗累積，才能臨場做出更準確的判斷。911之後，國外安全人員的薪水更是水漲船高，不過在國內則端視老闆的重視程度而定。

安全需要的是T型人才
在徐子文眼中安全是門應用科學、社會科學，包含著可被檢驗的科學成份，也有著管理人的藝術。除了需要有一專長的領域外，還要能橫跨實體、資安、人事、緊急應變等，「安全需要的是T型人才！」除了有一核心專長以外，還要對各相關領域廣泛涉略。包括法律、心理學、犯罪學等，因此安全人才常是來自各領域。他指出，未必一定要是理工技術出身，但要瞭解資訊科技，「畢竟電腦不犯罪，是人才犯罪，」因此只懂技術，不懂人亦不合適。
安全人員首重自身誠信
除了對人要有興趣外，徐子文認為太嚴肅的人亦不合適，因為較難去說服別人，畢竟安全觀念是需要依賴安全人員去傳播、銷售的。而安全主管更需要時常動腦袋去思考如何在有限資源下做最多的事，找到安全和便利的最佳平衡點，才能贏得老闆的信賴。而更為重要的是個人的誠信，「本身都做不好就不要想來做安全，」他表示，安全人員本身便是標竿人物，不能自己違反自己下的命令；更不可因為官大了就忘了自己的身份。
徐子文認為，實體和資安未來將會合流。但安全觀念和市場要能成熟普遍，可能還需要十幾年的時間。由於市場極具潛力，且這行重的是經驗累積，「現在正是卡位的好時機，」他鼓勵有興趣的人都可以加入，重點是：你是個T型人才。

工作內容：
目前徐子文手下不直接帶人，主要是和各管理部門協調，再由管理部門人員去執行。因此其身份類似總經理的高階幕僚，沒有直接的指揮權，需由總經理授與，總經理不在時，才遞補待位。平時負責安全政策、標準的擬定，並針對高階主管做教育訓練。若遇安全事件，必需緊急搜集資料情報，做評估判斷，並向總經理提供處理建議。因此對時勢、社會狀況的掌握也很重要。



ING安泰人壽風險管理室資深協理江韶文：沒有人做過的事，就不會做錯！
數學系畢業的江韶文，踏入壽險業20餘年，從一開始的程式設計師到目前ING安泰人壽風險管理室的主管，中間雖然歷經不同職務及工作，但不變的是他對工作的投入以及追求新知的熱忱。
目前擔任ING安泰人壽風險管理室資深協理的江韶文，不管是從資訊安全室或是到現在的風險管理室，所負責的工作性質，不外乎處理可能影響公司的危機、災害、事故等情事，隨時要有應付突發事故的準備及能力；而大部份時間，則是在推動與宣導全公司有關的各項資安活動。因此，目前的他，隨時需要大量與人溝通與接受備詢。

建立六大Best Practices
2001年ING安泰人壽成立資訊安全室，江韶文主要工作任務是負責資訊安全的規畫、推動及建構組織架構等。強調是以管理方式而非控制，所以在接觸BS7799後，便參考BS7799的精髓列出六大Best Practices，分別為：組織、政策、認知與訓練、Instant Report、Business Continue Plan及Audit（Monitor）機制等六項，做為ING安泰人壽在資訊安全管理作業推動的主軸。
當初總公司下令推動ISAP（Information Security Awareness Program），但資訊安全室只有3個人，因此江韶文建立一組織架構，成立資訊安全推行委員會，成員由公司每個部門指派一名人員參與。而有關公司資安活動的推動，就是由這個資訊安全推行委員會來執行，而由其各部門的經理人負責監督。這個組織架構之所以可以落實運作，除了獲得CEO的重視及支持外，各部門經理人的樂意配合，以及最主要的是員工均視為是工作項目之一，自然各項資訊安全活動或專案便可以被推動及執行。
除了藉由資訊安全推行委員會去推動各項資安活動外，他也負責追蹤、輔導被稽核的部門或單位。根據稽核室所查出公司所有的弱點，擬一稽核議題做為追蹤處理程序，並將各部門承諾要改善處理的結果報表，呈至總經理；因為總經理重視且關切這個稽核報表，也因此促使各部門努力去改善所有弱點。

熱愛工作，樂於工作
勇於接受新知及挑戰的江韶文，認為對工作感興趣最重要，所以他可以接受公司新部門及新任務的安排，正如全新領域之於他的資訊安全室。「沒有人做過的事情，就不會做錯」，由這句話充分展現他對工作的熱忱及勇於嘗試、接受不同挑戰的個性。也因為這樣的個性，以及提昇自我在工作領域的專業知識，他笑稱自己是最老考取「電腦稽核人員」CISA證照的人。
要成為IT人員需具備什哪些條件與特質呢？IT出身的他以過來人身分建議IT人員，在接受新工作及新任務時，不要馬上就自我設限，只做自己喜歡做的事，應該勇於去嘗試不同的領域並廣範接觸新事物；如此，不但可以擴展視野，也可以提昇個人的實力。

工作內容
在風險管理室每個階段所要執行的工作任務如下：
風險辨識：高階風險辨識、風險和控制自評、風險認知計劃
風險衡量：關鍵績效／風險指標（KPI/KRI）、事件報告與分析、風險資本計算、稽核議題行追蹤（AO Scan+）
風險追蹤：營運風險委員會、設立控制標準、內部控制報告（KPI/KRI）
風險消緩：控制建置、新產品核准流程、風險保險