歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
親身涉入委外 執行管理之責
2011 / 02 / 25
魯智深
向公司請了一天假處理些個人的事務,沒想到比預期提早完成。趁著難得的空檔,漫步在東區的街頭,享受一下難得的寧靜。就這樣與以前的同事C君不期而遇。目前是資安顧問的C,外表看上去還是光鮮亮麗,只是眉宇深鎖,似乎有著無窮的壓力,就在街角的咖啡館,有了下面的對話。
「唉!!這年頭案子越來越難做了」C君迫不及待的就開始吐起苦水。
「如果案子好做,那還需要顧問來做什麼,你做顧問也不是第一天,這個道理你應該知道啊!」
「話是沒錯,或者說自己還要磨練吧。客戶簽完約,就很明白的告訴你,他們手邊事情很多,不太可能有多餘的時間精力來配合這個專案。擺明的接下來全部都是你顧問的事情。」
「訪談寫差異分析,這些本來就應該是顧問做的事,所有的程序書都要顧問一手包,說出來也許你不相信,那些程序書還包括日常的操作手冊,我那有辦法懂那麼多實務上操作的問題?還要把畫面一個一個剪下來,然後還不能寫得客戶看不懂。要客戶加強控制,又開始吵翻天,一下子說我們不懂他們實務,以前都沒有做還不是好好的。一下又說管的東西已經太多,也沒聽說其他單位有管得這樣嚴。反正只有一句話,我就是不做,看你能奈我何?」
「那不是展現你顧問實力的時候嗎?」半調侃的對C回了一句話。
「你也知道,顧問最後還有一招,找個其他人來稽核,到時候上了稽核報告,證明不是只有顧問一個人的想法,大家的看法都一致。沒想到這次踢到鐵板,客戶看到內部稽核報告,也不管過去得前因後果,就說顧問什麼事情都沒做,不然怎麼會被記缺失,擺明的是顧問在打爛仗,後面的結果要顧問自己來收。還直接和我們主管投訴,說其他單位最後驗證的時候是幾項缺失通過的,如果將來驗證的時候缺失數多於這個標準,到時候驗收就很麻煩了。」
「問題是客戶永遠是對的,你也只有耐心的把他做完,不過我覺得很好奇,客戶到底自己有沒有在做事?」
「怎麼說客戶沒做事,客戶把程序書從頭看到尾,然後問你說,建立、建置、設立、設置這四個詞有什麼不同,分別要用在什麼地方?」
委外作業,並不表示只要有廠商處理,接下來就可以不聞不問,到時候有問題就廠商全權處理,沒事情就天下太平。資安的業務,也不是產生了一堆程序文件,就可以高枕無憂的過日子。顧問固然對於整個方法論與相關得程序較為熟悉,但組織的特性與文化,還是業務承辦單位最為熟悉。如果只是百分之百的硬套顧問所提供的樣本,或是一味的抗拒變革,這樣的結果,對於組織是不會有成長的空間。更重要的是,通過驗證之後才會是另一段重頭戲的開始,如果還是對委外的廠商不負監督管理的責任,那36小時的當機事件,可能還會不斷的上演著。
委外
顧問
廠商
資安
稽核
驗收
建立
設置
設立
設置
程序
文件
承辦
操作手冊
控制
最新活動
2025.06.18
資安人講堂:四大面向打造「無邊界・零信任」極致安全架構
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.17
打造未來資安:從零信任到雲骨幹的全方位企業防禦實戰
2025.06.19
掌握 EOS 風險與升級攻略:別讓舊系統成為資安破口
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
OneDrive檔案選擇器漏洞 使第三方應用程式可完整存取使用者雲端硬碟
瀏覽器中間人攻擊如何在數秒內 竊取使用者連線憑證
新型供應鏈惡意軟體攻擊鎖定 npm 與 PyPI 生態,影響全球數百萬用戶
資安人科技網
文章推薦
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面