觀點

資安稽核沒有考古題 找出風險比過關有價值

2012 / 12 / 17
魯智深
資安稽核沒有考古題  找出風險比過關有價值

雖說業界普遍不景氣,但公司高層卻頻頻走馬換將,光管轄後勤單位的副總今年就換了三位。剛上任這位聽說以前是法官退休,在其他單位的法務主管待了一陣子,就直接空降這個缺。

新副總上任的首要工作,便是年度外部的例行性查核,隨著稽核時間日益逼近,逐漸感受到副總的不安,被叫進辦公室問話的次數也就日漸增加。

「你知道這次查核人員的背景是什麼嗎?」

「大部分的稽核以前都有來過,但其中有一位之前沒有接觸過。」

「這不是我要問的重點,他們不是已經查核過很多次了嗎,那他們要問的問題你們應該很清楚,如果有新來的人,他問的問題是不是也都一樣,這你們都要先去打聽,為什麼我在你們的書面報告裡看不到這些?」

「雖然每次查核人員大部份都相同,但查核範圍都不太一樣,他們還會到現場觀察實際執行狀況,我們只會瞭解他們查核的模式和重點,但不會特別列出這些查核問題。」

「我覺得你們對這次的查核很輕率,事前準備工作根本不夠。你們應該要把查核人員會問的每一個問題都列出來,然後召集相關部門來開會,確認各部門都瞭解所列出來的問題,然後請他們回去準備答案。最好還可以拿到查核人員的標準答案,看看和我們準備的有什麼不一樣,甚至你們還可以去抽考那些受查核的人,看看他們有沒有把標準答案背熟,這樣才能確保會通過查核。怎麼能像你們現在這樣,都只是給我看一些日常執行的記錄,做事一點都不嚴謹,我真不知道你們要如何通過這次查核?!」

做資安那麼久,第一次讓我不知道如何回應,如果查核人員只是憑著一份萬年不變的考題,每年要求一成不變的回應,根本看不出組織有哪些風險,甚至可以說是交差了事,換另一個角度,如果資安工作的推動都能夠有標準答案,每個人都能按照所說的方式去做,那大概也不會有什麼資安事件了。

實際經驗告訴我們,每一次推動資安專案時,幾乎都得面臨各種反對意見,但真正碰到事情了,卻又反過來怪資安人員當初推動不力,或是酸資安人員當初沒有強調重要性,反正千錯萬錯都是負責資安的錯,這也就算了,沒想到現在連提供標準答案這件事也和資安有關,看來在下一次查核過程中,我要錄下稽核員所說的每一個字,明年的日子才可能好過些。