畫虎畫皮難畫骨

Ray，我是Steven，你能不能幫個忙？我以前的老闆，他說有一些資安的問題想找人請教，我覺得你是最佳人選，幫我做個面子，拜託啦！你什麼時間方便，我請他打電話給你，先謝了。改天中午再請你吃飯。」

Steven像機關槍般把話講完，他是我們程式設計的主管，心想這種順水人情何樂而不為，更何況他最近在程式開發上面也配合資安做了不少的修正。話筒才剛放下，電話鈴聲又響起來了。

「請問是魯先生嗎，很冒昧打擾您，我姓王，Steven是我以前同事，不知道可不可以麻煩您…。」

「Steven有和我說過，請問有什麼問題？」我簡短的回覆著。

「那我就不客氣了，是這樣我們稽核最近給我們寫了一個缺失，說我們的作業規章都沒有更動，他希望我們能夠補強，因為這方面過去沒有經驗，所以想和您請教。」

「喔! 那你可能要先看一下現行的作業流程，然後看有那些部分可以調整或需要加強的…。」

「這樣子太慢了，那我就開門見山地說，Steven說你以前是資安顧問，是不是能提供一些其他家的範本，這樣子改一改比較快。」

「對不起！我離開顧問業有一些時間，恐怕有的資料與現況已經不相符了。」我委婉的回答著。

「那沒有關係，要不然你就拿你們公司現有的文件給我就好了。」

「這…。」

「放心了，我不會講出去是你提供的，或是你把公司的名稱，以及其他一些比較機密的部分遮住，這樣就不會知道是你們公司的，最好是包括開放系統的管理、個人電腦管理，對了！網路的部分一定要，如果你們公司還有資安政策以及資訊治理的話，那就順便一起提供好了，再幫我整理一下，我過兩天再打電話給你。」

寫管理辦法不是第一次了，即使到現在，每一次修訂或撰寫新的文件，我一定要把現有的章則再看一遍，再去翻翻參考書，同時還要到網路上去找尋一些相關資料，更重要的是一定要明瞭現行的作業流程，而不是去套一堆官樣文章，或是寫一些完全不切實際的控管。有的時候還要怕字義被曲解，想想實際上可不可以執行，甚至連用字的前後一慣性都要統一。或許是沒什麼效率，反正寫了之後也很少有人看，甚至還有人說作業章則要寫的越模糊越好，這樣在實際運作時才有解釋的空間，不會被自己寫個規範綁死。也有人主張寫的越多，就給稽核更多寫缺失的機會，還是實際運作比較重要。

對於程序文件，許多人一直以來都是抱持著只要有就好的心態，從以前「數大就是美」的態度，認為把所有相關聯的文章都彙總在一起，或是到近期的「中學為體，西學為用」的想法，套用西方的方法論或架構，然後再把現有的章則重新分類一下，或是刻意強調幾階層的文件，無論印刷編排再精美，都是把編寫作業章則的目的給曲解了。要能符合組織的現況，同時在實務作業上能執行的作業規章，雖然沒有華麗的詞藻，或是清楚的架構，但整體而言一定有很好的評價。建立一份屬於自己資訊單位的章程，絕對是資訊安全作業成功的奠基石。