新聞

畫虎畫皮難畫骨

2007 / 01 / 08
魯智深
畫虎畫皮難畫骨
Ray,我是Steven,你能不能幫個忙?我以前的老闆,他說有一些資安的問題想找人請教,我覺得你是最佳人選,幫我做個面子,拜託啦!你什麼時間方便,我請他打電話給你,先謝了。改天中午再請你吃飯。」

Steven像機關槍般把話講完,他是我們程式設計的主管,心想這種順水人情何樂而不為,更何況他最近在程式開發上面也配合資安做了不少的修正。話筒才剛放下,電話鈴聲又響起來了。

「請問是魯先生嗎,很冒昧打擾您,我姓王,Steven是我以前同事,不知道可不可以麻煩您…。」

「Steven有和我說過,請問有什麼問題?」我簡短的回覆著。

「那我就不客氣了,是這樣我們稽核最近給我們寫了一個缺失,說我們的作業規章都沒有更動,他希望我們能夠補強,因為這方面過去沒有經驗,所以想和您請教。」

「喔! 那你可能要先看一下現行的作業流程,然後看有那些部分可以調整或需要加強的…。」

「這樣子太慢了,那我就開門見山地說,Steven說你以前是資安顧問,是不是能提供一些其他家的範本,這樣子改一改比較快。」

「對不起!我離開顧問業有一些時間,恐怕有的資料與現況已經不相符了。」我委婉的回答著。

「那沒有關係,要不然你就拿你們公司現有的文件給我就好了。」

「這…。」

「放心了,我不會講出去是你提供的,或是你把公司的名稱,以及其他一些比較機密的部分遮住,這樣就不會知道是你們公司的,最好是包括開放系統的管理、個人電腦管理,對了!網路的部分一定要,如果你們公司還有資安政策以及資訊治理的話,那就順便一起提供好了,再幫我整理一下,我過兩天再打電話給你。」

寫管理辦法不是第一次了,即使到現在,每一次修訂或撰寫新的文件,我一定要把現有的章則再看一遍,再去翻翻參考書,同時還要到網路上去找尋一些相關資料,更重要的是一定要明瞭現行的作業流程,而不是去套一堆官樣文章,或是寫一些完全不切實際的控管。有的時候還要怕字義被曲解,想想實際上可不可以執行,甚至連用字的前後一慣性都要統一。或許是沒什麼效率,反正寫了之後也很少有人看,甚至還有人說作業章則要寫的越模糊越好,這樣在實際運作時才有解釋的空間,不會被自己寫個規範綁死。也有人主張寫的越多,就給稽核更多寫缺失的機會,還是實際運作比較重要。

對於程序文件,許多人一直以來都是抱持著只要有就好的心態,從以前「數大就是美」的態度,認為把所有相關聯的文章都彙總在一起,或是到近期的「中學為體,西學為用」的想法,套用西方的方法論或架構,然後再把現有的章則重新分類一下,或是刻意強調幾階層的文件,無論印刷編排再精美,都是把編寫作業章則的目的給曲解了。要能符合組織的現況,同時在實務作業上能執行的作業規章,雖然沒有華麗的詞藻,或是清楚的架構,但整體而言一定有很好的評價。建立一份屬於自己資訊單位的章程,絕對是資訊安全作業成功的奠基石。