[ 資安人甘苦談 ] - 溝通，也是門教育訓練

這年頭願意做資安的人越來越少了，公司的職務一直有空缺的，稍為培養出一些經驗，很快的又轉進到其他的公司。新人又要從頭開始，但真正適當的人真不好找。趁著畢業的時候，趕快再補充一些新血輪。面試有的時候是當天工作歡樂的泉源，有些應徵者就是過度自信，一 副你不用我就是你公司的損失，再不然就冒出文不對題的回答。好不容易勉強地找到一位，最近的一位是內部查核人員，這算是他在公司的初登板。

也許是太過小心，總還是不敢放手讓他一個人做，但又怕這種被認為老古板的方式，現在年輕朋友又覺得沒有表現的空間，就只好先起個頭，然後就在旁邊看著他怎麼做。原本以為這樣的過程都還算順當，也就慢慢的放手。沒有想到後面寫報告的時候又讓我跳了起來。

也許是我當初沒有講清楚，或是同仁有自己的想法，第一版的報告放眼望去就只有兩個字「符合」，沒有前文也沒有結語，就連查核了那些項目也支字未提。如果我不是自身有參與一部分，根本不知道有查了那些。於是乎趕緊把新進的同事找來。
「怎麼你的報告上只有這兩個字，其他查核過程呢?」
「我之前在上XX標準課程的時候就這樣說阿，這是標準的查核語法呀。」
「但我們現在不是在做XX標準的查核，更何況這兩個字一定有需要比較的項目，那你在比較什麼呢?另外到底查了那些呢?」
「不是只要看標準的條款有做那些就好了嗎? 那既然是只要看標準，當然用那兩個字有什麼問題?」

聽了這樣的回答，趕快再把這次的查核目的及希望呈現的報告內容，重頭再講一次，又拿出以前其他同事做的當作參考範例，希望這樣的說明能對新進的同事有些幫助。只見他一臉不願意的表情拿回了報告。第二版的報告很快就回傳回來，但一樣讓我昏倒，除了把同樣的段落在不停的地方不斷的複製，明明在查應用系統開發，卻把防火牆的安裝也擺上去。看權限控管則寫備份程序，也不看看主要查核的項目，反正就塞了一大篇，有些明顯看得出來就是從網路上截取下來的。真是把查核報告當成以前在學校的期末報告在寫。

事情到這還沒有結束，就在收到報告後沒多久，其他同事就傳了一張社群網站的截圖，上面就是這位新同事的留言:「今天交完報告，那有資安主管可以不依照標準在查核，深深的覺得，需要再教育的是這位主管。」

我真的不曉得，什麼時候做資安只能看標準? 一切都需要照著標準的說法，超過了標準所列的控制項目就不能查，甚至連報告的內容也要照著標準格式。是我們過度迷失在標準的窠臼中? 還是我們不明白標準的精神? 甚至我們只是拿著標準做做樣子，但我知道當務之急，不是要和我們人事討論一下，這樣的同仁要如何處理，要不然我就是要趕快去參加「如何與e世代的同事共事」的教育訓練。