歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
[ 資安人甘苦談 ] - 溝通,也是門教育訓練
2014 / 09 / 17
魯智深
這年頭願意做資安的人越來越少了,公司的職務一直有空缺的,稍為培養出一些經驗,很快的又轉進到其他的公司。新人又要從頭開始,但真正適當的人真不好找。趁著畢業的時候,趕快再補充一些新血輪。面試有的時候是當天工作歡樂的泉源,有些應徵者就是過度自信,一 副你不用我就是你公司的損失,再不然就冒出文不對題的回答。好不容易勉強地找到一位,最近的一位是內部查核人員,這算是他在公司的初登板。
也許是太過小心,總還是不敢放手讓他一個人做,但又怕這種被認為老古板的方式,現在年輕朋友又覺得沒有表現的空間,就只好先起個頭,然後就在旁邊看著他怎麼做。原本以為這樣的過程都還算順當,也就慢慢的放手。沒有想到後面寫報告的時候又讓我跳了起來。
也許是我當初沒有講清楚,或是同仁有自己的想法,第一版的報告放眼望去就只有兩個字「符合」,沒有前文也沒有結語,就連查核了那些項目也支字未提。如果我不是自身有參與一部分,根本不知道有查了那些。於是乎趕緊把新進的同事找來。
「怎麼你的報告上只有這兩個字,其他查核過程呢?」
「我之前在上XX標準課程的時候就這樣說阿,這是標準的查核語法呀。」
「但我們現在不是在做XX標準的查核,更何況這兩個字一定有需要比較的項目,那你在比較什麼呢?另外到底查了那些呢?」
「不是只要看標準的條款有做那些就好了嗎? 那既然是只要看標準,當然用那兩個字有什麼問題?」
聽了這樣的回答,趕快再把這次的查核目的及希望呈現的報告內容,重頭再講一次,又拿出以前其他同事做的當作參考範例,希望這樣的說明能對新進的同事有些幫助。只見他一臉不願意的表情拿回了報告。第二版的報告很快就回傳回來,但一樣讓我昏倒,除了把同樣的段落在不停的地方不斷的複製,明明在查應用系統開發,卻把防火牆的安裝也擺上去。看權限控管則寫備份程序,也不看看主要查核的項目,反正就塞了一大篇,有些明顯看得出來就是從網路上截取下來的。真是把查核報告當成以前在學校的期末報告在寫。
事情到這還沒有結束,就在收到報告後沒多久,其他同事就傳了一張社群網站的截圖,上面就是這位新同事的留言:「今天交完報告,那有資安主管可以不依照標準在查核,深深的覺得,需要再教育的是這位主管。」
我真的不曉得,什麼時候做資安只能看標準? 一切都需要照著標準的說法,超過了標準所列的控制項目就不能查,甚至連報告的內容也要照著標準格式。是我們過度迷失在標準的窠臼中? 還是我們不明白標準的精神? 甚至我們只是拿著標準做做樣子,但我知道當務之急,不是要和我們人事討論一下,這樣的同仁要如何處理,要不然我就是要趕快去參加「如何與e世代的同事共事」的教育訓練。
溝通
教育訓練
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
Fortinet修補遭駭客利用數月的FortiOS零時差漏洞
美國FTC提告GoDaddy長年網路安全防護不足
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰