歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
主管機關除了要求、還需引導
2014 / 12 / 01
編輯部
站在登機口的一隅,一眼就看到一位過往一起工作過的同事V。幾年不見,對方現在已經是國內某家銀行香港分行的主管。在這樣的場合碰面,大家總是覺得想要聊的議題太多,也因為這樣的機緣,除了在海外換來一頓米其林主廚的港式點心,更對國外的資訊環境有了更深一層的瞭解。
對V而言,來到不同的地區,除了語言上的差距外,對於資安的議題,有著完全不同的想法。不管在國內國外,金融業本身就是對資訊安全高度敏感及重事的行業,尤其是網路銀行的興起以及行動支付的盛行,主管機關對於資安的要求相對提高。他說剛到香港的時候,面對主管機關的問卷根本不知道如何回答。無法作答的原因,並不是在於平常有沒有做,而是香港主管機關考量的都是風險,除了技術面的,連業務上的風險都必須考量進去。
舉個例子來說,如果機房要搬遷,可能對於我們來說,就是要搬那些機器設備,那些人員需要參與,或是什麼時間要搬。到了香港,主管機關在意的,從你機房地點的選擇就列入考量的範圍,甚至於搬運公司,在搬遷的過程有沒有採取適當的保護措施,以避免機器於搬遷時受到損害都要列入考量,如果有機器設備需要合併的,包括機器合併的測試計劃,或是合併之後如果失敗的復原計劃,都是整體考量的一個環節。甚至於你在網路上有沒有適當的教育使用者,如何避免上到錯誤的網站。這些可能在台灣運作時,都只是某次會議中的一個議題,很多時候連會議記錄上都不會有。但是在香港這樣的做法是完全不可行,測試要有測試計畫及記錄,還要確認這些計劃和記錄是彼此有關連性的。從頭到尾每一個環節都要清清楚楚,還要找獨立第三方確認所有的項目都符合主管機關的要求,才能有後續的動作。
沒想到逐漸適應當地主管機關的要求,接下來居然有阻力的是公司內部,高階主管的第一句話就是,為什麼要做這個東西,我們在台灣都沒有做,主管機管也沒有要求,那為什麼那邊的主管機關就會要求做這些?其他的同業是不是都有做? 如果不做會怎麼樣?還是我們拿現成的文件取代就好? 明明你是分行,為什麼資訊作業由我代管,還要對我進行查核,那要不然在香港自己找人做就好了,但這些成本要由你們負擔。內部溝通不知說了多少次當地的主管機關就是這樣要求,還在那邊想有沒有其他的旁門走道可以走。反正簡單的一句話,就是要少花錢,至於是不是會有資安的風險,反正到時候碰到再說。
這樣的環境,對於一位資安從業來說,是有壓力的,但是也是讓人羨慕的,當資安的議題,是多方真正關注的焦點,能防範或解決問題的,而不是沉溺於有沒有簽名,或是文件有沒有用那幾個字,有沒有辦法臨時產生一些查核所要的結果。這樣的環境,是需要大多數的人一起去創造的,我期待這樣的日子能夠早點到來,也惟有整個環境成熟了,這些平日辛苦的資安人員,才會有真正被重視的一天。
企業溝通
支持
資安
訓練
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
美國CISA:駭客使用「簡易手法」攻擊工控系統
Whoscall:三成台灣人遇到詐騙後一小時內受騙
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
RISC-V 新興晶片架構引發資安疑慮
資安人科技網
文章推薦
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
MITRE 推出 「AI 事件資訊共享計畫」 強化產業防禦能力
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵