歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
主管機關除了要求、還需引導
2014 / 12 / 01
編輯部
站在登機口的一隅,一眼就看到一位過往一起工作過的同事V。幾年不見,對方現在已經是國內某家銀行香港分行的主管。在這樣的場合碰面,大家總是覺得想要聊的議題太多,也因為這樣的機緣,除了在海外換來一頓米其林主廚的港式點心,更對國外的資訊環境有了更深一層的瞭解。
對V而言,來到不同的地區,除了語言上的差距外,對於資安的議題,有著完全不同的想法。不管在國內國外,金融業本身就是對資訊安全高度敏感及重事的行業,尤其是網路銀行的興起以及行動支付的盛行,主管機關對於資安的要求相對提高。他說剛到香港的時候,面對主管機關的問卷根本不知道如何回答。無法作答的原因,並不是在於平常有沒有做,而是香港主管機關考量的都是風險,除了技術面的,連業務上的風險都必須考量進去。
舉個例子來說,如果機房要搬遷,可能對於我們來說,就是要搬那些機器設備,那些人員需要參與,或是什麼時間要搬。到了香港,主管機關在意的,從你機房地點的選擇就列入考量的範圍,甚至於搬運公司,在搬遷的過程有沒有採取適當的保護措施,以避免機器於搬遷時受到損害都要列入考量,如果有機器設備需要合併的,包括機器合併的測試計劃,或是合併之後如果失敗的復原計劃,都是整體考量的一個環節。甚至於你在網路上有沒有適當的教育使用者,如何避免上到錯誤的網站。這些可能在台灣運作時,都只是某次會議中的一個議題,很多時候連會議記錄上都不會有。但是在香港這樣的做法是完全不可行,測試要有測試計畫及記錄,還要確認這些計劃和記錄是彼此有關連性的。從頭到尾每一個環節都要清清楚楚,還要找獨立第三方確認所有的項目都符合主管機關的要求,才能有後續的動作。
沒想到逐漸適應當地主管機關的要求,接下來居然有阻力的是公司內部,高階主管的第一句話就是,為什麼要做這個東西,我們在台灣都沒有做,主管機管也沒有要求,那為什麼那邊的主管機關就會要求做這些?其他的同業是不是都有做? 如果不做會怎麼樣?還是我們拿現成的文件取代就好? 明明你是分行,為什麼資訊作業由我代管,還要對我進行查核,那要不然在香港自己找人做就好了,但這些成本要由你們負擔。內部溝通不知說了多少次當地的主管機關就是這樣要求,還在那邊想有沒有其他的旁門走道可以走。反正簡單的一句話,就是要少花錢,至於是不是會有資安的風險,反正到時候碰到再說。
這樣的環境,對於一位資安從業來說,是有壓力的,但是也是讓人羨慕的,當資安的議題,是多方真正關注的焦點,能防範或解決問題的,而不是沉溺於有沒有簽名,或是文件有沒有用那幾個字,有沒有辦法臨時產生一些查核所要的結果。這樣的環境,是需要大多數的人一起去創造的,我期待這樣的日子能夠早點到來,也惟有整個環境成熟了,這些平日辛苦的資安人員,才會有真正被重視的一天。
企業溝通
支持
資安
訓練
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制