歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
委外查核案 –希望這僅是個案
2015 / 05 / 25
編輯部
一大清早在混沌模式下進入公司,還沒有回神過來就接到高階主管秘書的電話,說要找個時間談談之前的一件委外查核案,心中覺得百般納悶,什麼時候公司開始這麼重視資安,連不屬於督導管轄的高階主管都開始有興趣,反正再多的猜測,還不如坦然面對,就這樣進入了主管辦公室。
「你之前有去查過某某公司,還有出了一份查核報告?」
「對啊,那是我們年度抽核的委外廠商,今年度我們對這家公司進行實際查核,在查核完後就產生了這份報告。」
「那你報告中是不是有說到另外一家A廠商也有缺失?」
「另外一家廠商? 這不是我查核的範圍,我沒有寫這條缺失。唯一有可能的,其中有一項查核發現,是這家委外廠商對於委外開發程式的廠商,沒有依合約要求,提供原始碼檢測的報告,並且有發現程式開發廠商,沒有完整的測試紀錄,這才有可能提到其他廠商,但我不確認是不是就是A廠商,這可能要回去後看了資料才知道。」
「應該就是這一項,你知不知道你不應該寫這一條?」
「這是委外廠商沒有做好管控,我不清楚為什麼這條不能列出?」
「你知道嗎,A廠商是我們其中一位大股東投資的,在你的查核報告出來後,我們的委外廠商就拿了你的查核報告,要求A公司針對合約中所列的項目,逐條實行,並且要補相關的資料。這也就算了,還依照合約對A廠商進行懲處。這件事情不曉得怎麼在業界傳開了,A公司另外一個案子就沒拿到,後來才弄清楚原來是我們出的報告,大股東就非常不高興,認為我們在拆他的台,現在要我們針對這件事情進行補救。」
「我的查核報告上又沒有提到A公司的名子,要如何補救?」
「這我就不知道了,看是不是再出一份報告,然後把這條拿掉,或是說你誤查,其實A公司都有依照合約執行,反正就是要幫A公司解套,免得同樣的狀況下次再發生。」
第一次寫查核報告寫得如此心灰意冷,我只知道在查核過程中,針對查核範圍內所觀察到事項記錄在報告中,怎麼知道背後那些權利分配與關係。更何況被發現到沒有做的地方,如果是我,應該趕快去思考解決方案,並且避免再次發生,怎麼會只想到透過高階的關係,去把自己的缺失給掩蓋掉,甚至於將毫不相關的事件一併牽扯進來?反正千錯萬錯都是別人的錯,要不就是要求太多,要不就是環境不適用,只要沒出事都好說。如果大家都是這種心態,那遲早有一天會出大事。我現在也只能希望這僅是個案,只是我不知道要如何收拾這個善後。
稽核
資安人員
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
Cisco 統一通訊管理器爆重大資安漏洞 硬編碼後門帳戶恐遭遠端攻擊
企業資安防禦全面革新 AI × SASE × IAM × MDR
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊