資安驗證不可輕忽

2015 / 09 / 30

編輯部

去一場一桌都不認識人的婚禮，有的時候真是很尷尬，又不能丟個禮金就跑了。只能默默的坐在那吃。前幾天就碰到這樣的場面，還好那一桌突然聊到資安的議題，雖然和對方都不認識，但有些熟悉的話題，多少都會有些參與感。

「你知道嗎? 我們公司最近在導資安標準的驗證，和你講我們這種公司要導入就是不一樣，就是充滿了亮點。」
「那我可以來聞香一下嗎?」
「別的不說，光是程序文件大概就沒有人比我們多，拿這一堆文件出來，其他人來看到就嚇死，我們把那個驗證拆解成五大主幹，每一個主幹再往下分解，然後依照我們公司的文化，把所有分解出來的細節都畫成流程圖，每一張流程圖都有決策點，然後再標註人員職掌，還有那些人員要參與，你說光是這些流程圖展出來，怎麼會不吸引人注意呢?」
「那這樣講還是有點抽象，能不能再具體說明一下呢?」
「別的不說，光是管理代表的產生，我們就是一個作業程序，你知道在我們公司，管理代表有任期的，還要經過投票，所以我們怎麼選、要如何投票、誰來驗票，這些我們都有流程圖，更不要說新舊任管理代表交接，內部的簽呈要簽到誰?有那些單位要參加交接，這些我們都寫的鉅細靡遺。那從這本程序書下面，又有多少作業要點和規範，沒有人像我們公司這樣做的啦。」
「那我還是不懂，寫了這麼多程序書，還有實際執行那些作業，像一般我們講的防病毒、或是最近很流行的無線上網，那你們怎麼管?」
「唉這個不是重點，反正就有管就是了，你光是把那一堆程序書拿出來，稽核員就昏頭了，還管實際怎麼做，到時候證書拿到了就可以賣錢啦。」

因為根本不認識，所以就當作笑話在聽聽，但我心裡卻希望所聽到的驗證，和我知道的是完全不同的兩件事，最簡單的說、做、寫要一致，怎麼會覺得只要將驗證拆解成細部的作業流程，把時間都花在文件撰寫上，讓人家只看到一堆文件，也不管實際如何執行，這樣就可以通過驗證。更何況面對資安的挑戰，只會越來越艱鉅，如果只是為了別人有我也有，連最基礎的資安概念都沒有具備，那這樣即便拿到證書，也不保證不會有資安事件發生，萬一將來出了事，那不是丟臉丟得更大? 還是到時候又是矢口否認，反正大家都很健忘，只要一皮天下無難事。

如果這是普世對驗證的價值觀，那我真的無言以對。

資安、驗證