https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資安驗證 不可輕忽

2015 / 09 / 30
編輯部
資安驗證 不可輕忽
去一場一桌都不認識人的婚禮,有的時候真是很尷尬,又不能丟個禮金就跑了。只能默默的坐在那吃。前幾天就碰到這樣的場面,還好那一桌突然聊到資安的議題,雖然和對方都不認識,但有些熟悉的話題,多少都會有些參與感。

「你知道嗎? 我們公司最近在導資安標準的驗證,和你講我們這種公司要導入就是不一樣,就是充滿了亮點。」
「那我可以來聞香一下嗎?」
「別的不說,光是程序文件大概就沒有人比我們多,拿這一堆文件出來,其他人來看到就嚇死,我們把那個驗證拆解成五大主幹,每一個主幹再往下分解,然後依照我們公司的文化,把所有分解出來的細節都畫成流程圖,每一張流程圖都有決策點,然後再標註人員職掌,還有那些人員要參與,你說光是這些流程圖展出來,怎麼會不吸引人注意呢?」
「那這樣講還是有點抽象,能不能再具體說明一下呢?」
「別的不說,光是管理代表的產生,我們就是一個作業程序,你知道在我們公司,管理代表有任期的,還要經過投票,所以我們怎麼選、要如何投票、誰來驗票,這些我們都有流程圖,更不要說新舊任管理代表交接,內部的簽呈要簽到誰?有那些單位要參加交接,這些我們都寫的鉅細靡遺。那從這本程序書下面,又有多少作業要點和規範,沒有人像我們公司這樣做的啦。」
「那我還是不懂,寫了這麼多程序書,還有實際執行那些作業,像一般我們講的防病毒、或是最近很流行的無線上網,那你們怎麼管?」
「唉 這個不是重點,反正就有管就是了,你光是把那一堆程序書拿出來,稽核員就昏頭了,還管實際怎麼做,到時候證書拿到了就可以賣錢啦。」

因為根本不認識,所以就當作笑話在聽聽,但我心裡卻希望所聽到的驗證,和我知道的是完全不同的兩件事,最簡單的說、做、寫要一致,怎麼會覺得只要將驗證拆解成細部的作業流程,把時間都花在文件撰寫上,讓人家只看到一堆文件,也不管實際如何執行,這樣就可以通過驗證。更何況面對資安的挑戰,只會越來越艱鉅,如果只是為了別人有我也有,連最基礎的資安概念都沒有具備,那這樣即便拿到證書,也不保證不會有資安事件發生,萬一將來出了事,那不是丟臉丟得更大? 還是到時候又是矢口否認,反正大家都很健忘,只要一皮天下無難事。

如果這是普世對驗證的價值觀,那我真的無言以對。