我不太喜歡探討技術面的東西,年輕的時候,我很專注於這塊,但是,資安管理,不是資安「技術」,有了技術,還是要應用於實務,最終還是要「管理」,我想如果一個工程師提升到資訊長以上的階段,就不是只停留在冷冰冰的機器後面,或者是躲在機器後,來面對人或組織的管理。基本上,管理的東西,就是一門哲學,需要實際經驗的累積,如果一個人的思維模式,不能隨著經驗累積而提升,始終停留在工程師的階段,那麼終將無法擺脫窠臼,始終在技術層面打轉,無法進化到「管理面」,那就真的很可惜了!
我的工作已經是到了管理的層級了,過往我對技術的投入,轉化到管理面,我有更深一層的體驗,參加鐵人賽是個意外,美好的意外,也跟大家分享我對於資安的想法。
本人繼續昨天內容做出說明及分析,並根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續1.5項之探討。
一、資訊安全管理系統 (管理階層、資訊安全組織)
1.5是否識別文件與紀錄的變更與最新修訂狀況?
說明:此項說明在於兩個重點:1.文件。2.紀錄。
何謂文件? 何謂紀錄?
所謂文件,就是可以依據不同情況,更改內容,簡單說,「隨時可以改變的。」
所謂紀錄,就是不能隨便修改的文件,簡單說,「歷史是不能隨便改變的。」
本人舉個簡單的例子來說明,首先,您為了期末報告,所以到圖書館找相關新聞報導來佐證您的報告,此時,您除了找期刊雜誌,就是進到檔案室,看投影、縮影的報紙或新聞資料。而這些期刊雜誌、縮影、新聞報導,都是某個時間底下的紀錄,這個紀錄是無法更改的,除非您有辦法穿越時空,回到過去,改變歷史,可是,您ㄧ回到過去,改變了一切,整個歷史就全部改寫了。因此,請記住,(歷史)紀錄是不可變的。
接著,我再來解釋-->文件,文件就像您在寫報告一樣,你會根據的資料蒐集,蒐集越多,你的文件就會產生不同的樣貌,在寫報告時,我們常會遇到一個狀況,今天告一段落,明天突然又看到別的資料,這時,又得要修改內容,所以很多人,便會在報告存檔時,加上不同的日期或者編號,讓自己能夠知道,我到底修正了多少版本,同時,也可以隨時拿出來比對前後內容,加加減減之後完成定稿存稿。
把以上這兩種情況應用到資訊系統上,大家可以很快了解這兩者之間的差別,舉個簡單的例子,windows檔案更新,正常的情況下,windows會紀錄下每次更新的軌跡,但這些更新,我們不能去更動,一更動,整個系統很容易就不能在執行,因為您誤觸了開啟了改變時光之鑰,這時,整個系統停滯,無法運作,此時,就只一切歸零,不然就是恢復預設,在不然復原成原始系統狀態,因為歷史(紀錄)是不容許改變的。請參考下圖。
解釋完紀錄,在來解釋文件,就相對容易,你按下開始,然後移到word,旁邊會跳出很多不同的文件,隨時都可以點進去修改,這在清楚不過了,可以參考下圖。
以上定義清楚之後,我們在提升到企業管理層面,我們做了很多文件,承襲1.3所說的文件化,加諸1.4的適切性之後,文件變成制度,制度就隨著時間產生紀錄,讓企業隨時審視,如果出現問題,隨時調閱紀錄,然後找出文件,重新創造文件,重新設定制度,重新創造紀錄,注意**「重新」**這兩個字,當今的宇宙,歷史是不可能逆的(至少在地球是這樣),歷史告訴我們很多經驗,但是人類是很容易健忘的,因為健忘,所以很容易發生大災難,應用到資安系統裡面,其實也是一樣的,因此,紀錄的審視,也是避免資安潰堤的重要方式之一。
大大的話發人省思,技術終將要走向管理
從冰冷的機器走到組織管理是一門哲學,也是需要經驗的累積與轉換
我是一名技術人員,不斷的提升技術能力,還有工作技能,往往會被侷限在框框
幾年的工作經驗下來後,發現除了技術以外的世界更美好,也發現如果技術終將走向管理
技術只不過是走向管理的一個學習過程^^
繼續努力吧~~~