iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 19
0
Security

IT安全稽核系列 第 19

4.10 是否定期或資安作業環境發生重大變更時,召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?

你有「決心」嗎?是真的有嗎?

台灣企業是以業務做為導向,公司的老闆也大部分是業務出身的,所以認為公司要賺錢就是要靠他們的三寸不爛之舌,這種情況,我想絕大部分都是一樣的,只是習慣畫大餅、吹捧自己過頭,反而常會讓人覺得根本是言過其實,很快就被看破手腳,所以台灣企業不太能超過三代經營的問題,就在於華而不實,浮誇之下,表面上看似賺錢,實際上財務的黑洞正在吞噬公司而不自知的公司,其實在台灣是很多的。

日本企業就不同了,幾年前我到資策會拜訪,資策會的一位副總就說,日本有很多企業,營業額都不高,可是他們的研發技術都是全球一流的,但這種公司卻不肯到資本(股票)市場去,台灣企業是可以教他們怎麼更快募集到資金的。

但是,我們仔細想想,業務導向的公司似乎倒的比這種技術導向的公司要快,日本企業是很死的,進入日企,會讓人感到似乎一整個悶,也說不上來,即使該有的福利他沒少給,甚至多給更多,可是就是令人感到窒息。但人家是很札實研究,世界級專利拿了很多,長遠來看,這比浮誇的台資企業,更加穩固。

日昨跟日本董事見面,台灣企業又開始吹捧自己明年可以做到怎樣、怎樣的規模,連我聽不下去了,結果日本董事,開始輪番質詢,一項一項的挑戰,很詳細的問產能、人力調配….,我反而很贊同日本董事的想法,畢竟,他要知道你的不足,才有辦法協助你,可是,我們都拿假的大餅出來,日本人早就看清楚台資企業的問題,會議的最後,日本董事很語重心長的問了一句….

你們有「決心」嗎?是真的有要這個技術嗎?

不管你做甚麼,有時真的要誠懇的問自己這句話,千萬別在畫大餅了。

以下我們還是根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續第四部分的分析。

四、資訊安全組織 (資訊安全組織、人事及資訊單位)
4.10 是否定期或資安作業環境發生重大變更時,召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?

說明:此項說明一個重點:1.獨立的審查管理會議。

每次開這種會議,我只能說,形式大於實質,因為大家都在玩文字遊戲,但大家都知道,資安這種東西,深入來說,是需要很多技術層面來支持的,首先,我們資安人員是否有達到資安這層的水準,本身就是個大問題,其次,他們所「制訂」出來的政策、目標、程序、控制這些東西,拿到我手裡一看,上網一搜尋,一樣的版本,在網路上一字不改(僅改公司名稱)的拿下來用,當然更不可能有所謂的量化的數據出現,前兩天有人提到這個問題,在這裡剛好做個說明該如何把量化的數據轉化成一般語言。

專業的語言,不是每個人都能懂的,我們長時間在一個象牙塔裡久了,我們是很清楚這些語言,但是外部的人根本就不懂。我們可以仔細去思考,這些語言都是人創造出來的專業術語,絕對能轉化成一般人懂得語言,我常跟公司的員工講話,不自覺得就整句話都是專業術語,旁邊聽的人,其實根本不懂,而他也不見得會問這句話到底是甚麼?久了,你會以為對方是了解的,可是底下人做出來的東西,卻是有問題的,所以此時就很清楚知道,對方是不了解的,必須修正自己的表達方式才行。

在來就是面對高層,高層的人很多是文盲、法盲…他們基本上最關心的事情,就是怎麼賺錢,我不認為他們是錯的,公司的本質就是要賺錢,才有辦法讓公司存活下去。拿一堆量化數據給高層看,實際上意義也不大,在此我只說一個方法,就是與其拿量化數據,還不如把數據轉成錢來的有效,例如:你不做這些會讓公司損失多少錢!.....等等,這樣兩方的節奏就容易對上了,其他就比較清楚如何表達給高層知道結果了。


上一篇
4.9是否與外界資安專家學者、資安團體或業者保持聯繫,便於取得資安技術、產品或程序等資訊。
下一篇
4.11單位內因業務需要開放給外部使用者之資訊,是否作風險鑑別,並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?
系列文
IT安全稽核30

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-22 11:28:56

技術做好了~~何愁錢不來?
台灣的中小企業只想一步登天,沒有自己的核心技術....終將被市場淘汰....

我要留言

立即登入留言