離鐵人賽結束時間只剩9天了，目前討論到第四部分，其他還有很多大項未討論，我想之後，就挑剩餘各大項內比較重要的要點來討論，本人在資本市場的工作時間遠大於在其他各項(包含MIS、會計師事務所、稽核主管等等)領域，在很早期我就已經取得MCSE、MCSA等等各類專業工程師的資格，也從事資訊一段時間，我從基層開始做起，從小小的專員一直到目前主管的位置，期間最大的痛苦，莫過於遇過太多不用功的主管了，在某個領域裡面，或許他是專才，可是稍稍一跨出其他領域，或者應用到其它領域，就開始胡說八道，我也不想說太多，畢竟，我說太多，我又得從頭教起，而且，如果是個肯傾聽的主管還好，但是，那種不會還硬ㄠ的，真的十個裡面有十一個，為什麼多一個？因為，其它不懂的，也在旁邊幫腔、拍馬屁，所以，會或不會，對或不對，我不會去強辯太多，假若可以把錯的ㄠ成對的，算我佩服他，可以指鹿為馬，出門不怕人笑，外面遇到厲害的，也能繼續ㄠ，也不怕被打槍吐槽，講句難聽的，不要臉天下無敵!

本人繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，做第六部份的分析，第五項是總務類的，比較偏向行政，跟前述幾項重複，觀念也沒有需要重複強調，因此跳過第五項，到第六項來討論。

六、人力資源安全　（人事、資訊及業務單位）
6.5管理階層是否有要求員工、承包商及第三方使用者，應實施組織制訂的政策及程序？

說明：此項說明一個重點：1.承包商。

近期有很多公安意外的新聞，我把這個題目拿出來討論，主要是因為很多公司都有外部承包商，承包商接了工作，進入工廠，正常的情況下，會由工安單位根據公司的規定，進行勤前教育，承包商也會配合公司要求，接受一系列的教育訓練課程，然後再開始進行工作。

上述是種理想的狀態，因為一到工作位置，很多教育都會變成參考，不管怎樣稽核，不遵守規定的承包商，還是不遵守，就算開罰也無用。

或許資訊人員會問，這是一般工安的稽核，跟我們資安單位扯上甚麼關係呢？本人在此強調，這兩者是有關係的，工廠很多地方都有一種設備，叫做**「監視設備」**，這些設備，大部分都是由資訊部所控管的，而資安單位，更需要對這些設備做嚴格的控管。

在台灣大家最耳熟能響的事件，莫過於洪仲秋事件，最離譜的是軍方監視器居調出來的影像，會出現黑畫面，在本篇我們不探究原因，只強調一件，如果資訊部門在公安意外發生時，無法保存現有的錄像、聲音，甚至遭外部駭客攻擊監視器所使用之軟體，如此，資安的防護何在？如果發生意外，能提供第一手資料的，其實是公司負責監視器的單位，因此這部分就變得很重要了。

但還是有人會說，有的公司是把監視設備交給警衛或者總務單位，針對此部分，本人需說明，這是很不恰當的做法，為何？如果大家有用過監視設備的監控軟體，可以發現，其實，不管軟體、韌體如何，基本上就是台簡易伺服器，一樣要更新韌體，或者更新軟體，手機APP也有很多監視器專用的APP，甚且很多較有名的監視軟體，也常常被駭客所入侵，所以，以資安單位的專長，是否應該也要去維護或控管監視設備呢？我想答案是肯定的。

監視設備已經是非常重要的輔助設施，這不只是對承包商而已，舉凡承包商、遠端監控等等，都是資安的防護重點，因此資安單位切莫輕忽。