「你們公司現在是怎麼了，怎麼會請你這樣的人，來我們這邊開會?」

『您是科長吧? 我聽不太懂您的意思。』

「我們簽的合約是，資訊安全測試的合約，你懂...資訊安全嗎?」

『CISSP、ISO27001 這兩張認證我都有，請問這樣夠資格嗎?』

「你以為有證照就有資格嗎?」

她這句話說的中肯，但Anderson不是叫我來開會嗎? 怎麼會叫我來這被訓話?

「算了算了，我們甲方也沒什麼立場，去評論乙方的員工，你們的計劃是什麼? 帶來了嗎?」

計劃? 什麼計劃? 我楞楞的望著她...怎麼沒有人跟我說，要帶「計劃」過來，什麼?

「你看吧，有證照怎麼了? 連開會要用的計劃資料都沒有，要怎麼開會? 你一定是你們公司的新人，你們公司每次都這樣，只會叫人來這邊充場面，然後一直延誤我們的時間。來吧來吧，我帶你去我們機房看看。」

她話說完後，起身，帶著我跟小路，往她說的機房走。門一開，百坪大的機房，出現在我眼前。

「來...小路，你跟ICBM的人說一下，我們請他們測試的項目，我不喜歡來這機房，我先回辦公室。」

小路帶我進了機房後，在一排排機櫃前，一直繞圈圈一直繞圈圈。

「你什麼時候有CISSP和ISP27001?」

『我? 我沒有啊...開玩笑，我怎麼會有。』

「唉...算了，我們來談正事吧。我們委外你們公司處理的，就是...下個月，我們的機房要重新配電，在配電作業開工前，我們所有的系統服務，都會轉移到備援中心，等這邊的配電作業完成後，再將系統服務移回來。

我們要請你們處理的，就是......來幫我們關機和開機，前提是沒有任何資訊安全上的疑慮。」

嗡.......嗡...........嗡...

「我剛說的，你了解嗎?」

『我懂...啊，就這樣?』

「就這樣? 你不要小看這次的事情啊。」

『我...我沒有小看，只是覺得，這不是太簡單了嗎? 為什麼要委外?』

「小四啊...世界很大的，比如說吧，你剛剛在咖啡店的時候，是不是用他們提供的充電座，接上你的充電線...」

『是啊，怎了嗎?』

「你手機能複製的資料，剛剛在咖啡店時，都被我複製出來了。」

『!』

(待)

ISO 27001 本身的內容，可以算是制定在「保護資訊安全」方面的政策...條文...或依據。

Google 搜尋 ISO 72001 條文後，出現的前兩筆的內容，就不難發現，只是個依據，完全沒有說，訂了一些條文後，應該要如何達成。

就好像，在政府網站營運交流平台
網址：
https://www.webguide.nat.gov.tw/index.php/ch/speci/index.html 中的
『 附錄四：政府網站版型與內容管理規範』裡，有一條是『 與外界網路連接之網點，設立防火牆控管外界與內部網路>之資料傳輸及資源存取，並執行嚴謹的身分辨識作業。』

這個只是範本，參考用就好，因為最後一段條文「 並執行嚴謹的身分辨識作業」，很難做到。我們現在瀏覽任何一個政府網站，大部份都沒有「身份辨識」，像總統府網站 http://www.president.gov.tw/ ，網址輸入之後，就進去了。

當然，我們也能將「身份辨識」自我解釋成這裡指的是非惡意IP或是某個區域的IP，那在防火牆上面，就要禁止這些IP存取網站。

從資訊安全政策的稽核面來看，這幾個字「並執行嚴謹」也會有些困惑，對於「嚴謹」的定義，是由誰來定義? 如何證明是嚴謹等等之類的。

因此，在制定資訊安全政策時，有件算是很重要的事，用白話文說「符合環境，量力而為」。

在『資訊人』網站中有提到
https://www.informationsecurity.com.tw/answers/answer_detail.aspx?tid=12

『請務必確定政策適合貴單位』，怎麼說呢?

2017/12/26 SunAllen