今年最後一天上班了，感覺這一年過的真快。祝大家2018年新年快樂!

持續看2017鐵人賽裡的發文，發覺一件事，很少人談到法律層面的東西，法律的東西，雖然有些枯燥乏味，只是，法的概念沒有，有時候，就比較無法提出合理的解釋。

本人所發的文屬於IT稽核，稽核這個概念，都是事後稽核，很少有事前防範，事後講再多，錯誤都已經發生了，在怎麼彌補都是錯。可是，如果能透過法律，來強化資安的觀念，很多人或許聽到法令，多少都會有些警惕。

雖說法律有人一聽就睡著了，不過，我還是覺得，那些生硬的法條，如果你不懂，遇到問題，論述上就缺乏強有力的邏輯基礎，因此還是給資安、資訊人員一個建議，記得要提升自己及組織的法律知識。

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，我們跳到 7.22的分析。

七、實體與環境安全　（資訊及稽核單位）
7.22設備報廢前是否將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫？

說明：此項說明一個重點：1.資料一定要銷毀完整。

其實銷毀的方式，已經有專業機構可以協助處理，網路上爬一下文，也是可以蒐集到很多相關的資訊，但是，比較值得注意的是，資訊人員在移除檔案之後，怎麼進行回報及確認，之前有位朋友在問，到底資安在台灣有沒有分清楚職能？現在我們看這個題目，就很清楚了，大部分資安工程師跟資安稽核人員其實都是同一人來負責的，由一個資安工程師(或資訊部某個工程師負責)銷毀，然後，再由他來回報已完成，這中間到底誰在覆核，控制點在哪裡？其實都讓人存疑。

一般規模小的公司，人力不足的情況下，很容易有上述的情況發生，我們也無法去要求到這麼多，連一般大公司都不見得會注意這塊了，更遑論去覆核。

在此，也只能繼續強化資安的觀念了，我們無法去防止有心人，去拷貝別人的硬碟資料，稽核人員也不可能24小時都在查有沒有銷毀資料，此時，最有效的方法就是罰則要定清楚，我也想不太出來有其他方法了(如果有，也歡迎留言)。以下我舉個實類似的實例。

前個月，在我任職的公司，有人隨意拿其他同事的隨身碟拷貝資料，順便把同事的資料一起COPY出來，然後再轉給其他同仁，當事人非常火大，請我處理，並且要求提告，我第一時間通報告層，然後很快速的調出監視影像，確認事情的發生點，也從畫面清楚看到資料確實被「分享」出去，此時，馬上要求，把分享的資料全數消除，還要求開會檢討，記過處分，並且要求資訊單位發公告，加強宣導。事後，被轉發資料的同事還是忿忿不平，我也請他備份所有影像、資料、聲明，保留他的法律追訴權。

本人提到這個例子的最後處理要件是，保有受害的一方相應的法律權力，也是我前面所說的，法律是最底限的保護，在不知道如何處理之時，如何保障他人之法律權力，就相對的非常重要了。