好!所以身為首席資安官的你,做完 業務持續性計劃 BCP、業務影響分析 BIA、災難復原計劃 DRP 後…
在最後一步,老闆在簽字了,老闆簽字前會問你:
人爭一口氣,佛爭一柱香,被噹了,身為首席資安官的你自然是要噹回去啊!
老闆通常不是好唬弄的,那要怎麼驗證首席資安官說是正確的呢?
這個時候出現的人,會依老闆的好感度分兩種。
老闆好感度 > 100 ,不想讓你受傷,所以找了專業的資安顧問來協助給建議。
老闆好感度 < 100 ,就是想嗆爆你,所以找了專業的稽核來查核計劃。
老闆好感度 > 50 ,由公司內部稽核的同仁來稽核,然後內部同仁可能會給合適的建議
老闆好感度 < 50 ,由公司外部稽核團隊來高調稽核,如果有缺失的話可能會有罰鍰
然後,戴金框眼鏡的外部稽核來了… 只能說平時培養老闆好感度是很重要的…
引述 Alex 老師上課內容的情境題:如果你今天是內部稽核,你發現機房的備份排程,居然只有人員簽名而沒有備份,而這個時候負責備份的大奶同事拜託你:「這個能不能不計缺失呢?我之後會認真備份的,晚上夜店一起去啊~」
這個時候你:
(Y) 計入缺失,並且把備份人員的行為回報給老闆,再多開一張缺失單
(N) 不計缺失,都是同事,計入缺失多傷感情, ____ 就算了啦
這個題目是稽核師培訓的內容,好的,選 (N) 的同學,你們將不用參加後續的培訓了,
因為你們在這裡就無法成為一個合格的稽核師。
但我們是首席資安官,而不是稽核,所以還是稽核不去們可以去 (咦?
稽核來了:「來,你說明一下你的計劃,你在 BCP 步驟 2:制定核心範圍,為什麼你家財務的電子資料保存十年?業務電子資料存放二十年?你說啊!你說啊!」
「你等著,我叫我阿嬤來啊!」
這些資料保存的定義,應該就會由專門負責的部份來定義,由專門的負責人員來回覆就好了。
記住,CISSP 守則第二條,說真話,尊重專業。
其實我今天是想寫 R & R ,結果稽核寫一寫就寫歪了…
內稽 & 外稽的優點、缺點,客觀、內部細節、成本等等…
但因為報告太多了,累積了一點怒氣,寫著寫著只好拖到明天了… QAQ
=====.=====.=====.=====.=====.=====
結果方丈大師昨天加我 facebook 了 >///<
來偷晒一下方丈大師的 CISSP 筆記:https://dotblogs.com.tw/dotjason/tags/2?qq=CISSP
話說我沒有對老公那麼差啦,我每天都有餵他吃飯欸!
刪除線
~~刪除線~~
前後各兩個 ~
話說,
這種事叫阿嬤來有用嗎?
然後,
老公居然還需要餵...
感謝刪除線 XDDDD
叫你阿嬤來 這其實是某個前輩的口頭禪 XDDDD
好辣我今天不關他了,讓他自己出來吃飯…
好辣我今天不關他了,讓他自己出來吃飯…
好辣我今天不關他了,讓他自己出來吃飯…
認同叫阿嬤來有用嗎XD 哈哈哈