好！所以身為首席資安官的你，做完 業務持續性計劃 BCP、業務影響分析 BIA、災難復原計劃 DRP 後…
在最後一步，老闆在簽字了，老闆簽字前會問你：

「這個計畫很花錢。」

「我只要核可你的計劃就一定不會出事嗎？」

「就一定安全？」

「你確定你的計劃萬無一失嗎？」

人爭一口氣，佛爭一柱香，被噹了，身為首席資安官的你自然是要噹回去啊！
老闆通常不是好唬弄的，那要怎麼驗證首席資安官說是正確的呢？

「來啊！來啊！來啊！」

「我的計劃萬無一失，你找人來複核啊！」

這個時候出現的人，會依老闆的好感度分兩種。

老闆好感度 > 100 ，不想讓你受傷，所以找了專業的資安顧問來協助給建議。
老闆好感度 < 100 ，就是想嗆爆你，所以找了專業的稽核來查核計劃。
老闆好感度 > 50 ，由公司內部稽核的同仁來稽核，然後內部同仁可能會給合適的建議
老闆好感度 < 50 ，由公司外部稽核團隊來高調稽核，如果有缺失的話可能會有罰鍰

然後，戴金框眼鏡的外部稽核來了… 只能說平時培養老闆好感度是很重要的…

引述 Alex 老師上課內容的情境題：如果你今天是內部稽核，你發現機房的備份排程，居然只有人員簽名而沒有備份，而這個時候負責備份的大奶同事拜託你：「這個能不能不計缺失呢？我之後會認真備份的，晚上夜店一起去啊～」
這個時候你：

(Y) 計入缺失，並且把備份人員的行為回報給老闆，再多開一張缺失單
(N) 不計缺失，都是同事，計入缺失多傷感情， ____ 就算了啦

這個題目是稽核師培訓的內容，好的，選 (N) 的同學，你們將不用參加後續的培訓了，
因為你們在這裡就無法成為一個合格的稽核師。

但我們是首席資安官，而不是稽核，所以還是稽核不去們可以去 (咦？

稽核來了：「來，你說明一下你的計劃，你在 BCP 步驟 2：制定核心範圍，為什麼你家財務的電子資料保存十年？業務電子資料存放二十年？你說啊！你說啊！」

「你以為身為首席資安官的我會怕嗎！」

「你等著，我叫我阿嬤來啊！」

「來～有問題嗎？財務資料的內容需要由首席財務長跟您解釋。」

「來～有問題嗎？財務資料的內容需要由首席業務長跟您解釋。」

這些資料保存的定義，應該就會由專門負責的部份來定義，由專門的負責人員來回覆就好了。
記住，CISSP 守則第二條，說真話，尊重專業。

其實我今天是想寫 R & R ，結果稽核寫一寫就寫歪了…
內稽 & 外稽的優點、缺點，客觀、內部細節、成本等等…
但因為報告太多了，累積了一點怒氣，寫著寫著只好拖到明天了… QAQ

=====．=====．=====．=====．=====．=====

結果方丈大師昨天加我 facebook 了 >///<
來偷晒一下方丈大師的 CISSP 筆記：https://dotblogs.com.tw/dotjason/tags/2?qq=CISSP

話說我沒有對老公那麼差啦，我每天都有餵他吃飯欸！