iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
0
Security

CISSP 快速入門系列 第 4

[Day04]專任專責

  • 分享至 

  • xImage
  •  

好!所以身為首席資安官的你,做完 業務持續性計劃 BCP、業務影響分析 BIA、災難復原計劃 DRP 後…
在最後一步,老闆在簽字了,老闆簽字前會問你:

「這個計畫很花錢。」

「我只要核可你的計劃就一定不會出事嗎?」

「就一定安全?」

「你確定你的計劃萬無一失嗎?」

人爭一口氣,佛爭一柱香,被噹了,身為首席資安官的你自然是要噹回去啊!
老闆通常不是好唬弄的,那要怎麼驗證首席資安官說是正確的呢?

「來啊!來啊!來啊!」

「我的計劃萬無一失,你找人來複核啊!」

這個時候出現的人,會依老闆的好感度分兩種。

老闆好感度 > 100 ,不想讓你受傷,所以找了專業的資安顧問來協助給建議。
老闆好感度 < 100 ,就是想嗆爆你,所以找了專業的稽核來查核計劃。
老闆好感度 > 50 ,由公司內部稽核的同仁來稽核,然後內部同仁可能會給合適的建議
老闆好感度 < 50 ,由公司外部稽核團隊來高調稽核,如果有缺失的話可能會有罰鍰

然後,戴金框眼鏡的外部稽核來了… 只能說平時培養老闆好感度是很重要的…

引述 Alex 老師上課內容的情境題:如果你今天是內部稽核,你發現機房的備份排程,居然只有人員簽名而沒有備份,而這個時候負責備份的大奶同事拜託你:「這個能不能不計缺失呢?我之後會認真備份的,晚上夜店一起去啊~」
這個時候你:

(Y) 計入缺失,並且把備份人員的行為回報給老闆,再多開一張缺失單
(N) 不計缺失,都是同事,計入缺失多傷感情, ____ 就算了啦

這個題目是稽核師培訓的內容,好的,選 (N) 的同學,你們將不用參加後續的培訓了,
因為你們在這裡就無法成為一個合格的稽核師。

但我們是首席資安官,而不是稽核,所以還是稽核不去們可以去 (咦?

稽核來了:「來,你說明一下你的計劃,你在 BCP 步驟 2:制定核心範圍,為什麼你家財務的電子資料保存十年?業務電子資料存放二十年?你說啊!你說啊!」

「你以為身為首席資安官的我會怕嗎!」

「你等著,我叫我阿嬤來啊!」

「來~有問題嗎?財務資料的內容需要由首席財務長跟您解釋。」

「來~有問題嗎?財務資料的內容需要由首席業務長跟您解釋。」

這些資料保存的定義,應該就會由專門負責的部份來定義,由專門的負責人員來回覆就好了。
記住,CISSP 守則第二條,說真話,尊重專業

其實我今天是想寫 R & R ,結果稽核寫一寫就寫歪了…
內稽 & 外稽的優點、缺點,客觀、內部細節、成本等等…
但因為報告太多了,累積了一點怒氣,寫著寫著只好拖到明天了… QAQ

=====.=====.=====.=====.=====.=====

結果方丈大師昨天加我 facebook 了 >///<
來偷晒一下方丈大師的 CISSP 筆記:https://dotblogs.com.tw/dotjason/tags/2?qq=CISSP

話說我沒有對老公那麼差啦,我每天都有餵他吃飯欸!


上一篇
[Day03]今天我是首席資安官
下一篇
[Day05]角色與職責
系列文
CISSP 快速入門32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
小魚
iT邦大師 1 級 ‧ 2018-10-19 19:10:17

刪除線

~~刪除線~~

前後各兩個 ~

話說,
這種事叫阿嬤來有用嗎?

然後,
老公居然還需要餵...

看更多先前的回應...收起先前的回應...
虎虎 iT邦研究生 4 級 ‧ 2018-10-19 22:36:33 檢舉

感謝刪除線 XDDDD
叫你阿嬤來 這其實是某個前輩的口頭禪 XDDDD

虎虎 iT邦研究生 4 級 ‧ 2018-10-19 22:41:12 檢舉

好辣我今天不關他了,讓他自己出來吃飯…

虎虎 iT邦研究生 4 級 ‧ 2018-10-19 22:41:13 檢舉

好辣我今天不關他了,讓他自己出來吃飯…

虎虎 iT邦研究生 4 級 ‧ 2018-10-19 22:41:15 檢舉

好辣我今天不關他了,讓他自己出來吃飯…

Kathy Lai iT邦新手 5 級 ‧ 2018-10-23 14:47:13 檢舉

認同叫阿嬤來有用嗎XD 哈哈哈

我要留言

立即登入留言