《原文注釋》：「寧偽作不知不為，不偽作假知妄為。靜不露機，雲雷屯也。」

《原文解析》：

(1) 寧偽作不知不為，不偽作假知妄為：寧可假裝無知而不行動，不可以假裝知道，而輕舉妄動。
(2) 靜不露機，雲雷屯也：雲行於上，雷動於下，雲在上有壓抑雷之象徵，這是屯卦之卦象。

《出處》：

此計語出自《說唐演義》第六十二回的標題「尉遲恭稱瘋魔」。戰國時，魏國大將龐涓因嫉恨自己的本領遠不如孫臏，於是設計加害於孫臏，把孫臏的雙膝蓋骨割除，使孫臏成為廢人。當孫臏得知龐涓還要置他於死地時，孫臏只得使出「詐瘋計」，突然間發瘋。龐涓為了驗證孫臏是否真瘋，派親信去探訪孫臏，只見孫臏在豬圈裡手舞足蹈，抓起豬圈裡的豬食往嘴裡塞，還一邊叫喊「好吃、好吃」。親信把看到的情況報告給龐涓，龐涓深信不疑，也就放鬆了對孫臏的看管。孫臏可以到街市上遊蕩，時好時瘋，起初，龐涓還派一名隨從時不時地監護孫臏，後見孫臏成天瘋瘋癲癲，沒什麼異常舉止，就連監護人員也取消了。一天，齊國使者來訪魏國，得知孫臏的冤屈後，設法把他帶回了齊國。由此，孫臏用「假痴不癲」計成功地瞞過了龐涓的猜疑，並順利地回到了齊國。

《資安戰運用實例》：

駭客其實比你想像中的更強大，在僅有你電話號碼的條件下，他們只需懂得利用一種叫SS7的系統漏洞，就可以透過網路來監聽你的電話、偷看簡訊，隨時掌握你的行蹤。同樣的這種方法也可以被用在Facebook，他們只需要透過「忘記號碼」的步驟，就可以取得你臉書帳號的相關資料並且控制它。

Facebook向用戶手機傳送驗證碼的時候，駭客可以從中攔截，藉此重設受害者Facebook的帳密，因此在Facebook移除電話號碼後，駭客就無從入侵。移除電話號碼後，就無法透過接收電話簡訊的方法來收驗證碼，這時則必須採用傳統的Email驗證方法。不過大家只要花一點熟悉一下，應該不會有太大的問題。

據了解，FBI局長、Facebook CEO Mark Zuckerberg，都將自己筆電視訊鏡頭用膠帶貼起來，看來他們對於駭客的可能攻擊，是非常警慎的。別以為以上情形不會發生在你身上，提早防範還是比較保險，避免未預料的情況發生後，才來後悔。

原文請參考：《東森新聞--別再手機綁帳號！駭客假裝「忘記號碼」你的秘密都沒了》：https://news.ebc.net.tw/News/living/27166

《企業實務上，筆者觀點》

2013年今周刊曾經發表一篇文章，標題是：《花錢就能拿證書 台灣資安玩假的？》，原文網址如下：

https://www.businesstoday.com.tw/article/category/80392/post/201303280024/%E8%8A%B1%E9%8C%A2%E5%B0%B1%E8%83%BD%E6%8B%BF%E8%AD%89%E6%9B%B8%20%E5%8F%B0%E7%81%A3%E8%B3%87%E5%AE%89%E7%8E%A9%E5%81%87%E7%9A%84%EF%BC%9F

這篇雖然是比較舊的文章，但是依筆者個人經驗，台灣這幾年在「證照」資格的維護上，早早就規定幾年之內若沒有從事相關工作，就必須要回訓上課，如果沒在限期內完成，該證照就暫時失效。

依筆者經驗，證照只是個門檻，拿到了資格，不代表你就是專家，但是在學習上，如果有個考試認證，總會有個學習目標，尤其在未來多元化的社會裡，有學習有證照，自然有機會，或者未來也可以跨領域應用，因此，有時間還是鼓勵大家多考證照，只是，切莫以為考過就是專家，有空就多學習，多參加考試，忙的時候，就專心工作。筆者個人已經有三十張以上的各類證照，本年度去參加某課程認證時，某位上課老師已經拿了一百多張以上的專業證照，他與讀者的想法一致，如果你想進某個領域，但是又很茫然之時，考證照的確是個幫助你找到方向的方法。

同理可證，資安證照也一定是會越來越多樣化，也會越來越細分，想進入的人可以選擇某些特定的領域，開始學習，更重要的是，真的進入實務界之後，能夠將實務上的經驗搭配過去學過的資安證照的內容，舉一反三的提出解決方案，這才能發會證照的最大效用。

另外，有關企業導入ISO認證的部分，ISO 27000系列都是與資安有關的企業認證，筆者任職的公司剛導完ISO，筆者的認知上，其實ISO都會派老師協助企業制定內部SOP的條文，可是還是會有些問題，筆者整理成以下四點：

第一， 企業各單位普遍不知道名詞的定義及新的知識，很多上課的講師雖然很努力地解說，但是，相對的遇到的反抗也越多，主要因為公司的人員素質良莠不齊，很多員工做事情，都是依照個人過往的經驗在處理事情，總認為自己的經驗，在過去沒出問題，未來就應該這樣處理，然而，事實上，新的觀念早已改變，很多企業內部，普遍還處於封閉式狀態，缺乏向外學習的組織狀態，要重新在觀念及定義上，給予改變，實際上是困難重重的。更可怕的是，很多單位主管，在進行ISO課程訓練時，一開始就是拒絕的心態，這更是無法落實ISO要求的主因之一。

第二， ISO的講師，通常會給公版模板給企業參考，因為時間上的限制，所以只好以公版的方式，請企業修正，但是，企業員工拿來就照套，完全不管公司有沒有建置該流程，反正，就是有寫就好，結果實際執行，馬上出問題，筆者曾經看過企業講師花了一星期協助企業修改內控，並且實際比對結果，但是，最後還是只是個外表的形式，整體組織的運作還是斷鍊的狀態。

第三， 當ISO進行後續稽核，請公司各單位互相稽核，甚至由ISO派講師親自稽核，同時會定期檢視改善狀況，但企業真的有改善嗎？ 答案是大部分都是在應付而已，最可怕的是，有些企業導入ISO後，內部制度變成多頭馬車在執行，筆者給諸位讀者一個觀念，千萬不要不相信，很多企業同樣的一個流程，出現三種以上的表單，這些表單有時都是同樣的一個作用而已。

第四， 導任何制度時，都應該由總經理或副總級以上的人員親自參與，企業在建置任何認證或者制度時，如果沒有一個有實際權力能夠整合橫向溝通的人，那麼就如同上述的問題，最後沒有整合成功，反而照成更混亂的情形發生。

以上四點，就是在導ISO時，筆者所見之部分心得，給各位讀者參考，資安的導入是個很重要的議題，如果無法達到內部整合，那麼所謂的企業資安，就會流於形式。

假作真時，真亦假 ; 無為有處，有還無!