鬼故事 - 我們有通過國際資安 OOO 標準

credit: AilinStock, DNDmemes
靈感來源：UCCU Hacker

自從上次小華遇到的密碼鬼故事，小華了解大部分普通企業對於資安稽核的認識就是只要檢查的當下沒事就好的，
而今天我們要講的就是資安標準的鬼故事。

故事開始

以下故事純屬虛構，如有雷同那就雷同

小華所在的公司主要是做系統整合，
而這個對話發生在小華到了一個客戶單位做到場服務的時候的對話

客戶：小華，我們單位上週通過 ISO27001 了耶
小華：是喔！恭喜耶，你們 ISO27001 包含了那些區域阿
客戶：就機房阿
小華心想：只有機房阿，你們其他有重要資料的東西都不用納管的嗎
客戶又接著說：當初我接到命令的時候還以為是全部都要，但老闆說通過就好不用搞那麼複雜。
客戶：上級也只會在意有沒有過資安標準而已。

資安探討

為什麼需要標準

這故事其實放到許多產業都很通用，筆者還是鼓勵資安標準這件事。
有了這些標準有固定的項目，讓大家有方向可以遵循並且讓其他人知道你有符合標準，
大家有一定的信賴基礎，當然不代表沒證照就是低於標準，是不是感覺跟證照很類似呢？

台灣近年各家工廠開始導入工控資安標準，
原因是甚麼？因為人家金主爸爸要你通過認證！

認證是一個最快的方式知道你有沒有符合基本 60 分，
金主爸爸也不用傷腦筋去想辦法搞懂你的資安的方式。

只是 60 分

在台灣一堆企業有通過各式各樣的資安/管理標準，
為什麼他們還是會有一些離譜的資安事件？
因為大多數的企業都是一個 60 分心態，我有通過！不用努力了

而稽核員每年去稽核這些單位的時候，往往就會請他們某部分加強，
但因為他們合格了沒有甚麼缺失，只能口頭說改進方向。
這種感覺就像是老師每次抽查作業，看到學生作業都有做，
但難的題目卻亂做/放棄，老師也只能苦口婆心的說下次加油。

以本篇故事來說，只有機房部分納入資安範圍也是一個常見狀況，
希望大家看完這故事可以記住，資安沒有絕對安全只有相對安全，
擁有重要資料的部門也應該納入，畢竟這是公司生存的資本。

當你只滿足於 60 分，你的安全就比別人差一些，
柿子都挑軟的吃，駭客在網路上找目標也是同樣的道理，
雖然網路上比60分低的企業還是有，但駭客數量眾多難保不會挑到你。