「謝謝長官前輩們的照顧,我下個月轉稽核囉~」
針對這個部份,稽核到職時會簽一份利益衝突迴避聲明書,
這份檔案是指說之前服務過的客戶,在一定期間內是無法進行稽核活動的。
這個系列文花最多時間在梗圖倉庫找梗圖
我認為從技術轉稽核是一條很有趣的路,但轉職大不易,故將轉職能的過程記錄下來,所以就有這一系列稽核師的挑戰。
主要是提供給對稽核生涯有興趣 或 未來想要轉職的大家參考,當然也歡迎稽核長官前輩們多多指導囉~
資安顧問是一份很有趣的工作,我們會觀察到很多客戶的資安事件,進而提供建議及執行的方向,供客戶驗證或參考。
但有時候我們會收到在執行面上有很多資源調度的困難或是產品功能的受限,而會在執行時會有很多遺憾或客訴。
這一份稽核師的挑戰,我會希望可以籍由資安稽核的角度,進而了解公司治理管理者的思維,並可以觸及到不同產業及企業資訊安全的治理風格,籍由稽核職能,後續就能了解企業的資安治理的角度及風險控管的方式,提高資安意識並增進企業的資安能量。有了管理者思維,然後我就可以再一次挑戰 CISSP 了Q"Q
.取得 ISO/IEC 27001 稽核員資格
.見識各大產業/企業資安治理風格
.學習更穩健的個人風格/表達方式
.協助驗證產業/企業的資安落實度
.稽核標準躺餘生不用拼命追新技術
.最終目標是 - 成為撰寫資安標準的傳奇稽核大師!
其實轉稽核也有因為地緣的關係啦,面試的時候有提到說距離我家很近的客戶由我來負責,也是很吸引人的原因之一。
不過事實上在執行面可能還是會有需要南北奔波的誤差啦 (這個在面試時,建議再度確認)
稽核標準躺餘生不用拼命追新技術
這句有莫名吸引力....^^
是不是~
只要掌握標準,最多標準改版需要更新,稽核的工作會是很有趣的,而且有機會自己去寫標準跟法規,就會覺得有一個很遠大的志向可以期待啊~
話說,如果前輩有空的話,也可以幫我看 OWASP TOP 10 2021 A6 的翻譯通不通順嗎?((A6 是我翻譯的,如果有要改我可以再送一版~
https://owasp.org/Top10/zh_TW/A06_2021-Vulnerable_and_Outdated_Components/
感謝感謝~
好呀~等我這幾天考完證照。話說還需要幫忙翻譯嗎?當初看到訊息的時候已經寫額滿了>< 我需要賺點CPE。我可以幫忙校對
謝謝師兄!!!!!
沒有,你是前輩耶~
虎虎你除了想考CISSP,會想考CISA嗎?這張好像稽核向的
我今年原本的 KPI 是 CSSLP,如果你想要電子教材的話,我們可以私下交流交流 XDDDDD
不過因為我今年轉職了,雖然不是 KPI ,但目前還是想先取得 CSSLP 吧 XD
稽核博大精深, CISA 可能等我真的成為稽核大師之後再來考取囉!
喔?但是CSSLP不是和稽核直接相關的呢~而且如果去稽核SDLC感覺反彈火力會更大>< 每次遇到「不懂agile就別和我談」的人,都會請他先喝杯水......
哈哈哈哈哈!我懂啦!不懂就要學啊 XDDD
不過現場遇到比較新的技術,就會問個概念,再補齊;或是再進一步請教很懂的窗口,通常大家都很友善啦~
其實我還是想說先拿到 CSSLP 才會進一步挑戰其他的欸?
感覺開發底如果沒有拿到這張感覺出去,出去稽研發都會覺得空空落落的…
如果拿到之後,就可以說依據 CSSLP 的內容,相關的作法是什麼樣,可以參考看看 XDDD