在實習稽核階段,如果沒有導入經驗或是稽核經驗的時候,往往會非常吃虧。
(1) 無法從受稽方導入資訊管理系統的角度出發去進行稽核時,驗證的項目只能驗證到文件流程。
(2) 收到受稽方的控制措施時,無法從根因去分析資安風險
(3) 受稽方需要提供更多說明以讓稽核人員了解根因
(4) 稽核的標準可能因為稽核人員的品質而無法確實驗證
(5) 計畫永遠趕不上變化,在稽核時沒有足夠的經驗,可能無法及時做出良好的應對。
所以會建議如果真的要走上稽核大師這條路,真的要有稽核經驗會比較得心應手。
畢竟不是所有人只要受訓完就成成為稽核員,參加完教育訓練、通過考試、取得認證只是驗證你對稽核及標準的熟悉度,但真的實地稽核還是會因為受稽方會有百百種的突發狀況,所以基本的專業知識、稽核水平、標準解讀一定要有才能滿足稽核工作的要求,所以如果有相關稽核經驗來挑戰稽核職能是真的會比較輕鬆。
但是,如果,真的沒有呢?
因為沒有的話,正式稽核會被客戶慘電欸?!
或是一旦客戶知道稽核老師很資淺之後,對於稽核活動的節奏可能就會被客戶帶偏大大影響稽核行程,
或是因為認為就會以敷衍了事或是虎虎過去,但受限於經驗不足可能無法說服客戶…
所以這裡提供幾個方式就參考看看囉~
!
菜雞稽核師可能就需要在有限的時間內把握每次實習稽核的機會提問。
當然不能盲目發問,建議是將當下的稽核的情境自行做模擬問答。
可以觀察前輩怎麼提問? 為什麼他要怎麼問? 這麼問可以了解什麼? 對應到哪個標準? 還有跟哪些項目有連動?
由於未來稽核場次很多,突發狀況或是情境也會很多,但未來就可能沒有觀察員或前輩時時陪著稽核,所以將筆記系統化是一件很重要的事情;除了可以提升稽核提問的品質,也可以避免相同的錯誤不要再犯第二次。
請你有稽核經驗的前輩或是朋友扮演客戶,準備好你的檢查表及稽核軌跡,在正式上場之後做過模擬演練。
稽核活動是不允許錄音的,但是我們可以在模擬演練的時候錄音,把自己在稽核演練的提問、稽核用語及應對記錄下來,重覆去糾正;而且如果有做模擬演練的時候,正式上場也不會那麼緊張。
如果真的沒有把握,就先準備明天稽核活動攻防演練的準備逐字稿也是一種穩健的方式。
如果有無法控制或是無法回答的狀況,請即時記錄下來,待稍候休息時間時快詢問觀察員或是稽核前輩。
以穩定的表現來進行,後續的稽核活動,就以客觀開放虛心情教來慢慢成長吧!
在實地稽核只能靠自己的經驗及熟練,畢竟實際執行稽核還是以獨立自主完成工作為主。
或許有幸有觀察員可以協助,但別忘記之前提到觀察員是不能提出建議或是意見的,所以只能靠自己完成稽核工作。
但是由於每個稽核都會有自己的節奏,所以如果發現非預期的狀況,可以馬上中斷稽核,乘機詢問觀察員或是資深前輩。
有些好心前輩會願意提供即時的線上服務,像說偷偷用通訊軟體提醒重點,或是休息時間討論,記得筆記要做好,然後再稍候的場次再進一步去做確認。
這個最常遇到需要臨時中止的狀況就是受稽方當天改稽核範圍通常會在稽核計畫前跟客戶確認啦,要知道稽核範圍可大可小,如果超出太多可能會需要重新評估範圍及人天,像說臨時加入新增業務、新蓋廠房,再來就是重大政策變更或是新增驗證標準,受稽方想一併驗證個資等等,這個都是需要臨時中止去確認是否需要擇期再進行的狀況。
在前期對於架構或系統不熟悉的時候,雖然可能會被受稽方覺得:「啊你怎麼連這個都不懂還出來稽核?」
不過我們的任務是依據標準去驗證受稽方是否實作已滿足標準要求,所以對應的標準該確認的都要確認到才行。
至於專業或是經驗,只能後續再來請教資深的前輩慢慢補上囉~
放輕鬆!其實菜雞不菜稽,常常被稽核的受稽方其實觀察的出來啦!
只要對應的標準該確認的都要確認到,加上節奏夠穩,都還是可以順利完成的。
稽核證據也就是俗稱的工作底稿。
請將實地稽核的證據記錄下來,需要記錄綁定的標準、對應的文件、對應的稽核內容
及對應的人、事、時、地、物等等,這些記錄將會作為產出報告的依據,
或是在稽核結果有爭議,或是下一次稽核需要去核對前次不符合事項的追蹤,就會進一步查看先前的稽核記錄,
或是主管機關會不定期來抽驗稽核員在稽核執行的記錄與報告是否符合標準,
所以請仔細記錄,後續會將證據歸檔上鎖保管,僅供後續主管機關查核之用。
當天完成證據後,將再由稽核組長統一複核,
如果有誤就會再次跟稽核組員再三確認細項及證據 ( 最常見的情境是要結案掉上次的不符合事項 )
如果無誤,組長會依證據檔案完成稽核報告,
後續會再寄給受稽方確認後簽名回傳,後續將報告歸檔。
再一定的實習稽核場次後,就會有實習稽核考核,但我相信以持續改善、樂觀開放的心態去完成實習稽核階段之後,
後續通過實習稽核考核就不難了!加油加油!
盲目發問真的很扯,傻眼;不要怕請教也很重要,絕對不能預設對方系統結構怎樣,就算有網路圖表也要再三確認。
我遇過很好笑的情況是:發問的人越來越火大,因為他預設了情況所以給的回應和提問,我們受稽核方很難理解,覺得沒道理;他最後還說「因為我有CISSP! (所以你們要聽我的)」。主管當場要求中止會議,隔幾天後由更資深的稽核師來釐清問題,重新繼續會議。但是在客戶面前發火的那位仁兄就沒再出現了~
好想哭喔,我也是無經驗也無背景就直接被丟去當外部稽核員,每次都被客戶電,我知道客戶已經察覺我不懂標準,但還是得拉著臉完成稽核 ,因為每個法條對應的文件還是要寫進去,不然回公司一定會被罵超慘,現在只能依靠每次稽核時將客戶的回答記錄下來製作成問項,靠此方法不斷精進我的能力…
只是真的很難適應,我就不懂呀,公司也沒教我如何做,也沒人可以問,甚至連個稽核底稿也沒有…
真的好累喔…好想辭職喔,我也不是想要這麼爛,我自製的稽核查核表也越來越豐富,很多部分已經知道要看什麼樣的內容了,但有些技術性的部分,沒有任何經驗,我自己也不知道我要問什麼…
而且稽核最大的問題是一定要開缺失,這真的是最讓我頭痛的事情…且不是開完缺失就算了還要解釋如何改善…
是建議可以跟受稽單位討論一下,因為你是稽核你最大!
你想要稽什麼都可以提出來,你想看什麼,他們都要的提出來~
或是可以直接跟他說,可以解釋一下這個嗎?
你做了什麼~防止這樣的風險這樣。
如果你是第三方稽核,可以專精在稽你最專業的地方,其他就輕輕帶過
(因為你稽了也不懂?)
是不一定要硬開啦… 但…
我們前東家有說被開了排插有灰塵…
也是稽核比較沒有專業經驗這樣…
如果程序書上面寫一年做一次,如果做第二次還要被開不符合程序…
我同事被稽的超痛苦 Q Q