「那轉職成稽核好玩嗎?」
「超~好~玩~~~~~」
「但~」
「也~好~精~實~噢~」
我覺得我最大的進步,是因為常常與高層接觸,所以我變得更懂得:
四處奔波:其實我會轉換工作就是因為距離,但其實稽核的工作並【沒辦法稽核固定的範圍】,必要時還是得配合東奔西走,水送山迎。
學無止盡:由於受稽方次次都不同,情境也次次不同,不能通用
日復一日:大部份前輩離職的原因是因為每天都要寫報告,但,工作不都這樣嗎?不調整自己的心態,很難去適應這樣的環境,有些
轉型挑戰:其實我覺得一直維護很專業穩重的形象,跟我原先的人物設定真的有很大的差異 Q"Q
其實我在自己歷經稽核之前,常常聽見前輩們說:「ISO 27001 不就是紙本作業而已?」
但其實不是,真的不是!
如果組織對資訊安全的文化支持越高,那麼防禦相關網路攻擊、資安事件的風險就越低。
如果你的環境在驗證 ISO 27001 時覺得都是紙本作業,那是組織的規範或是作業程序未實際落實。
稽核就是要來驗證【說、寫、作一致】,所以在抽樣的時候,都會預期看到系統上或實務的執行的結果,
是否有相應依規範實作 或是 風險控管機制等等。
另外一點就是大家都會覺得【稽核就是令人討厭的人】,大家都討厭被稽核。
所以心態要轉換過來,我們來做驗證,是為了確認資訊安全體系的政策是有實際被落實的。
而非是來故意找碴找麻煩,我們是來驗證有沒有相關的風險及提供落實更好的空間。
如果,你去醫院健康檢查,如果體重爆表導致心血管疾病,你會怪醫院的體重計壞掉嗎? XDDD
不會嘛~只是會想想應該怎麼根治肥胖吧?!
所以稽核也不應該被討厭啦~放心收心~
如果有興趣想要多了解稽核職能,歡迎來經驗交流噢~
也歡迎前輩幫忙檢視有哪裡覺得不太對的地方做出指正!
謝謝大家~~~~~
最後、最後,來分享個同事推薦的恐怖遊戲 ((咦?
STEAM:https://store.steampowered.com/app/1414180/_/
【前情提要】
首爾,傍晚時分,你偷聽到咖啡廳裡兩個人正在聊天。
哎呀,這是怎麼回事?
這麼不配的兩個人正在相親?
這個男人是不是靈魂出竅了,相親變得不順利了。
突然你進入到兩個人視角的緊張對話中,參與一場激烈的頭腦遊戲。
你不經意的一句話將帶往什麼結局呢?不
讓我們根據你的選擇,享受無限可能的故事吧!
放心,大家不會討厭稽核的人,
都是討厭為了通過稽核增加了一堆工作量,
卻不增加人力的主管。
突破盲點~稽核人員只是背黑鍋
對,在 ISO 27001 第 5 章節有討論到【領導作為】
所以在稽核的時候,有時候在高層主管訪談的時候,討論說有什麼相應政策,卻沒有給資源的時候,就會提醒一下主管這樣 XDDDDD
最常見就是在疫情 WFH 的時候,居然還沒有配公司電腦,要同仁使用自己的筆電,那在這個環節就會一併提醒主管可能會有機敏外洩的風險,是不要可以考慮要幫同仁採買筆電了咧 XDDDD
不過開主管缺失噢…
我俗辣,我是沒開過啦 XDDDD
你是稽核大師,直接給他開下去了啦。
反正這鍋我不背。
雖然說稽核該開就開!開!哪次不開!
我們也有主缺、次缺、改善建議跟口頭的等級…
不過針對高層長官的議題,比較敏感,
遇到這個情境我可能會再三討論後,開個改善建議或是口頭吧(?)
投訴書 + 1