「那轉職成稽核好玩嗎？」
「超～好～玩～～～～～」
「但～」
「也～好～精～實～噢～」

進步

我覺得我最大的進步，是因為常常與高層接觸，所以我變得更懂得：

• 客觀：所以標準都講求證據，有沒有？有就拿出來啊！
• 彈性：沒有說業界標準作法是怎麼樣，就一定要怎麼樣，就看組織如何控管風險，你的政策咧？
• 效率：時間有限，稽核要稽到每個綁定標準的重點！
• 優化：如果有更好的作法，可以考量風險控管的角度提一下。
• 儀態：自己覺得自己站得比較挺，出門正式穿著也會看起來比較專業。
• 穩重：如果不穩重的話，常常會被受稽方質疑啊 Q"Q
• 知識：其實我對於網路架構來說，是很不熟悉的，但受形勢所逼，很多專業知識能快速提升，謝謝前輩們的教導！
• 圓融：見識越多，越懂得自己的渺小，我是個堅定有禮貌的好孩子，請、謝謝、對不起。
• 懂得傾聽：學會懂得傾聽，才能更了解【問題的重點】在哪裡。
• 精準提問：經過思考想好再講，如果對方無法聽懂，再帶個風險情境、舉個例子～
• 做好準備：稽核行程開始前要先看完三年內稽核報告，看完天就黑了，還不快把握時間看！
• 用字精準：因為次次稽核都要寫報告，我覺得中文用法及英文文法的能力有快速提升。

痛點

• 四處奔波：其實我會轉換工作就是因為距離，但其實稽核的工作並【沒辦法稽核固定的範圍】，必要時還是得配合東奔西走，水送山迎。

• 學無止盡：由於受稽方次次都不同，情境也次次不同，不能通用

• 日復一日：大部份前輩離職的原因是因為每天都要寫報告，但，工作不都這樣嗎？不調整自己的心態，很難去適應這樣的環境，有些

• 轉型挑戰：其實我覺得一直維護很專業穩重的形象，跟我原先的人物設定真的有很大的差異 Q"Q

釋疑

其實我在自己歷經稽核之前，常常聽見前輩們說：「ISO 27001 不就是紙本作業而已？」
但其實不是，真的不是！
如果組織對資訊安全的文化支持越高，那麼防禦相關網路攻擊、資安事件的風險就越低。
如果你的環境在驗證 ISO 27001 時覺得都是紙本作業，那是組織的規範或是作業程序未實際落實。
稽核就是要來驗證【說、寫、作一致】，所以在抽樣的時候，都會預期看到系統上或實務的執行的結果，
是否有相應依規範實作 或是 風險控管機制等等。

另外一點就是大家都會覺得【稽核就是令人討厭的人】，大家都討厭被稽核。
所以心態要轉換過來，我們來做驗證，是為了確認資訊安全體系的政策是有實際被落實的。
而非是來故意找碴找麻煩，我們是來驗證有沒有相關的風險及提供落實更好的空間。

如果，你去醫院健康檢查，如果體重爆表導致心血管疾病，你會怪醫院的體重計壞掉嗎？ XDDD

不會嘛～只是會想想應該怎麼根治肥胖吧？！
所以稽核也不應該被討厭啦～放心收心～

如果有興趣想要多了解稽核職能，歡迎來經驗交流噢～
也歡迎前輩幫忙檢視有哪裡覺得不太對的地方做出指正！
謝謝大家～～～～～

恐怖遊戲推薦

母胎單身 (支援繁體中文)

最後、最後，來分享個同事推薦的恐怖遊戲 ((咦？
STEAM：https://store.steampowered.com/app/1414180/_/

【前情提要】
首爾，傍晚時分，你偷聽到咖啡廳裡兩個人正在聊天。
哎呀，這是怎麼回事？
這麼不配的兩個人正在相親？
這個男人是不是靈魂出竅了，相親變得不順利了。

突然你進入到兩個人視角的緊張對話中，參與一場激烈的頭腦遊戲。
你不經意的一句話將帶往什麼結局呢？不
讓我們根據你的選擇，享受無限可能的故事吧！