iT邦幫忙

2021 iThome 鐵人賽

4
IT管理

稽核師的挑戰系列 第 31

[Day31]那轉職稽核好玩嗎

「那轉職成稽核好玩嗎?」
「超~好~玩~~~~~」
「但~」
「也~好~精~實~噢~」

https://ithelp.ithome.com.tw/upload/images/20211019/20103647PA94MHqvLv.jpg

進步

我覺得我最大的進步,是因為常常與高層接觸,所以我變得更懂得:

  • 客觀:所以標準都講求證據,有沒有?有就拿出來啊!
  • 彈性:沒有說業界標準作法是怎麼樣,就一定要怎麼樣,就看組織如何控管風險,你的政策咧?
  • 效率:時間有限,稽核要稽到每個綁定標準的重點!
  • 優化:如果有更好的作法,可以考量風險控管的角度提一下。
  • 儀態:自己覺得自己站得比較挺,出門正式穿著也會看起來比較專業。
  • 穩重:如果不穩重的話,常常會被受稽方質疑啊 Q"Q
  • 知識:其實我對於網路架構來說,是很不熟悉的,但受形勢所逼,很多專業知識能快速提升,謝謝前輩們的教導!
  • 圓融:見識越多,越懂得自己的渺小,我是個堅定有禮貌的好孩子,請、謝謝、對不起。
  • 懂得傾聽:學會懂得傾聽,才能更了解【問題的重點】在哪裡。
  • 精準提問:經過思考想好再講,如果對方無法聽懂,再帶個風險情境、舉個例子~
  • 做好準備:稽核行程開始前要先看完三年內稽核報告,看完天就黑了,還不快把握時間看!
  • 用字精準:因為次次稽核都要寫報告,我覺得中文用法及英文文法的能力有快速提升。

痛點

  • 四處奔波:其實我會轉換工作就是因為距離,但其實稽核的工作並【沒辦法稽核固定的範圍】,必要時還是得配合東奔西走,水送山迎。

  • 學無止盡:由於受稽方次次都不同,情境也次次不同,不能通用

  • 日復一日:大部份前輩離職的原因是因為每天都要寫報告,但,工作不都這樣嗎?不調整自己的心態,很難去適應這樣的環境,有些

  • 轉型挑戰:其實我覺得一直維護很專業穩重的形象,跟我原先的人物設定真的有很大的差異 Q"Q

釋疑

其實我在自己歷經稽核之前,常常聽見前輩們說:「ISO 27001 不就是紙本作業而已?」
但其實不是,真的不是!
如果組織對資訊安全的文化支持越高,那麼防禦相關網路攻擊、資安事件的風險就越低。
如果你的環境在驗證 ISO 27001 時覺得都是紙本作業,那是組織的規範或是作業程序未實際落實
稽核就是要來驗證【說、寫、作一致】,所以在抽樣的時候,都會預期看到系統上或實務的執行的結果,
是否有相應依規範實作 或是 風險控管機制等等。

另外一點就是大家都會覺得【稽核就是令人討厭的人】,大家都討厭被稽核。
所以心態要轉換過來,我們來做驗證,是為了確認資訊安全體系的政策是有實際被落實的。
而非是來故意找碴找麻煩,我們是來驗證有沒有相關的風險及提供落實更好的空間。

如果,你去醫院健康檢查,如果體重爆表導致心血管疾病,你會怪醫院的體重計壞掉嗎? XDDD
https://ithelp.ithome.com.tw/upload/images/20211019/20103647dfvYvdrcOp.jpg

不會嘛~只是會想想應該怎麼根治肥胖吧?!
所以稽核也不應該被討厭啦~放心收心~

如果有興趣想要多了解稽核職能,歡迎來經驗交流噢~
也歡迎前輩幫忙檢視有哪裡覺得不太對的地方做出指正!
謝謝大家~~~~~

恐怖遊戲推薦

母胎單身 (支援繁體中文)

最後、最後,來分享個同事推薦的恐怖遊戲 ((咦?
STEAM:https://store.steampowered.com/app/1414180/_/

【前情提要】
首爾,傍晚時分,你偷聽到咖啡廳裡兩個人正在聊天。
哎呀,這是怎麼回事?
這麼不配的兩個人正在相親?
這個男人是不是靈魂出竅了,相親變得不順利了。

突然你進入到兩個人視角的緊張對話中,參與一場激烈的頭腦遊戲。
你不經意的一句話將帶往什麼結局呢?不
讓我們根據你的選擇,享受無限可能的故事吧!


上一篇
[Day30]ISO 27001 附錄 A.18 遵循性
系列文
稽核師的挑戰31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
leonliu777
iT邦新手 5 級 ‧ 2021-10-19 17:28:57

放心,大家不會討厭稽核的人,
都是討厭為了通過稽核增加了一堆工作量,
卻不增加人力的主管。

看更多先前的回應...收起先前的回應...

突破盲點~稽核人員只是背黑鍋

虎虎 iT邦研究生 5 級 ‧ 2021-10-20 11:33:40 檢舉

對,在 ISO 27001 第 5 章節有討論到【領導作為】
所以在稽核的時候,有時候在高層主管訪談的時候,討論說有什麼相應政策,卻沒有給資源的時候,就會提醒一下主管這樣 XDDDDD

最常見就是在疫情 WFH 的時候,居然還沒有配公司電腦,要同仁使用自己的筆電,那在這個環節就會一併提醒主管可能會有機敏外洩的風險,是不要可以考慮要幫同仁採買筆電了咧 XDDDD

不過開主管缺失噢…
我俗辣,我是沒開過啦 XDDDD

你是稽核大師,直接給他開下去了啦。
反正這鍋我不背。

虎虎 iT邦研究生 5 級 ‧ 2021-10-20 15:29:09 檢舉

雖然說稽核該開就開!開!哪次不開!
我們也有主缺、次缺、改善建議跟口頭的等級…

不過針對高層長官的議題,比較敏感,
遇到這個情境我可能會再三討論後,開個改善建議或是口頭吧(?)

投訴書 + 1

我要留言

立即登入留言