iT邦幫忙

2022 iThome 鐵人賽

DAY 8
1
IT管理

資安發大財系列 第 8

[Day07] 成為乾爹的親爸爸

  • 分享至 

  • xImage
  •  

俗好說的好,平時不做虧心事,半夜不怕鬼敲門,白天假報告寫的那麼多,晚上會不會輾轉難眠呢?
不過,半夜不好睡應該是年紀的關係…吧? XDDD
工作除了要養家活口,也要做的心安理得,不要總是讓自己的業障變成明天的新聞~
為了維護世界和平,降低假資安跟報告,所以轉身一變成為稽核老師啦 ♡

如果我知道問題在哪裡,那麼我就能讓乾爹見識見識真正的資安!
但是,完全沒有稽核及被稽核經驗的我,要怎麼進入稽核這個產業呢?
再說,成熟穩重這種風格的工作,跟當下我的工作經驗跟屬性,跨領域真的能適應嗎?
其實,我跨領域真的戰戰兢兢,所以去年才把當下的心情紀錄下來。
有興趣可以回顧一下我去年的鐵人賽。 XDDD
[工商時間]稽核師的挑戰

其實因為資通法的法遵,導致需要對組織對於主導稽核員的需求增加,我才能混水摸魚偷偷摸摸加入稽核人員的行列。
當時的我,面試也大辣辣的直接告知沒有 ISO 27001,所以第一個月幾乎都是在培訓,在取得認證後,大部份的行程都是觀察員 & 實習稽核人員,滿足驗證單位所規定的場次之後,就可以試著獨當一面啦~

優點

  • 其實稽核人員的光環及角色,是真的能享受甲方爸爸必恭必敬的尊榮,也能見識很多產業及高層對資安的架構及真實環境,並且會從受稽方得到除了國際標準認證以外,還有有其他解法的思路,這是其他工作所能學習不到的。
  • 也能時常接觸到高層思維,嘗試用管理者的視角來思辨問題的解決方案。
  • 會學著將自己包裝成很厲害專業稽核的樣子,以驗證稽核的思路會漸漸的在生活中內化,也是需要時間去調適的地方囉~
  • 英文能力跟報告能力、溝通技巧、團隊合作、時間掌控的技能都會大幅上升

痛點

  • 我轉稽核的真正原因,是因為稽核單位離我們公司很近,就帶著好奇去接觸看看,面試的時候,有提到一旦成為稽核員,後續的工作將在我家附近地區,並且可以滿足工作完成準時下班接小孩的願景,但後來的生活,我只能說小心求職陷阱 Q Q

  • 其實稽核也算第三方人員,每位稽核員的專業及屬性都不同,所以對驗證的項目就真的很吃技術及經驗,作幾個稽核情境假設:

  • 曾經有次參與觀察員的時候,程序書說源碼一年做一次,但如果為了驗證而做兩次源掃,那可能會會被列為缺失(因為次數不符合於程序書規定?)

  • 也有遇過有些稽核前輩,可能會考慮甲方的壓力或被扣考績,或是知道開了缺失而無法改善,大發善心不開了~(大家都是出來混口飯吃?)

  • 但也有遇過稽核前輩在抽驗時,發現再稽方直接在正式區改程式跟改資料庫,但因為客戶說企業文化或是經驗法則,即使開完缺失也無法改進或程序書並沒有詳實規定,所以不就開缺失。(?

  • 也曾經遇過客戶很激動的回覆說,這不能開,這開了會走很多人,然後被威脅說此次驗證不算,下次找其他驗證單位,然後稽核前輩就真的不開了。(我給你錢,你快做!)

  • 再來就是看到有弱點的環境跟漏洞,好想打卻又不能打哦,就只能看看 Q ___________ Q

其實太多的狀況跟原訂的稽爆他!稽爆他!的工作期待不同啦~
所以,稽核的活生只好在其中取平衡點囉~


上一篇
[Day06] 大家都是混口飯吃
下一篇
[Day08] 地方資安我來守護
系列文
資安發大財19
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言