俗好說的好，平時不做虧心事，半夜不怕鬼敲門，白天假報告寫的那麼多，晚上會不會輾轉難眠呢？
不過，半夜不好睡應該是年紀的關係…吧？ XDDD
工作除了要養家活口，也要做的心安理得，不要總是讓自己的業障變成明天的新聞～
為了維護世界和平，降低假資安跟報告，所以轉身一變成為稽核老師啦 ♡

如果我知道問題在哪裡，那麼我就能讓乾爹見識見識真正的資安！
但是，完全沒有稽核及被稽核經驗的我，要怎麼進入稽核這個產業呢？
再說，成熟穩重這種風格的工作，跟當下我的工作經驗跟屬性，跨領域真的能適應嗎？
其實，我跨領域真的戰戰兢兢，所以去年才把當下的心情紀錄下來。
有興趣可以回顧一下我去年的鐵人賽。 XDDD
[工商時間]稽核師的挑戰

其實因為資通法的法遵，導致需要對組織對於主導稽核員的需求增加，我才能混水摸魚偷偷摸摸加入稽核人員的行列。
當時的我，面試也大辣辣的直接告知沒有 ISO 27001，所以第一個月幾乎都是在培訓，在取得認證後，大部份的行程都是觀察員 & 實習稽核人員，滿足驗證單位所規定的場次之後，就可以試著獨當一面啦～

優點

• 其實稽核人員的光環及角色，是真的能享受甲方爸爸必恭必敬的尊榮，也能見識很多產業及高層對資安的架構及真實環境，並且會從受稽方得到除了國際標準認證以外，還有有其他解法的思路，這是其他工作所能學習不到的。
• 也能時常接觸到高層思維，嘗試用管理者的視角來思辨問題的解決方案。
• 會學著將自己包裝成很厲害專業稽核的樣子，以驗證稽核的思路會漸漸的在生活中內化，也是需要時間去調適的地方囉～
• 英文能力跟報告能力、溝通技巧、團隊合作、時間掌控的技能都會大幅上升

痛點

• 我轉稽核的真正原因，是因為稽核單位離我們公司很近，就帶著好奇去接觸看看，面試的時候，有提到一旦成為稽核員，後續的工作將在我家附近地區，並且可以滿足工作完成準時下班接小孩的願景，但後來的生活，我只能說小心求職陷阱 Q Q

• 其實稽核也算第三方人員，每位稽核員的專業及屬性都不同，所以對驗證的項目就真的很吃技術及經驗，作幾個稽核情境假設：

• 曾經有次參與觀察員的時候，程序書說源碼一年做一次，但如果為了驗證而做兩次源掃，那可能會會被列為缺失(因為次數不符合於程序書規定？)

• 也有遇過有些稽核前輩，可能會考慮甲方的壓力或被扣考績，或是知道開了缺失而無法改善，大發善心不開了～(大家都是出來混口飯吃？)

• 但也有遇過稽核前輩在抽驗時，發現再稽方直接在正式區改程式跟改資料庫，但因為客戶說企業文化或是經驗法則，即使開完缺失也無法改進或程序書並沒有詳實規定，所以不就開缺失。(？

• 也曾經遇過客戶很激動的回覆說，這不能開，這開了會走很多人，然後被威脅說此次驗證不算，下次找其他驗證單位，然後稽核前輩就真的不開了。(我給你錢，你快做！)

• 再來就是看到有弱點的環境跟漏洞，好想打卻又不能打哦，就只能看看 Q ___________ Q

其實太多的狀況跟原訂的稽爆他！稽爆他！的工作期待不同啦～
所以，稽核的活生只好在其中取平衡點囉～