資安業務7年資歷，系統整合10年經驗，電信業務2年的幸運。
資安領域每年都有大風吹，有椅子坐的產品也常常更換，大家對資安的直覺是資安產品。
大家說: 管理、技術 (產品)、人才 ; 是三大元素，這幾年的銷售過程真有一些心得
雖然資安喊得震天響, 但在我與客戶談論過程中理解術業有專攻，踏入這大千世界没有概想的簡單.

1. 客戶說的最直觀
   有位製造業客戶說 : 他們導入ISO27001資訊安全管理制度讓整個公司動起來.
   有位製造業客戶說 : 他們要先導入ISO27001認證再來評估應搭配的資安產品及人才訓練。
2. 客戶說叫不動人
   我將上述的客戶經驗與客戶分享，如果能以較高的主管往下驅動管理，許多政策則水道渠成。
3. 我的醒悟
   如果不甚了解資安需求，無法說明主管，管不動人員，生不出錢 ....
   第一步推動ISMS資訊安全管理制度也許是不錯的切入點。讓老闆進來大聲一喊，全部排排站好。
4. ISO27001 : 2022
   唉聲肆起，灰頭土臉，這是今年許許多客戶在通過新版IS027001:2022的心情。
   因為新版的制度加入許多Cyber Security與隱私保護。實劍實刀真的來了。緊扣著老闆的口袋。
   **威脅情資 **
   雖可透過外購來簡化收集過程，但光是一筆情資所牽動的釐清、盤查、因應或預防行動就很耗時耗力。
   可行作法是SIEM / SOC機制，以足夠的記錄與資料來拼湊出安全事件的全貌。
   今年驗證稽查首要項目 : 情資、收集、關聯設定、分析、處置、通報。這真的是落實的行走。
   DLP（Data Loss Protection）和刪除作業亦是棘手課題
   資料必然歷經的儲存、使用、刪除等三個階段，DLP都必須扮演角色 .
   資安國安，資料保護喊出來，規範真的來了。我個人覺得這會是明年稽核的重點。
   組態管理亦是高難度條款
   必須涵蓋軟體、硬體、網路、服務四大主題建立基線，由於各部門啟用功能的需求不同，無法只以工具處理。
   這點倒是讓我們公司的顧問比較痛苦，因為要輔導客戶訂立規範而且要衡量對於客戶的可行性。