我覺得還是要看人, 有資訊背景或企管背景, 都各自會有不同起跑優勢, 欠缺的部分也是

可以補得起來的, 肯唸書也能學得方法/知識 考過認證, 剩下的就是經驗累積.

我在行政院研考會當 網路安全參考指引 評析委員時,也協助審過一些checklist,

通常可以當作參考guide line, 最貼切自己的還是難免要客製化. 資安人員受限於他們的

code of ethic, 具有責任不濫用不洩漏並保護你的機密資料(咳...有沒有做到是另一回事)

他們只協助管理流程, 但是不具備存取敏感資料的權限, 所以也不會無限上綱 形比東廠.

至於是否有私心,拿公司來練功, 這就看怎麼解讀了, 說不定他們也是幹聲連連 無奈得很.

往好處看, 從嚴管理, 也是一個對公司有幫助的措施, 既是政策就多擔待些, 有需要改進的

可以反應回報, 他們應該懂PPDCA(Policy-Plan-Do-Check-Action)的行動循環,

不然就有勞你再去稍微電一下他們了 :laugh:

看來我是遇到"拿著雞毛當令箭"的資安人員了吧
一般來說,資安人員有必要去review整個design flow chart或者是organization chart?
對每個部門而言,這些都是絕對機密
不過資安人員會玩啥花招就不用說了
基本上我不是作資安的,所以我也不會去電他,畢竟那不是我的領域
就像是鎖user administrator權限一樣
user有權力challenge我,但是我也會提出我的配套,因為我知道這是我必須要作到的
反觀我講的某些資安人員,問題點了,結果沒配套
這樣又回到某些人反映的所謂沒有usb/rs232不能做事一樣
我個人反而覺得這是一種不負責任的態度
不過這也是我個人感受啦^^"作資安的就不用砲我了^^"
目前種種跡象看來,資安應該比MIS好作一點
至少不一定要把配到作出來給user,
希望我這樣看下來的理解是正確的@@"