|
*停權中*
|
引用:
|
作者Raziel
所以要是只懂純稽核缺少技術背景的, 遇到的困難總是會比又有技術背景的人要多些.
有兼具兩種學能的輔導或稽核團隊, 通常會比較能快速溝通抓到大家的交集點
講白一點, 就是跟他溝通的執行人員(含技術與非技術)覺得他的sense比較好.
實務來說, ISO認證的輔導與稽核單位是必須分開的不同公司.(避免球員兼裁判)
前面A輔導擬定的政策與管理辦法, 後面B要來稽核你, 說實話, B廠商也滿無辜的, 他只
是照辦事而已, 所以A在輔導的過程已經決定了很大的部分.(也適用公司自己做內稽)
老闆在研擬資安政策時, 有技術背景的輔導團隊比較快會體認到 "這個政策會衍生出什麼管理?"
"現在已有什麼技術/非技術機制可以做? 夠不夠? 缺哪些? 優先度是什麼, 有什麼限制....."
比較會再主動與管理階層商談, 而且若有預算與人員上的執行困難, 可以較早感知到.
如果確認是必須的...
|
所以說資訊本業轉資安不一定會比一些企管管資安吃香?
因為有些東西確實是事實,但是點出來在實際implement上卻有無限多的問題
資安人員無法提出作法,硬要下面的人作,這樣不是很怪?
我對敝公司的資安定規則的手法存在很大的疑問
在訂規則時,真的要每個部門把自己業務內容提供給資安人員,然後再給他們雞蛋裡挑骨頭?
這樣一來,作資安的人等於是公司最危險的人不是?
就我所知,美國所作的audit,好像是稽核者自己拿出checklist來作的吧?
所以我才覺得敝公司資安人員有利用公司資源,累積資安經歷的嫌疑 |