其實也不能怪那個稽核
很多人看到資安兩個字就直接跟電腦套在一起
但實際上那些人...

以我來說，我上過第一天的課就已經想放棄了
因為跟電腦真的沒啥關聯

認證這種東西在台灣早就見怪不怪了............

不可否認台灣很大一部份的公司都是如此
但是也有資安做的很嚴的公司
小弟我遇過某間公司,就連外派至該公司的開發人員,也必須定期上該公司所開設的資安課程
例如開發時所需注意的事項,開發流程/測試/驗收...非常多項目
所有的環節都必須跟著該公司所制定的資安流程走
網路/使用者電腦(例如Web mail/USB儲存裝置)
嚴禁私自接網路,3.5G這種是絕對禁止的,若是要使用必須經過申請,就算申請過了,也不可以與該公司網路進行跨接
這些資安只是其中一小部份
另一部份的是資料,擁有不同等級的權限能夠看不同的資料
就算是有權限看某個欄位的資料,若是該欄位為隱私性高的資料,例如身份證字號,那也必定有部份被Mark起來,或是不可同時出現2個機密性欄位資料
很多使用者的螢幕都有裝3M 防窺護目鏡
這些只是電腦系統上的資安,此外還有一大部份是人為資安的控管
小弟我只是提到我所看到的一部份,該公司的資安控管當然比我講的要大的多
因為我在該公司裡面接觸到的部份實在是少得可憐

有駕照而不會開車，有大學學歷而什麼也不會...

Devil兄所提的資安是做的相當積極的資安。
國內有少數稽核公司做的實在是......新進人員尚無法掌握狀況之前就放狗出來咬人
只能說就像看醫生一樣，運氣運氣啦。
資安證照有分很多種，很難考過的那種，跟很簡單就可以考過的那種
不過就算是很簡單就可以考過的那種，不同老師講起課來，效果也不同
平平是肝藥，處方相同，提煉作法不同，成本效果就不同。
這又回到老師跟學生的課題回去了
有些老師是不太會講課沒錯，可是有些學生根本也是被迫來聽的，底子根本不夠，你講太難他又聽不懂；有些老師很會講課，經驗也很多，可是有時候學生時間不夠多，只好把時間壓縮。壓縮了一定會漏掉一些重要但不緊急的事情。兩難啦，客戶要求什麼，就給什麼。

資訊安全不是只有做做網路安全、病毒牆、防火牆就是資訊安全，他是一個整體的觀念，由上到下都要打通關。所以對於懂技術的人會覺得管理面那什麼東西？對於只懂管理的人會覺得技術層面那麼多那麼雜IDS跟IPS跟IDF有什麼差別？根本弄不清楚。每個人的期待都不同，這是有人不滿的主要原因。

你要說他只是張客戶要求的paper也行，但是你也可以把它視為一個導入真正資訊安全管理系統的契機。看你怎麼把握這筆預算。

其實不是考照的過程有問題
而是該證照的內容本身就有很大的會錯意

所以說資訊本業轉資安不一定會比一些企管管資安吃香?
因為有些東西確實是事實,但是點出來在實際implement上卻有無限多的問題
資安人員無法提出作法,硬要下面的人作,這樣不是很怪?
我對敝公司的資安定規則的手法存在很大的疑問
在訂規則時,真的要每個部門把自己業務內容提供給資安人員,然後再給他們雞蛋裡挑骨頭?
這樣一來,作資安的人等於是公司最危險的人不是?
就我所知,美國所作的audit,好像是稽核者自己拿出checklist來作的吧?
所以我才覺得敝公司資安人員有利用公司資源,累積資安經歷的嫌疑

好像是這樣...
考試也是這樣子考

人是自私的