[Day31]那转职稽核好玩吗

「那转职成稽核好玩吗？」
「超～好～玩～～～～～」
「但～」
「也～好～精～实～噢～」

进步

我觉得我最大的进步，是因为常常与高层接触，所以我变得更懂得：

• 客观：所以标准都讲求证据，有没有？有就拿出来啊！
• 弹性：没有说业界标准作法是怎麽样，就一定要怎麽样，就看组织如何控管风险，你的政策咧？
• 效率：时间有限，稽核要稽到每个绑定标准的重点！
• 优化：如果有更好的作法，可以考量风险控管的角度提一下。
• 仪态：自己觉得自己站得比较挺，出门正式穿着也会看起来比较专业。
• 稳重：如果不稳重的话，常常会被受稽方质疑啊 Q"Q
• 知识：其实我对於网路架构来说，是很不熟悉的，但受形势所逼，很多专业知识能快速提升，谢谢前辈们的教导！
• 圆融：见识越多，越懂得自己的渺小，我是个坚定有礼貌的好孩子，请、谢谢、对不起。
• 懂得倾听：学会懂得倾听，才能更了解【问题的重点】在哪里。
• 精准提问：经过思考想好再讲，如果对方无法听懂，再带个风险情境、举个例子～
• 做好准备：稽核行程开始前要先看完三年内稽核报告，看完天就黑了，还不快把握时间看！
• 用字精准：因为次次稽核都要写报告，我觉得中文用法及英文文法的能力有快速提升。

痛点

• 四处奔波：其实我会转换工作就是因为距离，但其实稽核的工作并【没办法稽核固定的范围】，必要时还是得配合东奔西走，水送山迎。

• 学无止尽：由於受稽方次次都不同，情境也次次不同，不能通用

• 日复一日：大部份前辈离职的原因是因为每天都要写报告，但，工作不都这样吗？不调整自己的心态，很难去适应这样的环境，有些

• 转型挑战：其实我觉得一直维护很专业稳重的形象，跟我原先的人物设定真的有很大的差异 Q"Q

释疑

其实我在自己历经稽核之前，常常听见前辈们说：「ISO 27001 不就是纸本作业而已？」
但其实不是，真的不是！
如果组织对资讯安全的文化支持越高，那麽防御相关网路攻击、资安事件的风险就越低。
如果你的环境在验证 ISO 27001 时觉得都是纸本作业，那是组织的规范或是作业程序未实际落实。
稽核就是要来验证【说、写、作一致】，所以在抽样的时候，都会预期看到系统上或实务的执行的结果，
是否有相应依规范实作 或是 风险控管机制等等。

另外一点就是大家都会觉得【稽核就是令人讨厌的人】，大家都讨厌被稽核。
所以心态要转换过来，我们来做验证，是为了确认资讯安全体系的政策是有实际被落实的。
而非是来故意找碴找麻烦，我们是来验证有没有相关的风险及提供落实更好的空间。

如果，你去医院健康检查，如果体重爆表导致心血管疾病，你会怪医院的体重计坏掉吗？ XDDD

不会嘛～只是会想想应该怎麽根治肥胖吧？！
所以稽核也不应该被讨厌啦～放心收心～

如果有兴趣想要多了解稽核职能，欢迎来经验交流噢～
也欢迎前辈帮忙检视有哪里觉得不太对的地方做出指正！
谢谢大家～～～～～

恐怖游戏推荐

母胎单身 (支援繁体中文)

最後、最後，来分享个同事推荐的恐怖游戏 ((咦？
STEAM：https://store.steampowered.com/app/1414180/_/

【前情提要】
首尔，傍晚时分，你偷听到咖啡厅里两个人正在聊天。
哎呀，这是怎麽回事？
这麽不配的两个人正在相亲？
这个男人是不是灵魂出窍了，相亲变得不顺利了。

突然你进入到两个人视角的紧张对话中，参与一场激烈的头脑游戏。
你不经意的一句话将带往什麽结局呢？不
让我们根据你的选择，享受无限可能的故事吧！