鬼故事 - 我们有通过国际资安 OOO 标准

credit: AilinStock, DNDmemes
灵感来源：UCCU Hacker

自从上次小华遇到的密码鬼故事，小华了解大部分普通企业对於资安稽核的认识就是只要检查的当下没事就好的，
而今天我们要讲的就是资安标准的鬼故事。

故事开始

以下故事纯属虚构，如有雷同那就雷同

小华所在的公司主要是做系统整合，
而这个对话发生在小华到了一个客户单位做到场服务的时候的对话

客户：小华，我们单位上周通过 ISO27001 了耶
小华：是喔！恭喜耶，你们 ISO27001 包含了那些区域阿
客户：就机房阿
小华心想：只有机房阿，你们其他有重要资料的东西都不用纳管的吗
客户又接着说：当初我接到命令的时候还以为是全部都要，但老板说通过就好不用搞那麽复杂。
客户：上级也只会在意有没有过资安标准而已。

资安探讨

为什麽需要标准

这故事其实放到许多产业都很通用，笔者还是鼓励资安标准这件事。
有了这些标准有固定的项目，让大家有方向可以遵循并且让其他人知道你有符合标准，
大家有一定的信赖基础，当然不代表没证照就是低於标准，是不是感觉跟证照很类似呢？

台湾近年各家工厂开始导入工控资安标准，
原因是甚麽？因为人家金主爸爸要你通过认证！

认证是一个最快的方式知道你有没有符合基本 60 分，
金主爸爸也不用伤脑筋去想办法搞懂你的资安的方式。

只是 60 分

在台湾一堆企业有通过各式各样的资安/管理标准，
为什麽他们还是会有一些离谱的资安事件？
因为大多数的企业都是一个 60 分心态，我有通过！不用努力了

而稽核员每年去稽核这些单位的时候，往往就会请他们某部分加强，
但因为他们合格了没有甚麽缺失，只能口头说改进方向。
这种感觉就像是老师每次抽查作业，看到学生作业都有做，
但难的题目却乱做/放弃，老师也只能苦口婆心的说下次加油。

以本篇故事来说，只有机房部分纳入资安范围也是一个常见状况，
希望大家看完这故事可以记住，资安没有绝对安全只有相对安全，
拥有重要资料的部门也应该纳入，毕竟这是公司生存的资本。

当你只满足於 60 分，你的安全就比别人差一些，
柿子都挑软的吃，骇客在网路上找目标也是同样的道理，
虽然网路上比60分低的企业还是有，但骇客数量众多难保不会挑到你。