第二次稽核結束

這幾天不論是廠商還是同事,要找我都是說沒空,因為我在準備稽核的紀錄資料。
星期四就是稽核日,透過這一年多來的準備,其實還是有很多不懂的地方。
不過上次的文審稽核過後,我更是加深了自己可以完成稽核的工作信念。
因為我發現,整個ISO27001的過程,就只是規定政策、執行政策、留下紀錄這三件事情而己。
對我而言真的是太簡單了。
我的個性就是那種,你要什麼,我就給你什麼的商人性格。
這也是從小到大做生意培養出來的直覺。
ISO27001想要什麼,我就給你什麼,就可以通過了。
在這一年來,都是我自己在處理這方面的事情。
加上其他同事的協助和支持,才建立起一個不是很完善,但是可以持續改善的資訊安全制度。
這一個月的稽核經驗,給了我一個劃時代的價值觀。
主要是資訊安全認證是一個動腦的工作,很符合我的個性。
花體力做的每件事情,重覆的工作,大多不太適合我。
如果沒有資訊安全的工作交給我做的話,可能真的要去做一些重覆無聊的工作。
剛好有這個動腦的工作機會,讓我大大的發揮所長,也可以順理成章的把花體力的工作,
交給其他同事代勞。
就如同我常常告訴同事的一句話:「這個地球上沒有我解決不了的問題,你把問題交給我來解決,不過事情要你做。」
今天稽核結束,稽核人員在closing meeting的時候,還不忘再補充一句話。
他說:「做稽核好幾年了,從來沒看過一個單位是沒有接受外部單位輔導,自己處理。你們是我看過第一個單位自己來運作ISO27001。」
當然這句話就是說我自己來,很厲害之類的說詞。
不過我看了一看所有的資訊安全程序書。
比參加國家考試,準備高普考的應試科目還簡單太多了。
除了工作上的事情之外,只是再加上執行資訊安全工作而己。
這次被稽核的經驗真的是很不錯。

留言

這個網誌中的熱門文章

收刀入鞘-從殺手到牧師 呂代豪的信主見證

推薦朋友的行政法手寫筆記