Re: [請益] 資安人員的工作內容是什麼呢

※ 引述《oddpg (oddpg)》之銘言：
: yo,guys
: 小魯是某行政職系
: 但因為就讀大學時對電腦有點興趣
: 在報到時不小心透露給單位主管知道之後
: 目前在本單位內還要多接一些資安的業務
: 似乎是公文裡有「資安」這2個字
: 不管發文單位是誰
: 都會分文給我
: 不過,我也常常看不太懂啦
: 而且因為身兼資安人員的原故
: 我的業務減少滿多的
: 雖然接我業務的人很不爽,但那又是另一個故事了
: 只是該怎麼說呢 (=￣ω￣=)
: 我常常做得很心虛!!!
: 因為目前為止所有資安相關的工作
: 除了要配合上級的系統填一些有看沒有懂的資料外
: 我真的不知道要幹嘛
: 似乎所有的事情都委外
: 目前比較麻煩要常常去參加一大堆研習和巡迴研討會
: 其實去了我也聽不懂
: 去年有一次比較扯
: 1個月,我只有到單位上班8天
: 其它時候都在公假參加研習..
: 還有...其實有些來文我都寫擬不參加blah blah什麼的
: 但主管個性比較緊張還是會叫我參加
: 只是好奇說到底資安人員正常的工作內容是什麼呢?
: 是像我一樣每年去參加一大堆研習
: 或是只要公文來了,填填管考系統就好了嗎
: 其實我參加研習時,也有問過上級的單位承辦人,他們是什麼責任等級B級的?
: 反正好像事情要做得比我們多,但聽他們說
: 資安監控、資安健檢、滲透測試、弱點掃瞄、政府組態基準、防毒軟體都嘛委外
: 所以我真的很好奇
: 資安人員的工作內容是什麼呢?

曾經待在公家機關一陣子
簡單說明一下
因為這幾年開始實施資通安全管理法的關係
所以會要求公務機關和特定非公務機關(例如：金融業、電信業、醫院...)
要應辦許多事項
安全責任等級越高要做的事情越多

至於要做什麼事情
去參加研討會或政府相關網站上的文件都會告訴你
例如
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
https://nicst.ey.gov.tw/File/6E49FCC10A6891BE?A=C
所以並不是你想的那麼簡單全都委外就好
很多東西是要從內步去改善

然後主管機關是有機會來做外部稽核的
該資安通報卻沒通報
沒有達成的事項卻又說有
或是資料造假
那就祈禱不要被抓包

--