※ 引述《oddpg (oddpg)》之铭言:
: yo,guys
: 小鲁是某行政职系
: 但因为就读大学时对电脑有点兴趣
: 在报到时不小心透露给单位主管知道之后
: 目前在本单位内还要多接一些资安的业务
: 似乎是公文里有“资安”这2个字
: 不管发文单位是谁
: 都会分文给我
: 不过,我也常常看不太懂啦
: 而且因为身兼资安人员的原故
: 我的业务减少满多的
: 虽然接我业务的人很不爽,但那又是另一个故事了
: 只是该怎么说呢 (= ̄ω ̄=)
: 我常常做得很心虚!!!
: 因为目前为止所有资安相关的工作
: 除了要配合上级的系统填一些有看没有懂的资料外
: 我真的不知道要干嘛
: 似乎所有的事情都委外
: 目前比较麻烦要常常去参加一大堆研习和巡回研讨会
: 其实去了我也听不懂
: 去年有一次比较扯
: 1个月,我只有到单位上班8天
: 其它时候都在公假参加研习..
: 还有...其实有些来文我都写拟不参加blah blah什么的
: 但主管个性比较紧张还是会叫我参加
: 只是好奇说到底资安人员正常的工作内容是什么呢?
: 是像我一样每年去参加一大堆研习
: 或是只要公文来了,填填管考系统就好了吗
: 其实我参加研习时,也有问过上级的单位承办人,他们是什么责任等级B级的?
: 反正好像事情要做得比我们多,但听他们说
: 资安监控、资安健检、渗透测试、弱点扫瞄、政府组态基准、防毒软件都嘛委外
: 所以我真的很好奇
: 资安人员的工作内容是什么呢?
曾经待在公家机关一阵子
简单说明一下
因为这几年开始实施资通安全管理法的关系
所以会要求公务机关和特定非公务机关(例如:金融业、电信业、医院...)
要应办许多事项
安全责任等级越高要做的事情越多
至于要做什么事情
去参加研讨会或政府相关网站上的文件都会告诉你
例如
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
https://nicst.ey.gov.tw/File/6E49FCC10A6891BE?A=C
所以并不是你想的那么简单全都委外就好
很多东西是要从内步去改善
然后主管机关是有机会来做外部稽核的
该资安通报却没通报
没有达成的事项却又说有
或是资料造假
那就祈祷不要被抓包