在金融業擔任資訊管理工作15年,嫻熟異質平台整合,資訊安全管理等領域,持有CISSP資訊安全專家認證。目前擔任證券業擔任系統管理科主管,主要負責機房主機管理、儲存架構、虛擬化規劃、集中備份、資訊安全管理、個資管理規劃以及全公司個人電腦管理規劃。。
過去長時間負責資訊安全方面的實務工作,除了日常維運外,針對一些資訊安全專案規劃,往往在提案後因為高階主管對資訊安全的不夠了解,而使資訊安全專案未能按照規劃進行。希望透過參加CCISO資安長的課程,學習更多有關更高層次的資訊安全管理知識,進而提升自己的管理高度,能從高階主管的角度來思考與擘劃,建立紮實的資訊安全架構,保障企業資訊安全。
CCISO資安長認證課程五個知識領域中,我覺得最困難的部份是治理(政策、法律與遵循性),這是一個資訊安全的大架構,而高階主管們通常都是業務導向出身,資訊安全越嚴密,花在其上的成本通常越高,也往往是導致資訊安全專案未竟全功的主因;如何向上管理,如何將資訊安全架構成功推銷給高階業務主管買單,是實務也是政治的問題。反觀最有趣的地方,是資安管理控制措施與稽核管理,各式各樣的做法來達到資安管控,透過合適的安排,再加上適當的管理,就可以完成一項又一項的管制措施。
CCISO資安長認證課程提出了資訊安全的管理架構,對於建構資訊安全體系起了很好的指導作用;在進行資訊安全規劃時,有合適的方法論可以參考;過去在編寫資訊安全專案計畫時,常常僅思考作業面的問題,上完CCISO資安長認證課程後,已經能將高階主管在意的管理性問題一併納入考量,不但能提高專案提案的成功率,也為自己未來擔任資安長一職做好準備。
這次上課的老師是美國舊金山市的資安長,負責的是全市的資訊安全工作,理論與實務兼備,旁徵博引、觸類旁通,總能以淺顯的方式讓我們很快了解艱澀的授課內容。上課的同學們也是各行各業的在資訊安全方面的專家,大家有志一同,因此在課堂上及課後都有很精彩的交流和討論,甚至還成立了讀書會,互相分享、鼓勵,讓每個學員盡快地準備好通過考試。目前我已完成CCISO資安長認證審查資格,下一步將會與班上同學們積極準備!
CCISO資安長課程和我一開始設定的學習目標是相同的,希望藉由課程提升自己在資訊安全領域上的視野,也為自己往下一個階段做好準備。上完課後,不僅對於資安長的工作內容有更清楚的了解,對於各項知識領域之間的連結,也有更清晰的樣貌;在課程中認識到各公司的資訊安全專家則是另一項意想不到的雙重收穫,我們可以交流資訊,而且互相鼓舞!
我覺得CCISO資安長認證課程是一門很不錯的課程,對於有志於資訊安全,且已經身在其中的人來說,這是提升自己的絕佳機會,唯有從資安架構開始規劃,才能夠達致完整的防護與安全;透過這個課程提升自己的高度和視野,才能在資訊安全的洪流中出類拔萃。