同样身为资安人，本篇文章所列出的十大准则，必定让你感同身受！

1. 有系统就会有风险

面对系统风险，你可以轻松看待或认真以对，采取转移风险、或以投保的方式规避风险都是不错的方式；但无论如何，你就是不可否定它的存在。而造成系统风险的要素包括：系统弱点、弱点带来的的威胁性及所造成的影响力。

2. 老板名言：以小搏大

老板们会肯投资在安全议题上，最主要有两个原因：一是合乎标准规范，一是为了维护企业形象、商标、商誉以及智财权。而去证明今日花在安全议题上的一分钱，可以在明天替公司省下一块钱，是你最主要的工作。

3. 「完美」的安全难以办到，但可以作到「够好」的程度

如果说都没有任何事情发生，那我们可以说这系统是顶安全的。但这并不表示，只要有一个漏洞就是不安全的系统。我们必须要接受某些程度上的风险。只要你和你的管理阶层意识到这系统是有弱点的，并且作到了告知的动作，其实是算OK的。这也意谓着，你愿意在某特定环境下，容许这种受到监控的缺陷存在。

4. 每个人都应对安全性负起责任

你可以要求客户端来对系统安全性负责。但如果他们觉得是你要负起责任的话，那么，你可就有难题了！因为，当某些无可避免的问题跑出来时，他们也会觉得那是你的责任。

5. 安全议题不吸引人也不有趣，相反的，它无聊极了

企业内部的安全较少着墨于新技术，反而比较常针对人际关系、沟通以及财务会计之类的问题。你可知道，救火还蛮刺激的，但是防灾工作，简直是无聊死了，话说回来，这些预防的工作却可以大大降低火灾的次数及所影响的范围。

6. 预算永远不够

安全经理总是抱怨经费不足。就某些单位来说，这不过就是发发牢骚罢了！这也仅仅表示：管理阶层并不够重视安全性：今天不会重视，明天也不会。但在大多数的单位来讲，如果你负责规划安全专案，你一定会得到你所「需要」的预算。(要注意，我是说「需要」哦，并不是你「想要」的预算)

7. 安全应与人、政策、程序及产品画上等号

很可惜地，多数的系统安全的实行者，主要都是针对产品面。在未来的企业里，有很多相关于安全的技术，如防火墙(Firewall)、企业私有网路(VPN)、企业防毒(AV)、入侵侦测系统(IDS)、系统修补和组态管理工作，都将会纳入系统运作以及资料中心的范围内。而企业会比较希望所谓的系统安全专家，要精于其余比较「软性」的项目。

8. 解决一个最主要的安全问题后，总是会有下一个等着你

安全是永无止境的，它好比是生命轮回一般，是一直循环不断地：定义问题(IDENTIFY)、找出问题(ASSESS)、部署解决方案(DEPLOY)、持续监控(MONITOR)、侦测新的问题(DETECT)、回报与修正(RESPONSE)。这是要不断重覆进行的工作。

9. 资安主管的两难：顶着光环，却无能为力

好的那方面是，大多数单位在指派资安主管上，都相当地循规蹈矩照辈份来，因为常规就是如此！糟糕的方面则是，一直增加资安主管并不会带来更稳健的系统安全，也不会让巳存在的安全性政策更具威信。每当急需要兼具懂营运策略和系统安全性的领导者时，你便会看到，这些资安主管总是努力地埋首在经营的手法上。没人来作，只好自个儿来了。

10. 系统漏洞是永无止境的

我们总是可以发现新的安全漏洞，那究竟是为什么呢？因为啊─漏洞的增加速度永远大过被修补的速度。