站在登机口的一隅，一眼就看到一位过往一起工作过的同事V。几年不见，对方现在已经是国内某家银行香港分行的主管。在这样的场合碰面，大家总是觉得想要聊的议题太多，也因为这样的机缘，除了在海外换来一顿米其林主厨的港式点心，更对国外的信息环境有了更深一层的了解。

    对V而言，来到不同的地区，除了语言上的差距外，对于资安的议题，有着完全不同的想法。不管在国内国外，金融业本身就是对信息安全高度敏感及重事的行业，尤其是网络银行的兴起以及行动支付的盛行，主管机关对于资安的要求相对提高。他说刚到香港的时候，面对主管机关的问卷根本不知道如何回答。无法作答的原因，并不是在于平常有没有做，而是香港主管机关考量的都是风险，除了技术面的，连业务上的风险都必须考量进去。

   举个例子来说，如果机房要搬迁，可能对于我们来说，就是要搬那些机器设备，那些人员需要参与，或是什么时间要搬。到了香港，主管机关在意的，从你机房地点的选择就列入考量的范围，甚至于搬运公司，在搬迁的过程有没有采取适当的保护措施，以避免机器于搬迁时受到损害都要列入考量，如果有机器设备需要合并的，包括机器合并的测试计划，或是合并之后如果失败的复原计划，都是整体考量的一个环节。甚至于你在网络上有没有适当的教育使用者，如何避免上到错误的网站。这些可能在台湾运作时，都只是某次会议中的一个议题，很多时候连会议记录上都不会有。但是在香港这样的做法是完全不可行，测试要有测试计划及记录，还要确认这些计划和记录是彼此有关连性的。从头到尾每一个环节都要清清楚楚，还要找独立第三方确认所有的项目都符合主管机关的要求，才能有后续的动作。

    没想到逐渐适应当地主管机关的要求，接下来居然有阻力的是公司内部，高阶主管的第一句话就是，为什么要做这个东西，我们在台湾都没有做，主管机管也没有要求，那为什么那边的主管机关就会要求做这些?其他的同业是不是都有做? 如果不做会怎么样?还是我们拿现成的文件取代就好? 明明你是分行，为什么信息作业由我代管，还要对我进行查核，那要不然在香港自己找人做就好了，但这些成本要由你们负担。内部沟通不知说了多少次当地的主管机关就是这样要求，还在那边想有没有其他的旁门走道可以走。反正简单的一句话，就是要少花钱，至于是不是会有资安的风险，反正到时候碰到再说。

    这样的环境，对于一位资安从业来说，是有压力的，但是也是让人羡慕的，当资安的议题，是多方真正关注的焦点，能防范或解决问题的，而不是沉溺于有没有签名，或是文件有没有用那几个字，有没有办法临时产生一些查核所要的结果。这样的环境，是需要大多数的人一起去创造的，我期待这样的日子能够早点到来