玉山銀行資安實習｜面試、工作內容與心得全解析

為期兩個月的社畜生活終於結束了(ﾉ>ω<)ﾉ (灑花

雖然才待在這裡短短的兩個月，但最後一天全部的報告結束後，還是會小小的哀傷。

只能說不愧是金融業，真的是一個充滿E人的環境，你甚至感覺你聞得到E這個字母的味道，看得到這個字母的顏色，你知道嗎？
讓原先身為理工I人的我超級不適應，非常非常努力的進化成小e才勉強沒有融成一灘爛泥。

回歸正題

因為一開始相關的資訊其實有點少，網路上也找不太到相關的經驗分享，再加上我實習的部門比較近期才開出實習缺，所以很多工作和實習活動的內容是在實際拿到 offer 之後甚至是到了辦公室後才得知的，也和心中的想像有一點落差就是了。
但也挺奇怪的，理論上每次開實習招募的時候應該都會有數千份的履歷被丟過去，不可能大家都不分享吧？🤔只能說大家也都挺愛藏私的
那好吧，只能說我自己也管不了我這該死的愛管閒事，只好簡單的分享一下內容，希望可以幫到有興趣的人。（或者勸退那些和我一樣不小心誤會裡面的工作內容的人

自行取用ㄅ

我報名的實習部門是：玉山銀行的「資安管理處」
裡面其實還有細分成「治理規劃部」和「科技安全部」
但實際上實習中的內容其實並沒有太大的差異就是了。

不知道你是怎麼想的，但可能是因為自己是資工背景的，所以我其實一開始對於這裡最大的想像是這裡會是像趨勢科技那樣的資安(´ー`)：著重在第一線的資安攻防戰，需要解析漏洞、閱讀相關論文、提出解法的理論和實作… 等。

但實際上，這個部門和資管這個科系更接近（我早該想到的，這裡畢竟是家銀行阿…）。我們大部分業務內容著重在公司政策面向的制定和管理，同時幫助其他部門進行各項業務的資安審查。
很多時候，需要做的是將外部的新規章轉為內部使用的規章，或是在新的法規出來時將內部的規章修訂，並審核其他部門的各項內容是否是在這些內規下執行。

[面試]

面試地點在玉山第一總部（看起來比較破但是超級大的那棟），會在一間會議室和其他的應徵者坐在長桌的一側，而對面是坐著部門和人資的長官（印象中是2部門+1人資）。

題目的話有點忘記確切的內容了，印象中部門主管會詢問之前的工作和實習經驗之類的內容和心得感想，還有請所有實習生給「資安」這個名詞下定義，或是解釋看看他的概念，同時稍微問一下履歷中提到的專業知識（但不會到很刁鑽）。

最後人資會問一下希望可以在這裡學到什麼，跟可以帶給玉山什麼；如果你這個時候提到主管有興趣的東西，他還會再稍微問你一下。之後就去小房間寫一下簡單的問卷就可以走人了。

結果大概在5月初就會出來ㄌ，沒上的不要太灰心而有上的人也可以稍為的為自己感到驕傲，因為據說每次都會有好幾千份的履歷投遞上來，所以能上的一定是菁英中的菁英，龍鳳中的龍膽石斑（裡面的長官是這麼說的(ゝ∀･)b）。

[實習過程]

[活動]

最一開始的兩天會是所有實習生的見面會加新人訓，之後還會有2次其中的實習生交流會，基本上就是增進大家感情和瞭節其它部們業務內容用的。

見面會加新人訓的時候，大家會在一間會議室聚在一起，而且不同處的人會被分在一個小組中之後一起活動。但因為不同部門可能會在不同的大樓，而我們資安處又是跟所有其他部門完全不同的大樓，所以基本上看到的時間點大概就是這幾次的交流會而已(´-ι_-｀)。

但也才兩天你就可以感覺到大家的那個商業E味了，基本上你只要願意動口，都有機會和其他人對話到，甚至如果你嘴速快一點的話，也可以在這個時間點認識不少朋友。（雖然我們這裡因為地理因素都遇不太到有點小可惜就是了）

喔，附帶一提，這兩天會吃樓下的 buffet 要好好珍惜，因為只有來這裡才有機會吃到（但美味程度不保證就是了）

理論上，新人訓結束當天你會和部門主管在原會議室聊天問問題，因為新人訓大樓其實離各自的工作單位有點遠，但因為我們大樓就貼著新人訓那棟，所以一結束新人訓的當日馬上就可以看工作環境了。
喔對了，每個部門都會保底有兩個人在，所以不用太擔心只有自己一個人在部門。而且我們部門不會說大到很有疏離感，所以如果你們其中一個比較會開話題聊天的話，基本上都可以混得很熟。其他的部門如果非常大的話，據說也有可能出現明明在同個處室底下但也不太熟的案例。

[工作]

實習內容主要是：期中報告、期末報告，和各自部門的交辦事項。
而其中和期末的內容不太一樣，像我們的期中是在介紹我們主管分配下來的小組專案，而期末是依據長官給的題目進行報告。我們這組稍微特別一點，其他組別大多是期末會有一個指定的專案，需要完成專案內容後來介紹，但我們的報告主題是單純的介紹新科技的資安威脅和防禦，基本上就是個科普文章。

但據說這個是新的行程，之前是只有期末報告，所以通常時間軸會拉得很長，報告內容會有很多需要寫就是了。

在正式進入工作內容前，部門內也會有許多的主管或同仁和你介紹每日的業務和這個部門的權責，之後也可能會參加許多的部門會議，幫助你更好的了解工作內容。

實習期間時我們主要負責的是公司內的可疑情資分析：基本上就是如果其他的分行收到了可疑的電子信件，會再轉送到我們這裡進一步的分析是真的惡意郵件還是單純的廣告信件。而如果確認是真的惡意郵件時，我們會再進一步封鎖掉網域。同時，我們有時也會收到像是F-ISAC或是金管會之類的情資分享，你需要依據情資威脅的嚴重程度來決定是否要將資料整理後分享出去，請其他部門回報一下是否有可能的受損和盤點公司內可能受影響的設備，或是將已經通報卻認為威脅的資料上傳至資料庫。

像我所在的治理規劃部還有多一份工作是檢驗公司內部的社交工程系統，看他能不能正常的運作或是統計結果，並提供驗證結果和心得給開發廠商。

前面提到我們期中報告的內容是當下進行的小組專案，而我們的專案內容是：利用RAG 的系統來幫助相關內規的審訂人員找到正確的規章，以增進內部人員在修訂時的效率。就不用一直人工去審查法條，或是一個一個將裡面的規章調出來看了。

據說這次實習其實比往年都提供更多的實務內容，剛剛提到的許多工作正職員工也都是和我們一起進行的。我們也有提供意見，希望可以讓新的實習生有更多接觸業務內容的經驗，所以之後報名的人應該會有更多時實際的內容可以玩。

工作內容大致如上，但實際上你還會在裏面上到不少課程，所以其實感覺挺忙的，其他部門其實感覺更有趣，活動更多，他們好像還有親子營和有的沒的分行體驗之類的。（據說也很累的就是了）

但我覺得就是看你的取捨吧，畢竟也才兩個月而我們又更像是工程師的角色，再加上其他的實習內容，算下來其實感覺也挺充實的。而且也確是蠻深刻的了解到一間公司的資安部門大概都在做啥，和外面專業的資安公司又有什麼差異。如果你是對這個方面有興趣的人，想了解ISO27001之類的或是想要之後考個什麼資安證照的話，是可以去體驗看看實務的內容大概長啥樣，裡面的學長姐應該可以提供你不少經驗。（但我因為沒有特別的考照慾望，所以就也沒啥請教了，每次遇到都是瞎聊而已）

本來想說小小分享一下而已，結果又打了這麼一大長篇，而且還有很多的東西沒有講到，真的要好好的管管自己講廢話的這個壞習慣。( ˘･з･)

本文經 羲白 授權
文章來源：玉山銀行資安處暑期實習心得