第九屆 冠軍

security
IT安全稽核
彭偉鎧

系列文章

DAY 11

3.1組織是否訂有資訊安全管理系統政策?

在公司裡面,我最頭痛的是,政令宣導該怎麼做?有些主管常說,公司政策早就訂好了,為甚麼大家都裝不知道,然後就來吵著說他是例外。 個人昨天就接到人資主管的抱怨,說已...

DAY 12

3.2組織之資訊安全管理系統政策文件是否由管理階層核准並正式發布且轉知所有員工與相關外部人員?

或許是早期的工作培養出來的習慣,工作上都會查詢一下當前的法令,以避免對外發布訊息之時,出現違法的情況。 再深入點,這些法令都需要再三的確認,不管是跟法務諮詢,或...

DAY 13

4.1是否指派適當權責之高階主管負責資訊安全管理系統之協調、推動及督導等事項?

這星期為了法律事項而頭痛不已,我個人覺得,大家不在乎法令,出事的時候,拿了些不該用的法令出來,結果找麻煩給公司,最後還要有人出面協調,我真的覺得,很多部門根本都...

DAY 14

4.3是否指定專人或專責單位,分別辦理資安政策、計畫、措施之研議,資料、資訊系統之使用管理及保護,資安認知教育、訓練及資安稽核等資安工作事項?

說到教育, 『教育代表一個國家未來的國力強弱。』所以教育的好壞影響到未來國家的走勢。 這是我個人的認知,我都鼓勵後輩多多念書,學習養成一種習慣,多多閱讀。透...

DAY 15

4.4~4.6 有關權限的討論。(題目詳見內文)

冗長的開會,真的會讓人的腦袋鈍化掉,我很討厭開會,但又不能不開,我們總經理每次說,開會的目的,不只是討論問題,另外就是讓各部門的人可以宣洩情緒,有事攤開來說。...

DAY 16

4.7重要資訊處理人員是否簽署保密協議並定期審查?

公司的資安無法落實,往往最大的破壞者,就是高層。 公司內部文件,都需要保密,也簽署保密協定,大家也都很努力去寫制度、流程,一切表單也照流程簽核,可是遇到高層就像...

DAY 17

4.8是否與相關單位如主管機關、資訊服務廠商、檢警單位、電力單位、電信單位及防救災單位建立聯絡管道?

「一群由獅子領軍的羊群,永遠可以打敗由羊領軍的獅群。」 我不知道誰是羊?誰是獅子?但是我可以確認一件事,一個企業的領導人,展現出甚麼樣的格局,就決定一家公司是甚...

DAY 18

4.9是否與外界資安專家學者、資安團體或業者保持聯繫,便於取得資安技術、產品或程序等資訊。

我大概在2004年左右的時候,當時台灣還有ebay,我在網路上購買一台數位相機,大概比市價便宜一半,約六千元,當時我還不知道這是詐騙,在下訂單後,對方ㄧ個男的打...

DAY 19

4.10 是否定期或資安作業環境發生重大變更時,召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?

你有「決心」嗎?是真的有嗎? 台灣企業是以業務做為導向,公司的老闆也大部分是業務出身的,所以認為公司要賺錢就是要靠他們的三寸不爛之舌,這種情況,我想絕大部分都是...

DAY 20

4.11單位內因業務需要開放給外部使用者之資訊,是否作風險鑑別,並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?

以下我們還是根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續第四部分的分析。 四、資訊安全組織 (資訊安全組織、人事及資訊單位)4.11單位...