iT邦幫忙

DAY 29
23

IT萬花筒系列 第 29

IT萬花筒之保密篇29- 公司機密與IT員工

雖然說管理哲學有道「用人不疑,疑人不用」,只是對於擁有IT系統管理員權限的IT員工,你不擔心他們會將公司機密「備份」在非公司的地方嗎?
這無關信任與否,如果你是IT部門主管,那很不幸的,你的責任無形中就多了一項,就是要保護公司的機密資料。身為主管階層,難免會被一些行政工作纏身,不過有幾項原則倒是應該要注意的:

  1. 盡可能讓每個人僅擁有他的工作需要範圍的權限。就好像某些ISP的大樓控管,你要到幾樓,給你的臨時門禁卡,就只能到那一層樓而已。這些權限控制(Access Control)必須要經過一些設計規劃的,當然就是你這個經理該做的事囉。
  2. 嚴格控管Domain admins的密碼,不需要將它公佈給所有的IT組員。當然一定要定期更換的啦。
  3. 每天檢查系統主機的權限群組是否有未經授權的帳號在裡面,發現馬上移除,並進行調查(如果設有資安長,程序上是要通報予他的)。
  4. 記錄(Log)及檢視(Monitor)所有具有管理員權限的活動。基本上,如果你的Log能做到讓”擅入者”無法更改的話,那麼,駭客高手也不會冒險的,因為他不會想讓自己的”足跡”被發現吧!
  5. 對於離職或即將離開的IT員工,必須立即取消他所有權限的帳號,包括VPN或OTP kit等等。

有時候大家相處久了,要這麼一板一眼的執行,可能心裡有點尷尬,不過,既然選擇離開公司,那麼繳回本身擁有的權限或設備,也是種職場道德。況且,交代得清楚,萬一發生任何情事,你也不致於被列入嫌疑名單,何苦來哉,是吧?


上一篇
IT萬花筒之訊息篇28- 成功的IT主管要有的能力
下一篇
IT萬花筒之叮嚀篇30- You Are The Best!
系列文
IT萬花筒30
0
海綿寶寶
iT邦超人 1 級 ‧ 2008-10-29 22:29:20

以前有聽過一些原則
這裡只記得兩個

1.把「管理帳號」和「管理資料」的人分開
就是要讓管帳號的人看不懂資料
讓看得懂資料的人沒權限開帳號(改權限)
2.不要讓任何人知道「完整的(安控)流程」

曾經在銀行的案子和銀行MIS聊到
搞一堆什麼SSL,PKI,RSA 來 RSA 去,
除了駭客之外,
其實,最主要的是要防自己人......

哇,達太安大大只剩一篇了
我要不要為這一篇守歲呀?

0
davistai
iT邦大師 1 級 ‧ 2008-10-29 22:39:51

啊? 要過年啦? 還是您想看煙火呀??^_^
重點: 沒有壓歲錢..呵呵..

0
abc123wayne
iT邦新手 5 級 ‧ 2008-11-10 11:01:23

最近聽朋友說,
她們公司年底又要裁員了,
大環境真的有這麼差嗎...

0
julie8tw
iT邦研究生 4 級 ‧ 2008-11-10 17:20:48

資訊跟財務不可能不知道公司的一些事的,所以用人要小心只能這樣說
不過現在小朋友愛講話真的很煩,話到處亂說,話說了是要負責的喔!

0
鐵殼心
iT邦高手 1 級 ‧ 2008-11-10 18:07:52

知道"不能說的秘密"的時候, 正是考驗人性的時候.........

0
davistai
iT邦大師 1 級 ‧ 2008-11-10 22:42:39

應該是沒那麼差,只是有的老板趁勢殺雞警猴,讓你們好好再擠出點成績來^_^

0
john651216
iT邦研究生 1 級 ‧ 2009-01-08 09:35:42

IT的操守很重要蒂

0
mybeldandy
iT邦研究生 5 級 ‧ 2009-08-31 14:00:08

記得 當公司主管叫IT人員作違法的事情
千萬不要去做
因為不作最多沒工作
作的被發現要坐牢的

我要留言

立即登入留言