每一種資安做法都能寫上滿滿數百字,甚至上千言,在此僅提出一些標題,細節略過。
企業資安管理
- 建立資訊安全管理辦法
- 建立並簽署員工守則
(注意組織權責、考核系統配合,切勿違反政府勞基相關規範)
- 落實員工教育訓練(人事、管理單位配合)
- 完整資訊設備使用須知,也要搭配考核
- 檔案存取稽核(知道誰對檔案做了什麼事)
- 機房管制
- 網路管制
(以防火牆、Proxy Server、關鍵字及URL過濾、檔案傳輸管制等,生產單位不聯網)
- 管制或封鎖USB
- 拆除燒錄機
- E-Mail系統限縮檔案傳輸,有備份轉存
- IM軟體監控
不建議用Skype,頻寬損耗大、難以控管,除非往來廠商都在用----若非用不可,則只開放語音,關閉訊息、檔案傳輸
- 防毒、防駭機制,以及遠端存取管制
- 健全代理人制度
沒錯,我很強調這個,一則工作不會中斷,二則建立員工責任心,三則避免員工拿喬,對資安來說,A的一切有B『監看』著,同一件事情我可以有二個人能問
- 總機系統加上錄音裝置,並須公告內外週知
- 軟體及作業系統更新
- 定期檢驗資安狀況,最好加上演習實測
注意:監控員工將造成信任問題,甚至對簿公堂,請謹慎為之‧
補充:
- 資訊安全管理制度,目前有ISO 27001認證
- 重要關注:《個人資料保護法》
My IT Life系列文章列表
那些年出草的女孩文章列表
看官們~記得留下意見給我些指教,然後點一下『推』,感恩!!