iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 1
1
Security

IT安全稽核系列 第 1

1.1是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範圍?及自組織範圍排除之理由。

  • 分享至 

  • xImage
  •  

首先,針對於公司內部資通安全之稽核,本人以行政院所公布『行政院資通安全稽核服務團』所提供的『資通安全外部稽核(自我評審)表』當作公司自我審核的內容,然而目前我們公司在評估時,常發現公司與行政院版本有極大之落差,因此我們單就每一項的問題,逐一說明可行與不可行,又或者有其他替代之方式,來合理解釋其有效性,本團隊就依此為目標,逐日解說。

以下為行政院資通安全稽核服務團歸類第一大項1.1,本人依此來說明及分析

一、資訊安全管理系統 (管理階層、資訊安全組織)
1.1是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範圍?及自組織範圍排除之理由。

說明:此項說明在於三個重點:1.規劃。2.定義。3.符合組織需要。

台灣上市櫃公司(包含興櫃),大約為兩千家,這類型公司大多經立主管機關之要求,將公司的系統做有效的規劃。然而規劃完畢之後,隨著組織變化,很多的資訊安全系統,漸漸就不符合使用,最顯著就是公司ERP系統,並未依照各單位流程進行,同時也未見稽核人員針對系統內的各個主管的核決權限做出改善及建議,最後,很多公司還是依照舊有的進行。為何會如此? 主要原因,本人提出三點說明,

  1. 習慣性:習慣養成後,就算系統已不符合組織使用,大部分管理人員會排拒整個流程的更新,同時加上組織大部分人,學習性不強,寧可依賴習慣。
  2. 不確定性:即使願意學習,對於新的元素加入,充滿不安定感,怕隨時一個錯誤會影響自己或組織整體的表現。
  3. 排他性:就算肯學習,也願意接受錯誤的風險,然而,卻被整個組織所排拒。

本人認為,要有效執行1.1,實則已經遭遇莫大之困難,上市櫃公司如此,更遑論佔台灣企業最大比例之中小企業了。

所以本人,針對上述三項提出解決方案,

  1. 破解習慣,可先運用獎勵或比賽的方式,慢慢讓各單位組織察覺資安的定義在哪裡。
  2. 破解不確定性的方式,就在於鼓勵員工不要怕犯錯,資安團隊是組織最強的依靠,容錯也協助您排錯。
  3. 破解排他性的方式,最佳的方式大家普遍說法是溝通,然而,就是因為無法溝通才會出現排擠,如果無法溝通,就必須由最高層主管出面強制執行。

下一篇
1.2規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
allenjung
iT邦新手 5 級 ‧ 2017-12-04 14:42:04

系統與人性最大的挑戰還是在於習慣性^^

1
魷魚
iT邦新手 1 級 ‧ 2017-12-06 14:40:37

好文推一下:D
常常遇到使用者不遵循系統,反過來要求系統配合作業XDDDD

彭偉鎧 iT邦研究生 1 級 ‧ 2017-12-09 10:55:09 檢舉

對啊!同意!

我要留言

立即登入留言