iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 6
0
Security

IT安全稽核系列 第 6

1.6是否確保文件之保護、分發、傳送、儲存以及作廢,均依據所適用的分類程序處理?

做事有辦法能100%能夠達到的?

N年前我去面試一家很大的公司,面試是該部門的主管,他問我,給你一筆經費,目標訂在那裏,你有辦法100%達到嗎?雖然我不是第一年工作了,但是,我知道這種目標,就算給你再多經費,你也無法達到100%,這個不是經費的問題,而是在於要達成這個目標,需要天時、地利、人和,依目前我有的籌碼而言,至多只能達到80%,另外20%要靠運氣了。

我很坦白地跟他分析狀況,沒想到對方的面試主管,非常生氣的說,你沒辦法達到100%,你來面試做甚麼?

我也沒說甚麼,笑一笑我就離開了,後來聽說那主管半年不到也被解職了。

別以為有錢就好辦事,事前的分析,也不過是種簡單的評估,做了之後才知道困難重重。100%的結果誰都想達到,可是,回頭去想想,當100%達成,你能確定,最後結果,跟你原先設想的都一樣嗎?

很清楚的告訴大家,沒有,因為過程中太多複雜的因素影響你的決策,絕對不是只有錢的問題。
所以,當時,我就決定這個面試的主管被我Fire了!

根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續1.6的分析。

一、資訊安全管理系統 (管理階層、資訊安全組織)
1.6是否確保文件之保護、分發、傳送、儲存以及作廢,均依據所適用的分類程序處理?

說明:此項說明在於兩個重點:1. 確保。2.分類程序處理。

資訊安全這塊,保護、分發、傳送、儲存以及作廢這些都是必要保護的重點,從過往的經驗告訴我,台灣的上市櫃公司,乃至於一般中小企業,對於這五項作業,很少有做到很完整的,原因不是在於經費的問題,也不在於制度的問題,最大的問題是**「人」的問題。**

然而,到底來說,人的惰性還是超越組織的規定,試想,考過駕照後,開車上路,除了會注意到路旁的超速速限標誌,有多少人會去注意其他的號制,有多少人還記得考試時所背的法令,正常情況下,也就只有在發生事故,或者接到罰單那刻,才開始注意到法令,而且還一臉疑惑的問,有這樣子的規定嗎?

從上述的情況,我們不難想像,不管如何要求組織內員工如何去保護、分發、傳送、儲存以及作廢,組織花了多少經費建構,不遵守還是不遵守,甚至引發組織內部抱怨。由此可知,並非組織內每件事情都歸咎於,「公司不肯出錢。」

過往,本人所服務的公司,資訊安全做得非常嚴謹,出門有專用的USB,筆電USB插槽也不准外部的USB插入使用,甚至連使用外網都必須先連回內網認證後才得使用,Mail server也有傳輸量管制,檔案要刪除,也必須經過再三的確認…等等,但對於每個單位而言,需求都不同,要求越多,越是罄竹難書。原本是良善的資安管理,公司也願意花錢建置,結果卻變成惡法,變成各部門的夢靨。因此,不得以的情況下,公司為了某些部門需要,只好廣開後門,後門一開,所有的資安管理,漏洞馬上出現,結果資訊人員又疲於奔命了。

到底要如何做才好呢? 誠如本人所遇到的實例而言,所有的資安人員,在執行資安防護之時,並沒有做好組織的調查。一般的資訊人員,就是強制發佈公司公告,然後,限時一到,立刻執行,這樣就認為,可以達到有效的控管。結果往往跟預設的結果相反,那麼問題在哪裡?關鍵在於,「最前端的溝通」並沒有做好,也許資安人員覺得很煩,我才領多少薪水,還要跟他們溝甚麼通?我光忙就忙不來了,哪有時間去溝通,本人在此強調,前端工作本來就是比較繁瑣,兩個思考給你選,資安人員是要前端規劃比較忙?還是要省略前端,到執行之後亂成一團,忙到不知所已,又一直重來的狀況比較好?注意,前端「人」的因素影響較小,每一種管理只要越多人進來,問題會比原來的棘手數十倍以上的。

其實,前端規劃做好了,這五項作業一定能確保「基本」的能做到,我不敢說,能「完整」的做到,但有基本才能繼續要求深入,才能更有效的將程序做好分類,讓組織朝向後續完整的作業水準。


上一篇
1.5是否識別文件與紀錄的變更與最新修訂狀況?
下一篇
1.7是否有文件或記錄顯示管理階層對資訊安全管理系統建立、實作、運作、監視、審查、維持與改進之承諾?
系列文
IT安全稽核30

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-09 11:58:45

前端溝通~~~是蒐集民意的基礎,以usb阻擋為例
我待過有管制與非管制的公司,公司為了建置良善的usb使用環境,花了金錢、時間、人力
去投注在這件事情,結果造成反效果....因為面臨到以下問題
<1>需求越多,越是罄竹難書
<2>外賓簡報,無法彈性處理
<3>人員異動管理不易
以我之前待過管制usb的公司為例,每年usb稽核都列入重點項目,why?
因為都有「業績」可以做。好不容易開起來的usb,人員異動離職之後呢??會有多少人告訴你usb權限移除這件事情,或許你會問,這本來就是IT部門的工作項目,不少usb的解決方案都是塞agent鎖host name,你會問我說那用AD鎖account就好了???那如果他不登AD呢???
制度的設計應該是讓公司運作起來更順利,而不是變成年度內部稽核,別部門用來繳作業給上面的東西

看更多先前的回應...收起先前的回應...
Sergeyau iT邦研究生 3 級‧ 2017-12-09 15:04:57 檢舉

我實習的時候待過連CD/DVDROM都要拔除的公司,原本規定每個部門只能有一台電腦有CD/DVD,執行過程中罵聲不斷,最後還是睜一隻眼閉一隻眼~
但是由此學到溝通能力與技術同樣重要,也算是個寶貴的收穫

回frank大大
一直覺得政策的管理~~管得住機器卻管不住人性
人與人之間的溝通有時候比用技術上去控制或者政策上去控制還要來的有效
曾經同事問我如何「徹底」解決中毒問題
我說公司都不要出Internet可以減少70以上管理問題
你看那些接機台設備的電腦會中毒嗎?
那每次中毒的電腦有沒有上網??
我同事沒講話了

所以躲在電腦後面是沒用的!

wkpeng大大我也想出來啊..........(挖咖麻)

我要留言

立即登入留言