iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 9
0
Security

IT安全稽核系列 第 9

2.1是否鑑別適用範圍內之所有資訊資產及其擁有者?

不知道從甚麼時候開始,台灣的研究生喜歡把考卷或申請書寫到一大篇,如果言之有物,那尚且值得一讀,但我是不欣賞那種做法的人。

我在美國念書的時候,系上教授永遠要求,用letter格式(台灣普遍是A4格式,大小有差),寫一頁報告,在學校的教授網路平台直接給同學點閱,交換意見,教授看完也會直接請學生上去系統看成績,期末會有一個大報告,可是大報告,也不像台灣的一大疊,連裝訂都很困難的那種厚度,在美國是不能出現的,除非你要繳交專業論文,否則,教授是不鼓勵你這麼做的。

Why?
在美國master的學歷,定義上就是要就業用的,主要都偏向觀念的建立,試想如果你到外面企業,寫了一大本報告,你的主管,大部分根本不會有時間去翻,所以提綱挈領的報告就變得相形重要,報告的第一頁就變得非常重要了。在美國,至少在我的念書的學校,你必須強迫自己,把所看過幾百頁的課本,濃縮成一張紙,並且在前端就把要點點出來,其他的附件,就不用了,正常的老闆是不會去管你的附件從哪來的。當然,念書又是另外一回事了,所以教授還是會有要求要ㄧ份從主題深入的報告,當作期末報告總結。

在我回台灣工作之後,我還是無力去改變台灣企業界這種喜歡交一大本的報告的習慣,不免俗的,還是要把附件給通通附上去,證明我是很認真的,其實,我一點也不喜歡這種文化,人家都搭火箭到外太空了,我們還在殺豬公。

不過,我還是講句,When in Rome, do as Rome. 入境問俗,工作就是工作,企業文化還是得遵循,老闆喜歡這樣,做下屬的還是盡量配合,制造衝突,不是件好事。

以下管理階層、資訊安全組的部分,後面還有大約九項的稽核內容,但比較偏向稽核面,我不在贅訴,接下來我先進入第二階段「風險評鑑與管理」,這部分的就是由資訊安全組織、業務及資訊單位來負責的。

所以,我們還是繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討2.1的分析。

二、風險評鑑與管理(資訊安全組織、業務及資訊單位)
2.1是否鑑別適用範圍內之所有資訊資產及其擁有者?

說明:此項說明在於二個重點:1.鑑別。2.資訊資產及擁有者。

以最簡單的方式來解釋,公司ㄧ般的電腦、筆電,都有建立固定資產,正常都會貼上一張標籤,標明編號,耐用年限….,造冊列表後,就能確實掌握公司的所有的固定資產,到年底時,在做ㄧ次固定資產盤點,以確定東西都在所屬的地方。

同樣的道理,Server裡面也是區分成很多使用的節點,每個人有每個人擁有的權限,或者說每個部門有每個部門的權限,同理,硬體、機房、設備、網路佈局也是一樣。

每個資安人員,在從事每次固定的動作之後,都會產生ㄧ個紀錄,這個紀錄裡面,哪些應該列入文件裡,都需加以分類,以避免造成組織內部雜亂無章的網路管理情況,而這種鑑別的能力,除了靠外部稽核之外,更需要資安團隊分類管理的能力,才能確實做好管理。

列表造冊,說實話,是種吃力不討好的工作,但是只要建立ㄧ次,後續就只有增增減減,並定期刪除ㄧ些無用的資料….

道理看似簡單,其實是非常困難的,有甚麼解決的方式嗎?

我只建議要ㄧ直備份,睡飽點,頭腦清醒點,否則ㄧ個不小心,把擁有者搞錯了,或刪到不該刪的,天下會大亂的!


上一篇
1.8組織是否依已規劃期間執行資訊安全管理系統內部稽核,以確保符合資訊安全規範、法規等的要求?
下一篇
2.2是否定義風險評鑑的方法論?該方法論並確保產出可比較與可再產生的結果。
系列文
IT安全稽核30

2 則留言

1
Sergeyau
iT邦研究生 3 級 ‧ 2017-12-12 10:06:29

我遇到一個問題是:我拿到的digital asset inventory居然要填帳號和密碼?這不是反而很危險嗎?

看更多先前的回應...收起先前的回應...

不會,數位資產這種東西,每個資產所有權都是獨一無二的,好比說,你買車也要過戶到你的"名字"底下,名字就是account,當你申請到戶之後,設定密碼就是由你來控管,要變更也需要你登入才能更改,我想目前一般企業還沒有到這個數位資產的階段,而且目前數位資產的法令還未很明確,如果發生糾紛,你可能會求助無門。以上給你建議!

Sergeyau iT邦研究生 3 級‧ 2017-12-13 01:35:54 檢舉

懂了~所以其實是請他填寫帳密上交MIS,再由MIS集中更改後管理?

我其實是在美國:)

你是有在研究比特幣?

如果你是有研究這類虛擬貨幣,那就請你自求多福了,因為我也常爬文比特、以太幣這些東西,但是這種東西,檯面上還是浮不太出水面,你在美國那就要更小心了,被黑掉的機會很大。挖了那麼久的礦,不管甚麼MIS集中管理,可能會集體失蹤~~~~小心 小心 再小心 都可能會出事!

Sergeyau iT邦研究生 3 級‧ 2017-12-13 23:44:44 檢舉

不是喔~是因為公司有SHADOW IT,有人嫌公司的方法太麻煩,自己申請GMAIL和DROPBOX帳號發送公司相關資料給第三方,所以現在要找一份DIGITAL ASSET FORM TEMPLATE請他填寫。

原本我以為是填寫表格交由MIS,仍然由本人持有帳號。聽起來正確的做法是填寫帳密交由MIS,由MIS重設帳密再交由員工使用,是嗎?

我覺得是應該要這樣,如果你們用外部信箱傳遞公司資料,如果這個沒控管,到時有資料外洩的時候,死無對證,不過,還是趕快叫MIS弄一個公司專用的雲端硬碟出來吧....

Sergeyau iT邦研究生 3 級‧ 2017-12-14 08:54:53 檢舉

我們自己有ONE DRIVE,但是SHADOW IT本就是個人愛用自己偏好的工具,再來即使想阻止,他們也會用"但是別都是用這個傳給我們,用GOOGLE DRIVE 收再用ONE DRIVE傳回去很麻煩"這種理由,所以現在發現了需要嚴格控管

他自己有被控管嗎? 稽核單位沒查他嗎?

Sergeyau iT邦研究生 3 級‧ 2017-12-14 11:32:20 檢舉

所以現在發現了要控管呀~至於稽核單位,只會查MIS是否如實執行,不會直接出面。

0
allenjung
iT邦新手 5 級 ‧ 2017-12-12 10:41:08

同意提綱挈領的做法,畢竟質比量還重要

我要留言

立即登入留言