iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 11
1
Security

IT安全稽核系列 第 11

3.1組織是否訂有資訊安全管理系統政策?

  • 分享至 

  • xImage
  •  

在公司裡面,我最頭痛的是,政令宣導該怎麼做?有些主管常說,公司政策早就訂好了,為甚麼大家都裝不知道,然後就來吵著說他是例外

個人昨天就接到人資主管的抱怨,說已經發了很多次公告,但是等到期限都過了,又有人冒出來吵著要之前的事情。理由根本是胡謅一通,認為有吵就有糖可以吃,如果拒絕,馬上管理階層就變成黑單位,最後就是整個組織吵成一片。

這種管理階層與事業單位之間的衝突,基本上每天都在上演,截至目前我所看過的公司,沒有一家例外,從古至今,都是如此,我也是無解,但,最後還是得要靠最上層的決心了,古今中外,戰場上還是要靠主帥決定戰略,其他的將軍們就依照主帥的決定,執行作戰策略,打戰的時候,生死關頭,命如果沒了,吵也沒用。

所以才會有句老話 「主帥無能,累死三軍。」

以下就探討第三部分安全政策的相關議題,這是與資訊安全組織及資訊單位有關的部分,我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討3.1的分析。

三、安全政策(資訊安全組織及資訊單位)
3.1組織是否訂有資訊安全管理系統政策?

說明:此項說明只有一個重點:1.訂政策。

我先引用教育部的資安政策第一、二、三及第十條,

全文參照網址:https://www.edu.tw/News_Content.aspx?state=F5D336F102ACBC68&s=C61BCCE44A809306&sms=15283ECA9D7F60AA

教育部資訊安全推動管理會設置及資訊安全管理實施要點
中華民國103年6月頒行

一、教育部(以下簡稱本部)為落實推動本部資訊安全管理,特設教育部資訊安全推動管理會(以下簡稱本會),並訂定本要點。

二、本部資訊安全管理範圍如下:
(一)資訊資產。
(二)人員資訊資源使用權限。
(三)重要業務資訊系統建置、開發及維運。
(四)實體及環境安全。
(五)通訊及作業。
(六)資訊安全事件通報及應變。
(七)重要業務資訊系統持續營運。

三、本會之任務如下:
(一)本部資訊安全管理政策之研議。
(二)本部資訊安全管理制度之推展及分配適當資源。
(三)本部資訊安全風險評鑑及管理。
(四)本部資訊安全管理措施有效性檢視及審議。
(五)本部資訊安全管理稽核結果檢視及審議。

十、各單位資訊安全管理之作法如下:
(一)實施資訊資產之清點、分級及風險評鑑。
(二)評估重要業務運作之資訊系統(網站)應否納入本部資訊安全管理。
(三)辦理實施資訊安全管理教育訓練,向本部同仁宣導相關作法及措施。
(四)針對納管之資訊系統(網站)所面臨風險,制定適當資訊安全管控措施。
(五)針對資訊安全管制措施,規劃可行之管控程序,並予以文件化。
(六)各單位資訊安全管理專責人員應輔導同仁,落實實施各項資訊安全管控措施。
(七)就稽核小組定期執行稽核檢查發現之缺失,各單位應對該項缺失實施矯正及預防措施。
(八)得接受外部資安稽核認證機構及行政院資通安全會報之稽核,以獲取資訊安全管理認證,並持續改善。

政策的訂定,首先是定義清楚,例如第一、二條。到了第三條,就是任務為何,最後第十條就是該怎麼做。
這四個條文,就是定訂辦法的主要枝幹,其他的就是執行面與細部的討論,最後就是政策執行是否合乎政策規定。

**最後,政策不是訂著就不用的,如何教育員工遵守政策規定,相信這才是極大的難題之一。**


上一篇
2.2是否定義風險評鑑的方法論?該方法論並確保產出可比較與可再產生的結果。
下一篇
3.2組織之資訊安全管理系統政策文件是否由管理階層核准並正式發布且轉知所有員工與相關外部人員?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-14 12:29:02

遊戲規則的遵守才是最重要的

我要留言

立即登入留言