iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 14
0
Security

IT安全稽核系列 第 14

4.3是否指定專人或專責單位,分別辦理資安政策、計畫、措施之研議,資料、資訊系統之使用管理及保護,資安認知教育、訓練及資安稽核等資安工作事項?

說到教育

『教育代表一個國家未來的國力強弱。』
所以教育的好壞影響到未來國家的走勢。

這是我個人的認知,我都鼓勵後輩多多念書,學習養成一種習慣,多多閱讀。透過閱讀以及經驗累積,讓自己成長。

我曾在網路上看到林肯講過一句名言,

當我們閱讀,我們學習更多世界上不同的人事物,如何解決衝突以及怎麼避免衝突。閱讀是一個偉大領導者的習慣,如果一個人今天跟昨天沒有兩樣,我不認為他是個聰明的人。
“When we read, we learn more about the world, other people, how to resolve conflicts and how to avoid them all together. Reading is a habit of most great leaders. He said, “I don’t think much of a man who is not wiser today than he was yesterday.”

閱讀包含在教育裡面,透過大量閱讀,逐日累積,避免書到用時方恨少之苦。
共勉之吧!

我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討4.3的分析。

(4.2 是否成立跨部門之資訊安全推行組織負責推動、協調監督及審查資訊全管理事項?二選一的答案,這是必然要做的事情,4.1已討論過了。所以跳過4.2)

四、資訊安全組織(資訊安全組織、人事及資訊單位)

4.3是否指定專人或專責單位,分別辦理資安政策、計畫、措施之研議,資料、資訊系統之使用管理及保護,資安認知教育、訓練及資安稽核等資安工作事項?

說明:此項說明兩個重點:1.指定專責單位。2.教育。

連結是教育部全民資安素養網https://isafe.moe.edu.tw/

組織內部,這類資安教育大部分都是放在資訊部或者人資部門,組織在作教育訓練時,上完課之後,這類上課的講義都會束之高閣,也沒人會再去看。

我是比較惡劣的人,要求公司的資訊單位,定期要做資料,雖不要求傳給大家,但至少在共享資料夾裡,定期放上資訊,我心裡也清楚,一定沒有人會去看,但為何還要放?還要多此一舉?

本人這樣解釋,公司裡面有人連基礎office操作都不懂,把office當打字機用,連文書處理的技巧都沒有(否則為何word出問題,都要資訊部去解決?甚麼時候資訊部是幫人修打字機的?),資訊部定期宣導病毒、資安,最好不要是太制式的理論,最好是用案例來恐嚇這些人,一點點問題都要說成是大問題,甚至被罰款(只差沒抓去判無期徒刑)都要強調出來,當然這還是沒人看,我最近看公司的公告,思考一件事情,希望資訊教育人員,或許該上教育部的這個網頁,用教育部國中小那個選項裡面的漫畫,去教育這些人,盡量在公告稿上,弄些漫畫上去,用最low的圖案表象教育這些沒有資安概念的員工,或許會有點效果吧?

或許這是個方法吧?


上一篇
4.1是否指派適當權責之高階主管負責資訊安全管理系統之協調、推動及督導等事項?
下一篇
4.4~4.6 有關權限的討論。(題目詳見內文)
系列文
IT安全稽核30

2 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-17 13:36:16

知識即是力量,其實將資安教育或者宣導如何生活化,一直是我努力的目標
讓這些生生冷冷的文字,轉變成較能閱讀的一種方式
在往後新人資安教育,我用影片取代了一些以及法規的說明
在上次內部會議,我除了準備ppt,其中我發現
影片似乎較能抓過「觀眾」的眼睛

1
Sergeyau
iT邦研究生 4 級 ‧ 2017-12-17 13:57:28

太僵硬的知識很難吸收,我會準備一些範例,例如一些phishing email 讓大家猜

user往往還是手賤.....點了

我要留言

立即登入留言