iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 18
1
Security

IT安全稽核系列 第 18

4.9是否與外界資安專家學者、資安團體或業者保持聯繫,便於取得資安技術、產品或程序等資訊。

  • 分享至 

  • xImage
  •  

我大概在2004年左右的時候,當時台灣還有ebay,我在網路上購買一台數位相機,大概比市價便宜一半,約六千元,當時我還不知道這是詐騙,在下訂單後,對方ㄧ個男的打電話給我,說請我先匯三千元訂金,他們馬上出貨,我覺得三千元還好,於是就匯了款給對方。

過不久,電話又打來,這次換另一個女的,哭著說他們金融卡被盜用,銀行把他們帳戶給鎖了,請我重新匯款,所以請我去提款機提款,並且告訴他餘額,還有提款機機號,我當時覺得很怪,有需要問那麼多嗎?而且他在哭甚麼?我直覺是有問題,我沒照他的意思做,也沒真到提款機旁邊,隨便給他一組號碼,對方馬上問帳戶餘額剩多少?我隨便回答他,剩十元,我是窮學生。對方就把電話掛了。

當時,我馬上就上ebay搜尋一下客服,網頁上有說明如何防止詐騙,就依照流程,循序的把資料準備好,然後就到管區去報案,完成筆錄,把報案通知單還有其他資料都寄給ebay,ebay受理後,退給我七成的錢,另外扣手續費兩百元。

其實為了這三千元,還要報案做筆錄,很多人怕麻煩大概想就算了,可是,我覺得,後面接續的這些步驟讓我學習到很多處理危機的機會,後來警察局裡面的警員打電話跟我通知案件受理狀況時,還跟我說,他們局長的小孩,上個月也被騙了上萬元,局長也是忙著處理這種詐騙事件。

之後把這件事,告訴我的同學,我同學很多都沒甚麼sense,畢竟事情沒發生在他們身上,基本上是沒甚麼感覺可言。唯一一位同學,他跟我說,ebay本來就負責監督這些網拍的對象,他提供這個平台,難道會不知道大家都是因為價格因素才來買的嗎?所以ebay退七成,根本沒有道理,自己的安全機制(以前還沒有資安這個名詞)沒做好,就應該全賠。

在這件事落幕後的幾年裡,這種詐騙在某段時間,特別猖獗,連ebay都招架不住,退出台灣市場,當時有許多朋友也陸續出現被詐騙的情況,我也分享這個三千元的經驗給朋友,請他們ㄧ定要耐心的處理,事情都發生了,能學到東西,比金錢損失更可貴,當然,最好不要遇到,既然遇到就好好的面對,處理好,學到經驗,不要再犯了。

以下我們還是根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續第四部分的分析。

四、資訊安全組織 (資訊安全組織、人事及資訊單位)

4.9是否與外界資安專家學者、資安團體或業者保持聯繫,便於取得資安技術、產品或程序等資訊。

說明:此項說明一個重點:1.外部資安單位協助。

我最近很困惑ㄧ件事情,好像資訊單位,不知道有所謂的資安通報單位,如果你真的不知道,可以上網google一下**「資安通報」**,會有很多你想都想不到的協助單位。如果遇到資訊犯罪,也可透過警政署的網頁尋求協助。

以下列舉兩個連結:
國家資通安全通報應變網站:https://www.ncert.nat.gov.tw/
內政部警政署刑事警察局刑事資訊科:https://www.cib.gov.tw/About/Unit/100

本人覺得,以台灣目前的通報系統,其實並不差,誠如開頭所舉的案例來說,當時的環境,其實對資安並有做得很完整的情況下,但還是有ㄧ個完整的流程可以依循,隨著資安的重視,外部的資安ㄧ定會很快的到位,雖然不見得每件都能完整的防護,但至少有通報的平台,以及外部的協助,這點還是做得很好,也值得肯定的。


上一篇
4.8是否與相關單位如主管機關、資訊服務廠商、檢警單位、電力單位、電信單位及防救災單位建立聯絡管道?
下一篇
4.10 是否定期或資安作業環境發生重大變更時,召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2017-12-21 00:23:23

想請教一般在稽核時會審核通報程序(incident response)吧?是要量化看需要花多久通報,還是看是否現有程序正確執行?

彭偉鎧 iT邦研究生 2 級 ‧ 2017-12-21 00:32:51 檢舉

台灣沒有規定要量化,一般的稽核也不懂資安,所以大部分都隨便亂來,反正也不懂,有查就好,通通都沒事。但是,正常是有問題就要馬上通報監察人、董事,可是這些人也不懂資安,通報他們,他們也只能請資安部門處理。這時就要回到法令面,正常的稽核書面報告再次月底前要完成,並通知監察人,只要做到通報、書面報告就好,稽核切記莫要逾越個人的職權,做好通報即可,切莫去下任何建議及決策,否則資訊部門會全部怪罪給稽核。稽核絕對都是事後稽核,切記!

這也是我遇過的問題,稽核並非資安專業,沒辦法做客製化的IT AUDIT,所以隔著桌子很難溝通,因為聽不懂我們的情況,只知道照表打勾勾,又說不出怎麼樣才符合稽核要求,這樣的AUDIT沒有效益,真的頗浪費大家時間。所以IT AUDIT專才真的缺啊~

我要留言

立即登入留言