iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 21
1
Security

IT安全稽核系列 第 21

4.12對於開放給客戶存取權限前,是否作風險評估及實施必要管控?

  • 分享至 

  • xImage
  •  

今天是平安夜,祝大家聖誕快樂!

第一年到美國念書,原以為美國聖誕夜很熱鬧,結果,就像台灣的除夕夜一樣,大家都回家過節團圓了,連學校24小時的walmart都關門,一整個冷冷清清的,這時才知道東西兩方對於聖誕節認知,想法實在差異很大。

不過,畢竟他們聖誕節放假,我們聖誕節還是要上班。有趣的是,在亞洲,日本是過新曆年,所以他們聖誕節也有放假,但我在學日文的時候,日本老師說,日本人認為聖誕節都是要『吃蛋糕』的,哈~~~聖誕節傳到日本之後,聖誕節變成很熱鬧,然後,台灣學日本過聖誕,也辦得很熱鬧,只是沒想到吃蛋糕這個沒學到,倒是很有趣!

本人根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續第四部份的分析。

四、資訊安全組織 (資訊安全組織、人事及資訊單位)
4.12對於開放給客戶存取權限前,是否作風險評估及實施必要管控?

說明:此項說明一個重點:1. 評估及管控客戶存取權限。

執行網路原則伺服器 (NPS)基本上都會對用戶端的使用需求、連線的驗證以及要求,會給予一個存取原則。這個大概一般的網管都會做。

只是在稽核的角度,這到底有甚麼好稽核的?

我做兩點分析,首先,客戶端給的權限都是很制式,正常的MIS也不可能每次都要去評估客戶,來一批評估一批,那不就累死了,雖然理想上都要做風險評估,可是,實際上根本不可能,但客戶的流量控管就變得很重要,流量過大的客戶,MIS要馬上應變,並且應詢問為何流量過大,並針對這類客戶做紀錄,以避免以後這類客戶出現,整個流量被占用。稽核可以檢視並抽樣此類的客戶流量紀錄,並適時反應給公司相關部門,以免造成MIS的困擾。

再來,就是密碼變更的問題,比較舊觀念的稽核,只會要求MIS記得定期修改Guest的密碼,而MIS也是半夢半醒的,從來不去改內部控制的程序(每個部門自己管理的程序,寫成書面,就叫書面內控。)及控制重點。每次都會被稽核單位要求去把密碼定期改掉,然後就被記缺失,但現在比較新的規定是密碼複雜化,已經不是一直要求定期更改密碼,相關的規定,我在明天的文章會貼出來,我暫時忘了。我之所以知道這個規定,主要還是我們資訊部門,跟我說不是甚麼都一直改密碼,這個也改,那個也改,我連機房設定都得要改,一改馬上冒出一堆問題,大家又因為密碼變更,又一直反應出問題等等。當然GUEST端不用到那麼複雜,但是,我還是覺得,資訊部還是得要定期**『盤點』自己的設定,即使不用『頻繁』的更新,但還是要『定期』的更新,尤其在重大資安事件發生之時,如果不馬上更新,這還是一個大缺失,該有的應變程序還是要有的。所以舊觀念並不是錯的,至少注意要跟稽核單位說明何時定期去修改?以及有沒有及時反應**?這兩點大原則還是要遵守的。


上一篇
4.11單位內因業務需要開放給外部使用者之資訊,是否作風險鑑別,並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?
下一篇
6.5管理階層是否有要求員工、承包商及第三方使用者,應實施組織制訂的政策及程序?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言