今天是平安夜，祝大家聖誕快樂!

第一年到美國念書，原以為美國聖誕夜很熱鬧，結果，就像台灣的除夕夜一樣，大家都回家過節團圓了，連學校24小時的walmart都關門，一整個冷冷清清的，這時才知道東西兩方對於聖誕節認知，想法實在差異很大。

不過，畢竟他們聖誕節放假，我們聖誕節還是要上班。有趣的是，在亞洲，日本是過新曆年，所以他們聖誕節也有放假，但我在學日文的時候，日本老師說，日本人認為聖誕節都是要『吃蛋糕』的，哈~~~聖誕節傳到日本之後，聖誕節變成很熱鬧，然後，台灣學日本過聖誕，也辦得很熱鬧，只是沒想到吃蛋糕這個沒學到，倒是很有趣!

本人根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續第四部份的分析。

四、資訊安全組織　（資訊安全組織、人事及資訊單位）
4.12對於開放給客戶存取權限前，是否作風險評估及實施必要管控？

說明：此項說明一個重點：1. 評估及管控客戶存取權限。

執行網路原則伺服器 (NPS)基本上都會對用戶端的使用需求、連線的驗證以及要求，會給予一個存取原則。這個大概一般的網管都會做。

只是在稽核的角度，這到底有甚麼好稽核的？

我做兩點分析，首先，客戶端給的權限都是很制式，正常的MIS也不可能每次都要去評估客戶，來一批評估一批，那不就累死了，雖然理想上都要做風險評估，可是，實際上根本不可能，但客戶的流量控管就變得很重要，流量過大的客戶，MIS要馬上應變，並且應詢問為何流量過大，並針對這類客戶做紀錄，以避免以後這類客戶出現，整個流量被占用。稽核可以檢視並抽樣此類的客戶流量紀錄，並適時反應給公司相關部門，以免造成MIS的困擾。

再來，就是密碼變更的問題，比較舊觀念的稽核，只會要求MIS記得定期修改Guest的密碼，而MIS也是半夢半醒的，從來不去改內部控制的程序(每個部門自己管理的程序，寫成書面，就叫書面內控。)及控制重點。每次都會被稽核單位要求去把密碼定期改掉，然後就被記缺失，但現在比較新的規定是密碼複雜化，已經不是一直要求定期更改密碼，相關的規定，我在明天的文章會貼出來，我暫時忘了。我之所以知道這個規定，主要還是我們資訊部門，跟我說不是甚麼都一直改密碼，這個也改，那個也改，我連機房設定都得要改，一改馬上冒出一堆問題，大家又因為密碼變更，又一直反應出問題等等。當然GUEST端不用到那麼複雜，但是，我還是覺得，資訊部還是得要定期**『盤點』自己的設定，即使不用『頻繁』的更新，但還是要『定期』的更新，尤其在重大資安事件發生之時，如果不馬上更新，這還是一個大缺失，該有的應變程序還是要有的。所以舊觀念並不是錯的，至少注意要跟稽核單位說明何時定期去修改？以及有沒有及時反應**？這兩點大原則還是要遵守的。