iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 22
3
Security

IT安全稽核系列 第 22

6.5管理階層是否有要求員工、承包商及第三方使用者,應實施組織制訂的政策及程序?

  • 分享至 

  • xImage
  •  

離鐵人賽結束時間只剩9天了,目前討論到第四部分,其他還有很多大項未討論,我想之後,就挑剩餘各大項內比較重要的要點來討論,本人在資本市場的工作時間遠大於在其他各項(包含MIS、會計師事務所、稽核主管等等)領域,在很早期我就已經取得MCSE、MCSA等等各類專業工程師的資格,也從事資訊一段時間,我從基層開始做起,從小小的專員一直到目前主管的位置,期間最大的痛苦,莫過於遇過太多不用功的主管了,在某個領域裡面,或許他是專才,可是稍稍一跨出其他領域,或者應用到其它領域,就開始胡說八道,我也不想說太多,畢竟,我說太多,我又得從頭教起,而且,如果是個肯傾聽的主管還好,但是,那種不會還硬ㄠ的,真的十個裡面有十一個,為什麼多一個?因為,其它不懂的,也在旁邊幫腔、拍馬屁,所以,會或不會,對或不對,我不會去強辯太多,假若可以把錯的ㄠ成對的,算我佩服他,可以指鹿為馬,出門不怕人笑,外面遇到厲害的,也能繼續ㄠ,也不怕被打槍吐槽,講句難聽的,不要臉天下無敵!

本人繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,做第六部份的分析,第五項是總務類的,比較偏向行政,跟前述幾項重複,觀念也沒有需要重複強調,因此跳過第五項,到第六項來討論。

六、人力資源安全 (人事、資訊及業務單位)
6.5管理階層是否有要求員工、承包商及第三方使用者,應實施組織制訂的政策及程序?

說明:此項說明一個重點:1.承包商。

近期有很多公安意外的新聞,我把這個題目拿出來討論,主要是因為很多公司都有外部承包商,承包商接了工作,進入工廠,正常的情況下,會由工安單位根據公司的規定,進行勤前教育,承包商也會配合公司要求,接受一系列的教育訓練課程,然後再開始進行工作。

上述是種理想的狀態,因為一到工作位置,很多教育都會變成參考,不管怎樣稽核,不遵守規定的承包商,還是不遵守,就算開罰也無用。

或許資訊人員會問,這是一般工安的稽核,跟我們資安單位扯上甚麼關係呢?本人在此強調,這兩者是有關係的,工廠很多地方都有一種設備,叫做**「監視設備」**,這些設備,大部分都是由資訊部所控管的,而資安單位,更需要對這些設備做嚴格的控管。

在台灣大家最耳熟能響的事件,莫過於洪仲秋事件,最離譜的是軍方監視器居調出來的影像,會出現黑畫面,在本篇我們不探究原因,只強調一件,如果資訊部門在公安意外發生時,無法保存現有的錄像、聲音,甚至遭外部駭客攻擊監視器所使用之軟體,如此,資安的防護何在?如果發生意外,能提供第一手資料的,其實是公司負責監視器的單位,因此這部分就變得很重要了。

但還是有人會說,有的公司是把監視設備交給警衛或者總務單位,針對此部分,本人需說明,這是很不恰當的做法,為何?如果大家有用過監視設備的監控軟體,可以發現,其實,不管軟體、韌體如何,基本上就是台簡易伺服器,一樣要更新韌體,或者更新軟體,手機APP也有很多監視器專用的APP,甚且很多較有名的監視軟體,也常常被駭客所入侵,所以,以資安單位的專長,是否應該也要去維護或控管監視設備呢?我想答案是肯定的。

監視設備已經是非常重要的輔助設施,這不只是對承包商而已,舉凡承包商、遠端監控等等,都是資安的防護重點,因此資安單位切莫輕忽。


上一篇
4.12對於開放給客戶存取權限前,是否作風險評估及實施必要管控?
下一篇
6.9及6.10 人員(含第三方使用者)之調動、離職或退休相關問題討論。
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-25 10:55:47

某個領域的專才,跨領域後開始胡說八道>>>>優美詞句
未來將導入APP即時監控,但可能不是目前服務的公司
因為我剛來的時候架好伺服器監控服務,(有人手賤砍了)
未來會把伺服器與監視系統整合在手機APP裡面,避免又有豬隊友,又砍了

我要留言

立即登入留言