來聊聊資訊安全吧~
資訊安全,一般人最直覺的常識就是「電腦病毒」能不能預防!
但其實資訊安全牽扯的範圍,真的超乎想像的廣?!
要嚴謹規範的話,連印表機印出來的紙張,也可以是資訊安全要管控的一環?!
眉眉角角的管控,包括你開關機的密碼、編輯了那些檔案、
離開座位時有沒有上鎖(WIN+L)...
這還沒提到機房的部份耶!
劣者如我,就不野人獻曝了。
很多邦友有針對條文、範例寫了不少文集。
建議多花點時間看看,看這類的文章,大部份都是一些觀念和管制作法的闡述,
資訊技術的涵量不會很高,應該讀起來不會很累人。
我就提一個常常困擾著挨踢人的議題「密碼管控」好了!
通常公司若有一批四、五年級的『老』朋友,他們在使用電腦的最大困難點。
就出現在開機時,輸入:帳號\密碼,登入電腦來使用。
一不小心按到大小寫轉換控制鍵!就糟了...!@#$%&
忘記密碼也是家常便飯~
六年級也許還好,七、八年級...應該就不成問題。
在我公司,約莫兩年前,被會計事務所的資訊安全顧問要求要定期變更密碼?!
哇哩咧~這下糟了!
每隔六個月,就要發作一回。
系統要求變更密碼的那段時期,挨踢就要跟著被折騰兩三週!?
反倒是防火牆、防毒主控台、檔案權限的正經事,卻不是最緊要該處理的事?!
唉呦喂~到底資訊安全是在搞什麼?!
可憐的挨踢...
現在新版的NIST準則已經不強調每六個月更換密碼,只要求密碼長度和複雜度,也建議用密碼語句passphrase協助記憶,但不小心按到大小寫轉換控制鍵...這個沒辦法避免><
會計師根本就不懂資安,他跟你鬼扯,你又不能說他不對,他們拿舊的審計公報每家都這樣要求,哪懂甚麼系統、防火牆...現在會計師,本職連本職學能都有問題了,遑論甚麼資安了!
會計師根本就不懂資安,他跟你鬼扯,你又不能說他不對,他們拿舊的審計公報每家都這樣要求,哪懂甚麼系統、防火牆...現在會計師,本職連本職學能都有問題了,遑論甚麼資安了!
會計師根本就不懂資安,他跟你鬼扯,你又不能說他不對,他們拿舊的審計公報每家都這樣要求,哪懂甚麼系統、防火牆...現在會計師,本職連本職學能都有問題了,遑論甚麼資安了!
所以其實我想問是否有業界公認的IT稽核師證照,證明上門的稽核師真的了解IT稽核的細節。之前遇到的auditor都只是照表打勾,沒有提出客製化的衡量和評估,我覺得拿大鞋量小腳沒有意義,徒然浪費時間。
邦友們的意見,呃~
很有用但幫助不大,
因為劣者如我,權限和層級都不够能提出質疑的聲音。
大前提是:挨踢要讓配合稽查作業,讓會計師事務所認可你的資安有效!
系統資料是真實無造假!
至於他們要看到什麼?要建議什麼?
只要還是有照ISO 27001的精神走...
那挨踢也應該儘可能照辦啦~
iThome鐵人賽
看影片追技術