iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 8
0
Security

為了明日的重開機系列 第 8

為了明日的重開機-7(Cell phone security)

「你們公司現在是怎麼了,怎麼會請你這樣的人,來我們這邊開會?」

『您是科長吧? 我聽不太懂您的意思。』

「我們簽的合約是,資訊安全測試的合約,你懂...資訊安全嗎?」

『CISSP、ISO27001 這兩張認證我都有,請問這樣夠資格嗎?』

「你以為有證照就有資格嗎?」

她這句話說的中肯,但Anderson不是叫我來開會嗎? 怎麼會叫我來這被訓話?

「算了算了,我們甲方也沒什麼立場,去評論乙方的員工,你們的計劃是什麼? 帶來了嗎?」

計劃? 什麼計劃? 我楞楞的望著她...怎麼沒有人跟我說,要帶「計劃」過來,什麼?

「你看吧,有證照怎麼了? 連開會要用的計劃資料都沒有,要怎麼開會? 你一定是你們公司的新人,你們公司每次都這樣,只會叫人來這邊充場面,然後一直延誤我們的時間。來吧來吧,我帶你去我們機房看看。」

她話說完後,起身,帶著我跟小路,往她說的機房走。門一開,百坪大的機房,出現在我眼前。

「來...小路,你跟ICBM的人說一下,我們請他們測試的項目,我不喜歡來這機房,我先回辦公室。」

小路帶我進了機房後,在一排排機櫃前,一直繞圈圈一直繞圈圈。

「你什麼時候有CISSP和ISP27001?」

『我? 我沒有啊...開玩笑,我怎麼會有。』

「唉...算了,我們來談正事吧。我們委外你們公司處理的,就是...下個月,我們的機房要重新配電,在配電作業開工前,我們所有的系統服務,都會轉移到備援中心,等這邊的配電作業完成後,再將系統服務移回來。

我們要請你們處理的,就是......來幫我們關機和開機,前提是沒有任何資訊安全上的疑慮。」

嗡.......嗡...........嗡...

「我剛說的,你了解嗎?」

『我懂...啊,就這樣?』

「就這樣? 你不要小看這次的事情啊。」

『我...我沒有小看,只是覺得,這不是太簡單了嗎? 為什麼要委外?』

「小四啊...世界很大的,比如說吧,你剛剛在咖啡店的時候,是不是用他們提供的充電座,接上你的充電線...」

『是啊,怎了嗎?』

「你手機能複製的資料,剛剛在咖啡店時,都被我複製出來了。」

『!』

(待)

ISO 27001 本身的內容,可以算是制定在「保護資訊安全」方面的政策...條文...或依據。

Google 搜尋 ISO 72001 條文後,出現的前兩筆的內容,就不難發現,只是個依據,完全沒有說,訂了一些條文後,應該要如何達成。

https://ithelp.ithome.com.tw/upload/images/20171226/20006132GU7bX0YiHW.png

就好像,在政府網站營運交流平台
網址:
https://www.webguide.nat.gov.tw/index.php/ch/speci/index.html 中的
『 附錄四:政府網站版型與內容管理規範』裡,有一條是『 與外界網路連接之網點,設立防火牆控管外界與內部網路>之資料傳輸及資源存取,並執行嚴謹的身分辨識作業。』

這個只是範本,參考用就好,因為最後一段條文「 並執行嚴謹的身分辨識作業」,很難做到。我們現在瀏覽任何一個政府網站,大部份都沒有「身份辨識」,像總統府網站 http://www.president.gov.tw/ ,網址輸入之後,就進去了。

當然,我們也能將「身份辨識」自我解釋成這裡指的是非惡意IP或是某個區域的IP,那在防火牆上面,就要禁止這些IP存取網站。

從資訊安全政策的稽核面來看,這幾個字「並執行嚴謹」也會有些困惑,對於「嚴謹」的定義,是由誰來定義? 如何證明是嚴謹等等之類的。

因此,在制定資訊安全政策時,有件算是很重要的事,用白話文說「符合環境,量力而為」。

在『資訊人』網站中有提到
https://www.informationsecurity.com.tw/answers/answer_detail.aspx?tid=12

『請務必確定政策適合貴單位』,怎麼說呢?

2017/12/26 SunAllen


上一篇
為了明日的重開機-6(Personal information)
下一篇
為了明日的重開機-8(Cell phone security)
系列文
為了明日的重開機34

尚未有邦友留言

立即登入留言