iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 23
0
Security

IT安全稽核系列 第 23

6.9及6.10 人員(含第三方使用者)之調動、離職或退休相關問題討論。

日昨有提到密碼設定問題,根據美國國家標準技術研究院(簡稱NIST),針對密碼,其規範圍是增加密碼的強度(Strength)。

NIST有關密碼的規範:https://pages.nist.gov/800-63-3/sp800-63b.html

當然,規範主要是針對層級比較高的單位,例如國防部等等,密碼需要被政府單位所認證,基於國安考量,這樣認證規範有其存在的必要性。

至於台灣有沒有相關密碼的規範法令? 答案是有的,主要也是用在政府單位,可以參考下列連結!

民國101年9月通過的政府機關密碼統合辦法:http://law.moj.gov.tw/Law/LawSearchResult.aspx?p=A&t=A1A2E1F1&k1=%E5%AF%86%E7%A2%BC

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,我們繼續討論第六部分的6.9及6.10。

六、人力資源安全 (人事、資訊及業務單位)
6.9針對人員(含第三方使用者)之調動、離職或退休,是否立即取消或調整其識別碼、通行碼、存取權限及安全責任?

6.10員工離職或第三方使用者於聘雇終止時,是否依規定繳回其使用或保管之資訊資產並移除其存取權限?

說明:此項說明一個重點:1.終止雇用合約,取消權限。

大部分公司,不外乎就這三個階層:高階、中階以及低階。資訊管理單位,在每個人離職後,很重要的是保密協定簽訂。然而,我們看一些台灣大型公司主管,很多在離職之後,就會帶著機密離開前公司,轉戰新的公司,也不怕原公司的法律訴訟,這該如何解決呢?

因為這後續延伸會與法律有關,我在此就簡單釐清一些觀念,首先,這一定是法律事件,故必須用法律來解決。我國刑法第三百十七條有規定,依法令或契約有守因「業務」知悉或「持有」工商秘密之義務,而無故洩漏之者,得處一年以下有期徒刑、拘役或一千元以下罰金。

看不懂,沒關係!

我只提一個重點,爭端源頭在於是否有利益?

注意,所有爭端就在於利益,進入法律訴訟就交給專業的律師解決,在此,本人就不贅述了。

但是資安人員,切記一件事,請明訂出三個階層關閉權限的辦法,一定要寫清楚,避免公司甚麼過錯都找上資安部門,只要符合規定,有照表操課,基本上,資安立場站穩了,有任何爭議,就隨時依據狀況調整辦法,如此,就沒有任何立場不明確的問題了。


上一篇
6.5管理階層是否有要求員工、承包商及第三方使用者,應實施組織制訂的政策及程序?
下一篇
7.1是否界定重要實體區域並施予安全保護?
系列文
IT安全稽核30

2 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-26 11:32:07

我在從事MIS時,最後工作日即為帳號失效日
員工個人軌跡資料(mail、file),就看是否涉及競業競爭要求其保留
軌跡資料保留的辦法,我認為是必須要訂出辦法
否則當公司成長到一定的規模,IT人員光處理軌跡資料就很頭痛
實務上,通常是會要求保留硬碟,特別是總字輩從業人員離職

1
Sergeyau
iT邦研究生 3 級 ‧ 2017-12-26 14:06:12

我覺得還是要看Retention Policy,永久保存不一定比較好,在法規允許下訂出retention date,過期便便可以消除。不然一堆硬碟在那哩,萬一有損壞或資料損失還是要MIS擔起責任。

Sergeyau iT邦研究生 3 級‧ 2017-12-26 14:23:01 檢舉

NIST密碼準則正式改版那天有放鞭炮慶祝!

Why?

我要留言

立即登入留言