iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 26
1
Security

IT安全稽核系列 第 26

7.22設備報廢前是否將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫?

今年最後一天上班了,感覺這一年過的真快。祝大家2018年新年快樂!

持續看2017鐵人賽裡的發文,發覺一件事,很少人談到法律層面的東西,法律的東西,雖然有些枯燥乏味,只是,法的概念沒有,有時候,就比較無法提出合理的解釋。

本人所發的文屬於IT稽核,稽核這個概念,都是事後稽核,很少有事前防範,事後講再多,錯誤都已經發生了,在怎麼彌補都是錯。可是,如果能透過法律,來強化資安的觀念,很多人或許聽到法令,多少都會有些警惕。

雖說法律有人一聽就睡著了,不過,我還是覺得,那些生硬的法條,如果你不懂,遇到問題,論述上就缺乏強有力的邏輯基礎,因此還是給資安、資訊人員一個建議,記得要提升自己及組織的法律知識。

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,我們跳到 7.22的分析。

七、實體與環境安全 (資訊及稽核單位)
7.22設備報廢前是否將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫?

說明:此項說明一個重點:1.資料一定要銷毀完整。

其實銷毀的方式,已經有專業機構可以協助處理,網路上爬一下文,也是可以蒐集到很多相關的資訊,但是,比較值得注意的是,資訊人員在移除檔案之後,怎麼進行回報及確認,之前有位朋友在問,到底資安在台灣有沒有分清楚職能?現在我們看這個題目,就很清楚了,大部分資安工程師跟資安稽核人員其實都是同一人來負責的,由一個資安工程師(或資訊部某個工程師負責)銷毀,然後,再由他來回報已完成,這中間到底誰在覆核,控制點在哪裡?其實都讓人存疑。

一般規模小的公司,人力不足的情況下,很容易有上述的情況發生,我們也無法去要求到這麼多,連一般大公司都不見得會注意這塊了,更遑論去覆核。

在此,也只能繼續強化資安的觀念了,我們無法去防止有心人,去拷貝別人的硬碟資料,稽核人員也不可能24小時都在查有沒有銷毀資料,此時,最有效的方法就是罰則要定清楚,我也想不太出來有其他方法了(如果有,也歡迎留言)。以下我舉個實類似的實例。

前個月,在我任職的公司,有人隨意拿其他同事的隨身碟拷貝資料,順便把同事的資料一起COPY出來,然後再轉給其他同仁,當事人非常火大,請我處理,並且要求提告,我第一時間通報告層,然後很快速的調出監視影像,確認事情的發生點,也從畫面清楚看到資料確實被「分享」出去,此時,馬上要求,把分享的資料全數消除,還要求開會檢討,記過處分,並且要求資訊單位發公告,加強宣導。事後,被轉發資料的同事還是忿忿不平,我也請他備份所有影像、資料、聲明,保留他的法律追訴權。

本人提到這個例子的最後處理要件是,保有受害的一方相應的法律權力,也是我前面所說的,法律是最底限的保護,在不知道如何處理之時,如何保障他人之法律權力,就相對的非常重要了。


上一篇
7.19設備送場外維修,對於儲存資訊是否訂有安全保護措施?
下一篇
8.7資訊業務委外辦理期間,是否定期對廠商所提供之服務、報告及記錄等進行監控與審查,並定期進行稽核?
系列文
IT安全稽核30

2 則留言

2
Sergeyau
iT邦研究生 3 級 ‧ 2017-12-29 12:21:34

我遇到的情況,是同事A借用隨身碟使用卻沒有刪除資料,同事B借用時發現裡面的內容.....不雅。所以後來改變作法:出借的USB隨身碟回收後一律先sanitize再歸位(準備下次出借)。

有時候設備報廢會直接委託回收的廠商銷毀資料,那就需要有(具有法律效力的)表格請廠商簽字填寫,確認執行銷毀資料,日後萬一出事能追究責任。有掃瞄文件功能的多功能印表機亦同,廠商收回前都要簽自確認硬碟資料銷毀沒有掃描的文件留在上面。

1
SunAllen
iT邦高手 1 級 ‧ 2017-12-29 13:48:42

wkpeng大大新年快樂,

我要一直工作到2018/01/01 半夜3:00 ,然後接著 2018/01/01 09:00 上班

我工作的地點,到住的地方,單趟車程約40分鐘...

03:00 ~ 09:00 間隔6小時,扣掉來回車程...休息時間剩不到5小時。

最近在討論啥? 休息間隔11個小時? 休息間隔8個小時? 我連5小時休息的時間都不到...orz

啊? 我們老闆是誰? 是我啊,是我幫我自己排的班啊.../images/emoticon/emoticon20.gif

是傳說中的慣老闆就對了! 哈! 預祝你新年快樂!

只有自己,可以虐待自己-.- 新年快樂!

我要留言

立即登入留言