iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 28
0
Security

IT安全稽核系列 第 28

8.26是否訂定可攜式媒體(磁帶、磁片、光碟片、隨身碟及報表等)管理程序?

先分享一件生活上遇到有趣的事情....跟IT安全稽核一點關係都沒有!

我以前唸個體經濟學,有講一個叫"差別訂價"的觀念,就是襪子一雙35元,三雙賣100元,薄利多銷的概念。
可是,很奇怪,我今晚到大X發...

買膠水,單買一瓶5元,四瓶裝的要29元?
買電池,兩顆裝45元,四顆裝95元?

於是我都單買,可是旁邊的一堆人,卻都直接拿那些四瓶、四顆裝的,我還很懷疑的,比了一下大小、規格,都一樣啊?? 而且批發的標價貼紙,還故意用黃色底,紅色字大大寫兩個"促銷"! 怪怪! 大家都傻了嗎? 怎麼也不稍微看一下?

難道大X發知道消費者普遍會認為"批發"比較便宜,所以偷偷加價,消費者沒注意,就上當了,我真想拿著四瓶裝的膠水跟單瓶膠水,去問服務台,買貴請退十倍價差!

八、通訊與作業管理 (資訊及業務單位)
8.26是否訂定可攜式媒體(磁帶、磁片、光碟片、隨身碟及報表等)管理程序?

說明:此項說明一個重點:1.可攜式媒題管理。

我唯一看到有再管可攜式媒體,是四大會計師事務所(勤業眾信、安侯建業、資誠、安永),其他的公司,我並未接觸,所以不了解,以前查帳員曾經拿隨身碟給我存放資料,都要先預載驅動程式,然後他們用密碼解鎖之後,才能使用,我不知道裡面是否有txt檔記錄下曾經使用的紀錄,但根據查帳人員說,他們覺得多了這步驟,一點用處都沒有,可是我覺得這是有其必要,畢竟,所有存放資料都是一家公司內部的數據、辦法、個人資料等等,稍一不慎,流出去,對公司的傷害,誰都沒辦法去負責,更何況如果被植入木馬,如果沒有紀錄可追查源頭,那傷害可能更難評估了。

不過,順帶一提,隨著科技的進步,舊有的磁帶、磁片應該也很難找到讀寫硬體了,有些資料保存就一定要進行備份,一般的公司到底有沒有將資料備份出來,這都是個問題,現在很多公司都有設雲端硬碟,各部門也有各部門的資料夾,正常大家都只是丟上去,MIS備份….但舊資料呢? 為什麼我會這樣問,這樣事情有次真的有次就發生了,我去一家公司調閱舊案件時,發現存檔的都是1.44MB的磁片,管理資料的人根本也沒注意已經沒有磁碟機(就算有,放到現在也不能用)可用,好不容易去弄了一台磁碟機,接上排線連接到電腦,卻發現公司沒人懂MS-DOS的指令,連dir都不懂,更遑論dir/p/w這些指令,我還真懷疑這裡的人到底有沒有用過cmd命令提示字元,MIS在這裡好像真的很做的感覺,最後只好不了了之了。

有規模的公司,對於這種可攜式媒體控管極為嚴格,但還是有像之前提到的,中華電信的機房被偷拍,流出去的新聞。我記得很多年前,我曾經到某大型光電公司面試,我就真的被搜身檢查,然後過感應門之後,才能進去面試,當然出來也是一樣,我覺得不管是不是有效,至少這樣的確會有警示效果,而且也能養成一種不錯的習慣。小心還是可以行萬年船的!


上一篇
8.7資訊業務委外辦理期間,是否定期對廠商所提供之服務、報告及記錄等進行監控與審查,並定期進行稽核?
下一篇
8.36對於採用語音、傳真及視訊通訊等設施進行資訊交換,是否訂有保護控制措施?
系列文
IT安全稽核30

尚未有邦友留言

立即登入留言