iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 29
0
Security

為了明日的重開機系列 第 29

為了明日的重開機-28(Third-party security assessment)

(以下內容為Allen 視角)

台北市的熱,是很難受的一種熱,感覺連襪子都溼透的我,只想在中午前,把這一個安全島上的草都打完,不然到了下午,汽車廢氣融入炙熱午後,那會加速我的體力透支。

前面那個人,為什麼一直對我揮手啊? 我看了一下身後,奇怪,那個人應該是在向我揮手,是誰啊? 當做沒看見好了,那來的無聊路人,路過不是這樣用的。

十分鐘後,我停了下來,再不停下來,我的打草機就要打到這個人了。順便休息一下,擦了擦眼鏡上的汗,仔細看了看,原來是位小姐...

「Allen 你好。」

我看了看她...她怎麼知道我的名字? 應該不是什麼正派角色,裝作沒聽到好了...

「我們會長找您,希望您有空時,可以去一趟。」

『抱歉...妳們會長? 會長? 對不起,是我剛才打草時,沒注意,讓草飛到妳們會長的車上嗎? 這是物理慣性和流體力學之類的,您要找賠償,請去找牛頓或萊特兄弟。』

「..........有錢銀行上面的有錢集團,你朋友小黃的爺爺,我們的會長,要找您,您有空嗎? 我已經站在這很久了,麻煩你,有空嗎?」

我看了看她...原來是小黃...的爺爺?

『小黃的爺爺找我? 我應該不是有錢銀行的欠錢大戶啊,雖然還有幾百萬沒還,但......』

「這裡很熱,你有空嗎?」

『你看我現在這身打扮,像有空嗎?』

「今天晚上,八點,我們會來這接你。」

竟然就這樣離開了...晚上八點? 來這大馬路上的安全島接我? 我回到家還要再跑到這邊來? 算了,電話費沒繳,也沒辦法打電話給小黃...我在安全島上,待到了晚上八點,還真的有車出現...上了車,到了某大飯店的某個廳...這廳,還滿氣派的。一位老先生,坐在裡面。

「Allen? 你怎麼這身打扮? 你...」

『晚上八點,到安全島接我,我還要回家換衣服,再跑回安全島? 老先生,你要介意我這身髒模樣,那我就先離開了。』

「好,沒關係,今天請你來,是想請你幫忙。」

『老先生,你們隨便找,都能找到比我還專業的打草人員啊。』

「哈哈哈...是關於我那兩位孫子。」

兩位? 小黃跟他弟弟?

『小黃和Anderson怎了嗎?』

我從小黃出生第一天開始,聽了快個三小時的爺爺經...老先生是位(孫子控)啊...我明天早上還要打草,我想回家了。

『老先生的意思是說,兩位兄弟吵架失合,冷戰好幾年了,可是您又覺得這樣不好,希望他們能夠一起合作,然後要找我來幫忙。

可是,小黃和Anderson,不是你寵出來的嗎? 你是會長,你沒辦法處理?』

「爺爺有爺爺的難處啊...」

『爺爺的難處? 大概就是一天不寵孫子,一天就不舒服吧。』

「另外,有錢銀行,被駭客集團盯上很久了,順便請你看看,我們的資訊中心,有沒有什麼需要改善的地方。」

這個才是他想說的重點吧。他從桌面上,遞了好幾份資料給我...有錢銀行-資訊系統架構有錢銀行-資訊安全政策...隨手翻了一下,他們的資安全政策,這那是資訊安全政策,這應該是歡迎入侵資訊系統政策吧!

「如何?」

我再仔細的翻了翻......『你說的那個駭客集團...還滿沒用的,這種幾年前的架構都還駭不進去...不過,要是有內應在有錢銀行工作,就很難說了。』

「你看吧,我就說找你來就對了,能幫我讓他們兄弟合好,順便翻新我們的資訊架構嗎?」

從架構圖上看來,小黃的資訊室,負責線上運作的機房。Anderson...負責備援機房,然後,再利用備援機房的空間,開了間資訊安全顧問公司? 小黃同意? 這老先生也同意?

『老先生,這資料我帶走,我會再仔細看看,明天早上,我還要打草。後天就開始吧,因為後天我就沒工作了。

另外,我發現您和蝙蝠俠有同樣的超能力,還滿帥的。』

「哦? 這我第一次聽到...Allen 聽說你是不拍馬屁的人,如果你會這樣說........你發現我有什麼超能力,你說說。」

『你們都很有錢...後天見。』

(以上內容為Allen 視角)

(待)

在系統整合業,有時驗的時候,會出現所謂「公正第三方」,這個第三方,會做案子的驗收,它不代表甲方,也不代表乙方。

有時我們也會需要,所謂的第三方,來幫我們做「資訊安全」評估。
同樣,在GOOGLE搜尋『資訊安全評估』,會有740筆資料,
第一筆...『金融機構辦理電腦系統資訊安全評估辦法 - 主管法規查詢系統』是PDF檔案,103年的...。
https://ithelp.ithome.com.tw/upload/images/20180116/20006132LUNnJ02jyw.png

第二筆,內容和第一筆差不多,是106年的修正版。
網址:http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040390040028100-1060215

在103年 和 106年修正版中,都有提到「評估週期」、「評估項目」和「評估單位與責任」
所謂的『第三方-資訊安全評估』,就有機會,出現在這裡了。
但,這第三方,需要有ISO27001、CISSP、CISM、CEH或CHI等...
這也是,如果擁有這些認證後,便可以...

為什麼搜尋『資訊安全評估』,出現的前三筆,是『金融機構相關呢?』
因為...如果現在,我們用提款卡去領錢,我們帳戶裡的金額如果是0,會發生什麼事呢?
或如果我們的帳戶多了5個0...又會發生什麼事呢?

2018/01/16 SunAllen


上一篇
為了明日的重開機-27(Ethics)
下一篇
為了明日的重開機-29(ARP Spoofing/BCP)
系列文
為了明日的重開機34

尚未有邦友留言

立即登入留言