iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

2
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 23

[Day 23] 從GEIT制定管理規範

這個章節很多都在CISSP有,很多邦友寫過,可以參考邦友的文章
https://ithelp.ithome.com.tw/articles/10202329

營運持續管理

在Risk Management風險管理分析後,擴展出營運持續管理BCM,利用營運衝擊分析BIA及風險評鑑RA,建立營運持續計畫BCP,並請各部門制定恢復計劃DR流程

https://ithelp.ithome.com.tw/upload/images/20210125/20077752wWWscEyCpE.jpg
圖片來源: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/bc-process/it-rm-bc

  • BCM(Business Continuity Management) 營運持續管理
    https://ithelp.ithome.com.tw/upload/images/20210125/20077752lL1X2sh0gj.png
    圖片來源: https://www.ithome.com.tw/news/135939
  • BCP(Business Continuity Plan)營運持續計畫
  • BIA(Business Impact Analysis)營運衝擊分析
  • DR/DRP(Disaster Recovery Plan)恢復計劃
  • RA(Risk Assessment)風險評鑑

人員

AUP 可接受的使用政策(Acceptable use policy): 公告不可以在電腦裝盜版軟體等等
NDA 保密協議(Non-disclosure agreement)

稽核項目

  • 稽核時務必確認這兩項有確實做,例如入職時簽NDA,公司貼AUP公告等等,以打破員工合理期待(你沒告訴我,我怎麼會知道不能這樣做之類的)
  • 調職,離職的授權調整

Outsourcing

有些組織會將IT部分外包或是全部外包,尤其是公家機關,通常考量外包的原因通常為

  • 集中在核心事業
  • 利潤問題
  • 組織靈活性

許多人常常忽略責任及風險問題,需要注意終極責任是在組織管理層,也許可以怪XX外包公司出錯,但承受傷害的還是為組織自身,承接外包人員也會被指責監督不力,因此需要評估可能的風險,制定合約方式規範外包公司

風險

  • 反而增加成本
  • 缺乏控制 (資料外洩)
  • 法規限制
  • 忠誠度
  • 能力不足 (替換能力不足人員)

稽核項目

  • 相關合約 ex.RFP 需求建議書(Request for Proposal
  • 服務要求 ex.SLA 服務水平(Service Level Agreement, 營運水平OLA(Operational Level Agreement)
  • 成本及付款
  • 選商流程 (能力驗證)
  • 評估程序(採購、稽核、服務單位)

Work Place

疫情關係,上班地點的議題持續被提出,依據地點有以下幾種方式

  • 公司內部 on-site
  • 公司外部 off-site
  • 離岸 offshare

Work From Home
外部工作因為在原本組織防禦架構之外,會面臨到許多問題,例如連線安全,資料安全,主機安全

IT平衡計分卡

平衡計分卡是一個業務框架,可幫助管理戰略計劃與執行之間的差距。
https://ithelp.ithome.com.tw/upload/images/20210125/20077752yCUDCcEWTN.png
團片來源:https://www.kannan-subbiah.com/2012/12/implementing-it-balanced-scorecard.html#.YA6EFOgzaUk

  • 未來方向-它代表了IT部門為滿足業務未來需求所做的準備工作。
    • 使命:應對未來挑戰
    • 目標:培訓員工掌握專業知識
  • 卓越營運-它表示IT部門遵循的各種標準,流程和策略的有效性和效率。
    • 使命:交付高效的IT應用服務
    • 目標:有效的開發及營運
  • 客戶導向-IT部門最終用戶的觀點。
    • 使命:好的服務提供者
    • 目標:提高用戶滿意度
  • 公司/業務貢獻-IT部門業務主管的觀點。
    • 使命:IT投資中獲得合理回報
    • 目標:業務保持一致
    • 價值:成本及風險管理

https://ithelp.ithome.com.tw/upload/images/20210125/20077752ofZuNVBmPo.png
圖片來源:https://bscdesigner.com/balanced-scorecard-fact-sheet.htm


上一篇
[Day 22] 從GEIT建立政策及組織結構
下一篇
[Day 24] IIOT資訊安全規劃
系列文
資訊系統安全稽核與 CISA 的簡單應用30

尚未有邦友留言

立即登入留言