這個章節很多都在CISSP有,很多邦友寫過,可以參考邦友的文章
https://ithelp.ithome.com.tw/articles/10202329
營運持續管理
在Risk Management風險管理分析後,擴展出營運持續管理BCM,利用營運衝擊分析BIA及風險評鑑RA,建立營運持續計畫BCP,並請各部門制定恢復計劃DR流程
圖片來源: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/bc-process/it-rm-bc
- BCM(Business Continuity Management) 營運持續管理
圖片來源: https://www.ithome.com.tw/news/135939
- BCP(Business Continuity Plan)營運持續計畫
- BIA(Business Impact Analysis)營運衝擊分析
- DR/DRP(Disaster Recovery Plan)恢復計劃
- RA(Risk Assessment)風險評鑑
人員
AUP 可接受的使用政策(Acceptable use policy): 公告不可以在電腦裝盜版軟體等等
NDA 保密協議(Non-disclosure agreement)
稽核項目
- 稽核時務必確認這兩項有確實做,例如入職時簽NDA,公司貼AUP公告等等,以打破員工合理期待(你沒告訴我,我怎麼會知道不能這樣做之類的)
- 調職,離職的授權調整
Outsourcing
有些組織會將IT部分外包或是全部外包,尤其是公家機關,通常考量外包的原因通常為
許多人常常忽略責任及風險問題,需要注意終極責任是在組織管理層,也許可以怪XX外包公司出錯,但承受傷害的還是為組織自身,承接外包人員也會被指責監督不力,因此需要評估可能的風險,制定合約方式規範外包公司
風險
- 反而增加成本
- 缺乏控制 (資料外洩)
- 法規限制
- 忠誠度
- 能力不足 (替換能力不足人員)
稽核項目
- 相關合約 ex.RFP 需求建議書(Request for Proposal
- 服務要求 ex.SLA 服務水平(Service Level Agreement, 營運水平OLA(Operational Level Agreement)
- 成本及付款
- 選商流程 (能力驗證)
- 評估程序(採購、稽核、服務單位)
Work Place
疫情關係,上班地點的議題持續被提出,依據地點有以下幾種方式
- 公司內部 on-site
- 公司外部 off-site
- 離岸 offshare
Work From Home
外部工作因為在原本組織防禦架構之外,會面臨到許多問題,例如連線安全,資料安全,主機安全
IT平衡計分卡
平衡計分卡是一個業務框架,可幫助管理戰略計劃與執行之間的差距。
團片來源:https://www.kannan-subbiah.com/2012/12/implementing-it-balanced-scorecard.html#.YA6EFOgzaUk
- 未來方向-它代表了IT部門為滿足業務未來需求所做的準備工作。
- 卓越營運-它表示IT部門遵循的各種標準,流程和策略的有效性和效率。
- 使命:交付高效的IT應用服務
- 目標:有效的開發及營運
- 客戶導向-IT部門最終用戶的觀點。
- 公司/業務貢獻-IT部門業務主管的觀點。
- 使命:IT投資中獲得合理回報
- 目標:業務保持一致
- 價值:成本及風險管理
圖片來源:https://bscdesigner.com/balanced-scorecard-fact-sheet.htm