今日的爆笑藝能界

阿狗：那個管機房的阿僕，別人來稽核問，機房主機有幾台?有哪些相關防護呢?

管機房的阿僕：我不知道，要問工程師。

阿狗：那機房有那些管理的程序。

管機房的阿僕：我老了，我忘了，這好像是資安要做的吧?

阿狗：那你總是要跟我說機房怎麼管理的吧?有幾台主機，主機是誰的...

管機房的阿僕：這個問題問我也不知道，從我來接機房就沒再管了...

阿狗心理OS：$%#$%#$%#$%#$

(以上純屬虛構，如有雷同自行腦補~!)

機房的管理是所有的根本

機房的管理是所有資安防護的根本，實務上真正做好的機關，少之又少，加上最大甲(假)方疊層架屋的架構與城牆式的資安設備防護策略(也是一種疊層架屋)，俗話說的好，身體差牽拖天氣，衣服穿一件不夠會冷，那就穿兩件，穿兩件不夠就穿三件，其實體質已經有問題了，病可以從口入，也可以從鼻孔入了...

資安金字塔(好用的圖，會一直出現)

本篇從資安法的機房管理談起，首先在第4天的文章中已經說明，資安法有一部分是ISO27001的框架，也就是俗稱的ISMS(Information Security Management. System)是一套有系統地分析和管理資訊安全的文件系統(註：當然也有電子化系統，不過這是一套文件制度規範系統為主)。下面簡單扼要地說明機房管理的重點：

• 實體環境管理(消防、機電、防水防災、溫溼度、備援電力、門禁...)
• 主機盤點與資產盤點 <--多數的單位都無法落實。
• AD與GCB(GPO)的規則與管控(這點是非常重要，重要!!)
• WSUS派送更新或安全性弱點更新等

上述列舉短短幾點，不過光是這幾點要能做好，即是非常不容易，更何況還有搭配的網路管理
註：上述的機房管理是以500台以上的主機機房

小結

機房管理看似簡單，卻是資安管理中的基本功，引用<從資通安全責任等級分級推動，看製造商應如何重新思索「產品安全」(上)>文章中的一段話：

目前要求各級得配置一定的全職安全人員，要求 A、B 級單位限期兩年內導入資訊安全管理系統「CNS 27001」，並在三年內完成第三方安全認證。這些要求只是資安的最低標準，光是盤點網路設備、進出口門禁等基本門檻，就難以落實。