iT邦幫忙

2021 iThome 鐵人賽

DAY 5
1
Security

作業抄起來!資通安全管理法什麼的系列 第 5

輕鬆小單元 - 如何分配角色

怕爆,連假第3天就快忘記發文了,卡個位還要300字!
https://ithelp.ithome.com.tw/upload/images/20210920/201036882tdkehMIGj.png


一般資訊單位相信都有普遍人力不足的問題,但即使如此,還是建議在處理資安法時先安排適當的角色於應辦事項中。在施行也要記得當下的角色為何,才能對事項的範圍跟準度有所拿捏。

以下是建議的角色,大致分為兩類,一是資安人員負責法規部份,文件的產出等等,確保該單位符合各項應辦事項。二為技術人員,主要負責在技面的要求事項,例如實作防火牆規則、源始碼檢測等等。
p.s. 在廣義上有些人只要碰觸到資安的應辦事項就會歸類為資安人員。

資安人員

  • 資安事項業務窗口。負責對上對下的連絡、協調窗口
  • 文件、分配人員,撰寫各類文件、表格、記錄單。也可以負責尋找範本給技術人員使用

技術人員

  • 網路工作程。負責單位的網路架構、基礎設施的防護措施,例如防火牆、WAF 等。
  • 系統工作師。負責作業系統或是通用的框架,例如 Web Server, Database 等。
  • 應用(程式)工程師。俗稱碼農,撰寫各類程式的工程師,會負責例如源碼掃描。
  • 其他。以上其中若再細分也是可以,例如資料庫、QA、但只有一人分飾多角的情況下則不建議分太細。

上一篇
輕鬆小單元 - 如何減少應辦事項
下一篇
輕鬆小單元 - 範圍要多廣
系列文
作業抄起來!資通安全管理法什麼的34

1 則留言

0
胭脂虎
iT邦新手 2 級 ‧ 2021-09-29 16:49:38

但稽核的時候,會去檢視執行人員是否權責分離。
像說如果資安人員兼開發人員,那如果程式沒寫好,導致資安事件…
怎麼可能自己打自己的臉!
等資安事件發生完,然後資安人員就默默把軌跡抹除裝死 或是 偷偷把程式補好 …
就當作什麼事都沒有了,醬不行啊!

參考標準:
A.6.1.2 職務區隔:衝突之職務及責任範圍應予以區隔,以降低組織資產遭未經授權或非蓄意修改或誤用之機會。

魯大常 iT邦新手 4 級 ‧ 2021-09-30 14:21:45 檢舉

那...當場偷去廁所易容換個裝回來行不行

胭脂虎 iT邦新手 2 級 ‧ 2021-09-30 15:15:15 檢舉

雙胞胎行不行~

我要留言

立即登入留言