iT邦幫忙

2021 iThome 鐵人賽

DAY 30
1
Security

作業抄起來!資通安全管理法什麼的系列 第 30

盤點清查與檢測掃描 - 盤點文件、清查舊系統、帳號

原本以為 0 存檔挑戰會失敗,想不到不知不覺就完成鐵人賽了。果然加了「輕鬆小單元」好輕鬆。


適用人員: 資安人員/技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

  • 技術面分類提要
  • 網路架構的檢視
  • 端點的安全防護
  • 應用開發的防護基準
  • 盤點清查與檢測掃描
    • 盤點文件、清查舊系統、帳號
    • 安全性檢測
    • 資通安全健診

盤點與清查的目的在於完成 PDCA 的循環,所有的安全措施、文件,必須要定時審閱,以確保沒有遺漏、避免過舊、維持更新等狀態。

包括以下項目

  • 盤點「資訊資產清冊」(含財產及資通系統)。每年一次,並於清查時將文件更新,項目也包括風險評估作業要重新評估。
  • 清查是否有未納入、已無人管理的幽靈設備、系統。實地走動去查看是否有該除舊佈新的設備系統,並更新至「「資訊資產清冊」
  • 清查該汰換或更新的應用系統。如過舊的作業系統、元件應淘汰或更新。可配合「資訊資產清冊」逐一盤查
  • IoT 設備。IoT 設備容易被忽略,所以特別拉出來講,不只是攝影機,只要有連網的設備如門禁、列表機都需要列管。
  • 清查帳號的可用性。定期進行清理作業,如果在帳號申請階段、或是有獨立的系統帳號記錄會容易的多。
  • 其他文件。未提到但有的記錄表僤如防火牆規則,都應定時審閱是否要修改。

上一篇
盤點清查與檢測掃描
下一篇
盤點清查與檢測掃描 - 安全性檢測之弱點掃描
系列文
作業抄起來!資通安全管理法什麼的34

尚未有邦友留言

立即登入留言