了解組織與第三方的關係對於確保業務及其所擁有資訊的安全性非常重要,尤其是在第三方活動可能使資訊安全受到威脅的情況下(即使其活動與資訊顯然無關,例如清潔工)。與任何第三方合作時,對於資訊安全來說,定義以下內容非常重要:
(一) 適用資通安全管理法的組織
現在很多組織為了資通安全管理法的緣故需要導入ISMS,但是許多承辦人員因為對法令不熟悉,產生了很多疑問;雖然主管機關已經執行過很多場的教育訓練,也製作了許多範本供大家參考,但是很多人仍有許多不清楚的地方。可以依照下列步驟來決定範圍:
「實務上常見到核心系統非由資訊單位負責維運的情況,而資訊單位及業務單位的責任歸屬不明確,導致應負的責任無人承擔,例如:本人曾經稽核一個組織,其核心系統對於帳號管控不佳,承辦單位認為他們完全不了解資訊技術,這個問題應該由資訊單位解決;而資訊單位認為系統是由承辦單位委外維運,跟資訊單位無關。」
這段話完全擊中了大多數組織的現況,想請問kachung大大,最後這些案件都如何處理?
現在剛接資安,上級機關要求填報系統清冊,但絕大多數的系統都由各單位承辦單位委外維運,承辦來來去去換了好幾手,某些系統甚至出現一問三不知的情況,狀況太過陰間,想做事情卻力不從心,罔論說明年要做ISO27001認證,有無方向可以指引?
非常抱歉,最近比較忙很久上來,所以比較晚回復,我認為如果是單位的資安人員,一定要先將所有系統還有系統的承辦人造冊列管,如果沒有承辦人的系統,要請主管去協調業務主管,必要時向資訊安全長報告,根據我輔導的經驗,先請資安長招開會議,確認所有人的職責後,再來逐個系統請承辦人將委外廠商找來,請委外廠商填寫防護基準執行情況,再由系統承辦人盯著委外廠商完成應該做的事情,資安人員應是負責綜整單位內所有系統的現況,拖太久的應向主管回報