iT邦幫忙

2023 iThome 鐵人賽

DAY 25
0
Security

資通安全管理法入門系列 第 25

[Day 25] SSDLC-系統終止

  • 分享至 

  • xImage
  •  

系統終止

系統終止是指軟體生命週期結束的時候,它意味著一個產品或應用程式的完結。這個階段在民間企業的SSDLC中或許不那麼明確,因為對多數公司而言,一旦他們開發的系統結束運作,這可能意味著公司面臨倒閉問題。

市面上有許多好用的軟體。但當那些提供這些軟體的公司結束營業,或者停止對該產品的支持和維護時,可以常常看見使用者為了繼續使用這套軟體,可能必須繼續使用較舊的作業系統。

然而,在公務機關,情境有所不同。由於公務機關的特殊性質,開發的系統生命往往不可能超越機關本身的存在。當該系統不再符合目前的業務需求,或技術架構已經過時,就該考慮終止系統。

在這個系統終止階段,不只是簡單地關閉系統。我們需要考慮如何安全地存儲與轉移數據,保障用戶的隱私,並確保所有相關資源得到妥善的處理。此外,通知使用者、提供他們遷移至其他平台或系統的指引,也是這個階段不可忽視的部分。

兩大主要因素

  1. 成本問題:例如,當初各單位積極開發App,但隨著行政院規定App須進行年度安全檢測後,許多App的持續維護減少。這種檢測的費用要進行公開招標,往往使得繼續運行變得經濟上不划算。

  2. 取代方案:以電子郵件系統為例,儘管各機關都有自己的系統,但因該系統屬於核心服務且涉及多項資安管理要求,因此會考慮1. 向上集中處理,或2. 委外管理,從而轉移風險至其他單位。

在系統終止的過程中,新舊系統之間的切換尤其值得注意。必須評估舊系統的工作流程、帳號及存取權限是否需改變以適應新系統。例如,當公文系統進行新舊切換,正在進行中的文件簽核應如何操作?是重新簽核還是重新匯入?即使由同一公司提供的新舊系統,也可能會有匯入失敗的問題。

在淘汰舊的軟硬體時,銷毀流程亦不容忽視。對於硬體,可採用低階格式化或物理破壞的方法。軟體則可在行政流程確保完全刪除或進行加密保存,以防範由於系統終止導致的疏忽管理,像是一個未經處理的.bak檔外洩,最終可能觸發機關的資安危機。

可以看見系統終止談的內容與第一步的需求分析很有關係,因為當沒有需求時,或是有其他需求時就會面臨系統終止的選擇,這是一個策略決策過程,需要考慮到成本、風險以及未來的需求。透過前五個階段的深入了解,可以確保系統終止的決策是經過深思熟慮的,且在整個SSDLC中扮演了關鍵的角色。


上一篇
[Day 24] SSDLC-維運管理
下一篇
[Day 26] 資安工具與技術
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言