iT邦幫忙

0

當資訊安全和人員習慣衝突時,IT人員該如何做才可以兩全其美!!

我們公司是一家傳統製造業的公司,在兩岸都有工廠,研發的圖庫及圖檔是我們公司的命脈,但是最近卻面臨到老闆為了資訊安全要封鎖研發部門上網及使用外接儲存設備能力,引發研發及大陸總經理的反彈,讓我們IT部門陷入兩難,要執行台灣總經理的命令卻要和RD部門及大陸工廠的對立。
IT部門站在資訊安全角度會配合老闆的指令,但是RD及大陸廠總經理是站在方便性及使用習慣來做反駁,讓我們陷入兩邊不是人的窘境,想聽聽各位IT高手在面臨這種事情時造如何做可不得罪雙方面,又可以兩全其美。
備註:目前規劃是切網段讓RD部門使用何其他同仁網段分離,再上網方面在RD部門另外給一台PC可供上網但無法連到圖庫及圖檔資料。

看更多先前的討論...收起先前的討論...
davistai iT邦大師 1 級 ‧ 2008-08-08 10:06:45 檢舉
這個問題很好,好難處理...
因為資安習慣最差的往往是主管
但他們卻又都要有很高的權限(暢行無阻)
superpc iT邦新手 3 級 ‧ 2008-08-08 10:38:23 檢舉
沒錯!!!大陸的總經理還是以前台灣的資訊副總,換了位置卻換了腦袋!!
所以苦了我們底下的IT人員,在不知所措的情況下,才回求助於各位大大的幫忙!!
davistai iT邦大師 1 級 ‧ 2008-08-08 14:01:28 檢舉
說真的,這個很難處理,因為每個老闆心態跟當時的腦袋不是我們這些[黑手]能夠捉摸得到的,再說他們通常會有[你講的我統統都知道,但我就是要這樣做,你來想辦法解決!]的想法啦--|||
往好處想,是磨練自己的心性修養與能力啦!
IT部門的行事原則,本來就是依照公司的政策去執行
即然老闆訂了這政策,公告之後IT照著作就好
不爽的請去找老闆
40
gkkangel
iT邦好手 1 級 ‧ 2008-08-08 09:09:07
最佳解答

以下是我的看法..

IT部門是配合執行部門,既然是總經理的命令,就請總經理發公告,告知.

研發的圖庫及圖檔既是公司的命脈當然就更加要保護.

不曉是你們公司是否有使用文件管理系統.

此類系統可以針對,圖檔文件等,作版本控管及相關的設定.

我想你們應該需要此類的系統.

在來針對方便性.?

如果只是研發圖庫,那麼無法上網應該沒差.

最大的差別是無法打QQ吧.?=.=

如果你切網段的用意是要將RD部門跟其它同仁網段分離.!

是怕中毒嗎.?還是怕互傳資料.?

你講的備一臺公用電腦,可以上網.!!

方式不錯阿..

此類問題最大的一點就是人跟習慣的問題..

要去溝通,不然這種問題通常都很麻煩的..

32
japues
iT邦高手 2 級 ‧ 2008-08-08 09:29:32

我公司目前也是如此,限制人員上網,包含設計,只開放主管及公用電腦上網用
作法就是把網段切開,因為計設部門是整個公司研發的重心,資安也是最重要的一環,排除人為因素,如何把資安作好也是很重要的,原本公司還沒把網段切開時,設計部跟本就是病毒入侵的窗口,無限制上網總是造成公司大中毒,後來限制了上網權限,只在部門旁設置兩台可以上網的電腦,且計設人員全部改用pc,不準用私人nb,公司另外準備四台公務用nb,攜出需主管簽核,攜回需先置資訊室掃毒
就算在麻煩都要執行,畢竟一堆人辛苦計設的圖資,一但被盜損失真的很嚴重

22
john651216
iT邦研究生 1 級 ‧ 2008-08-08 09:29:46

老闆已經規定,那應該按照規定來處理,如果其他同仁反彈,我建議準備一到兩台電腦可以使用規定以外的事,例如上網等..,放在大家都可以看到的地方

30
jamesjan
iT邦高手 1 級 ‧ 2008-08-08 09:31:54

你們沒有想過利用 Digital Rights Management(DRM) 相關軟體來保護公司重要的文件與檔案?找一下國內有相關的廠商有代理這樣的產品(e.g 中華數位 可以找 Hans)

jerry640 iT邦新手 1 級 ‧ 2008-08-08 10:28:44 檢舉

jamesjan大這個方法最好,但是也最花錢,樓主看看公司能不能負擔吧!

john651216 iT邦研究生 1 級 ‧ 2008-08-08 10:32:00 檢舉

傳統產業通常對這類東西接受度不高

30
echen688
iT邦研究生 1 級 ‧ 2008-08-08 11:54:37

誰的主意誰擔責任,這就是責任制的奧義。
IT 只是搞服務的,不是朝廷的鷹犬或是東、西廠.... XD

所以說,請往後站一步,讓兩方去交談或交火吧,別夾在中間成了雙方箭靶.....

richieleetw iT邦研究生 1 級 ‧ 2008-08-08 15:34:28 檢舉

深有同感,誰說了算,聽誰的
有意見自己去溝通,命令下來再執行

japues iT邦高手 2 級 ‧ 2008-08-09 08:28:58 檢舉

哈~~我的作法是把老闆的交辦事項
打一份聯絡書,給老闆簽好後覆印給各部門主管
有問題的叫他們直接找老闆

18
klm2242
iT邦研究生 1 級 ‧ 2008-08-08 12:57:51

IT人就站中間吧那有這麼多時間去管那些事~
若有人不爽
你就說你只是執行上司所下達的命令!!
其他人若對這規定有任何意見~
請自行去協調,協調好後,我再做下一步動作~

http://blog.pixnet.net/landykin

12
macosorawate
iT邦新手 2 級 ‧ 2008-08-09 11:15:17

還是照一般的習慣處理比較順手.WATER.0911115854.( macosorawater@pchome.com.tw ). http://www.macosorawater.pchome.com.tw .( pchome online ).小禮.Thanks.11111111 .

14
folkdancer
iT邦新手 3 級 ‧ 2008-08-11 10:32:22

這種狀況,如果是我會告知總經理這種狀況,然後請這些高階主管一起來開會,討論適合的處理方法
當然在此之前最好將該部門上網及使用大量外接儲存裝置的風險評估給做出來[不要問我怎麼做,這部份最好能去上課,ISO27001 或BSI 5599 都有,BCM 也會提到,TWNIC 之前有開課]
到時候將這些資料提供給高階主管,並說明利害關係,並提出可供考慮的建議,最後再由高階主管們去決定要怎麼做,當然你也可以先與總經理討論出最適合的內定方案
一方面進行了良好的事前溝通,這部份很重要,當資安政策執行時,該部門主管的了解程度會直接影響你執行的阻力,一方面也達到了總經理的要求
另外提供的建議是,在執行這個資安政策前,最好由該部門高階主管先在部門內部進行溝通,再由資訊部門進行說明會,加強同仁對資安的共識,有辦法的話記得要訂出懲處規範
最後再加上一些文件安全管控的軟體[或加密軟體],基本上應該可以做到積極的資安了

24
rtp0002
iT邦新手 4 級 ‧ 2008-08-11 11:50:47

你這類問題很常見拉,你們公司會有這種局面表示你們資訊安全才剛剛起步,資訊安全不僅是IT部門的事,應該將他看成公司營運的策略之一,從這角度來處理你這個問題就比較簡單了,也不會讓IT兩面不是人,不過說起來容易,做起來可沒那麼輕鬆,因為要將資訊安全的概念融入到公司的經營策略中,並且讓公司所有人都了解並切遵行不違背,這就不失一朝一夕可以達成的,也不是單單一個IT部門能做的。
你們公司出現大陸的主管不願意奉行公司資料保護的政策,意味著你們公司在管理階層上對於落實資安的體認與溝通不足,所以問題出在經營管理面不在執行面。IT所做的事是執行面的工作,當管理面未盡其責卻要求底下人執行工作,結果就是你現在遇到的情況了,不過這種情況要處理也是體麻煩的,因為你們資安剛起步,想必無法做到單純報告台灣總經理就能獲得解決,說不定還會被總經理認為辦事不力。此外你們大陸廠總經理也不見得喜歡跟總部對著幹,所以你在進行資訊安全產品部屬或是施行控管政策前,若是能先溝通雙方的意見,如何達成此資料保護的目標(台灣總經理的期望策略),以及如何兼顧工作效率與方便性(大陸廠總經理的期望策略),取得雙方的共識與妥協的結果後你們IT再執行所遇到的阻力就會比較小了,你也就不會煩惱兩面不是人了。事情說起來簡單,做起來可不容易,因為牽涉到人的因素,如果你只是個工程師,這工作還是丟給你老闆去做比較好,管理問題還是讓管理層去處理。
如果貴公司遇事不明理,又無法溝通,老闆想速成資安,遇到這些人的問題不能處理掉,責任又都落在IT時,那麼你可能得想想,所要做的資訊安全事不是可能只是表象,是否淪為公司內鬥的工具,還是只是做做面子等等,然後也只能選邊站囉! 不然就只能將問題擱著等上位來催,有催有動、不催不動,畢竟大家都是長官,得罪誰都是小命不保。
還有種做法就是乾脆承認自己不行,外來的和尚比較會唸經,把問題外包給資安顧問公司,黑臉給他們做,你就誰也不得罪啦!大家還可以砲口一致每天消遣一下顧問公司,增進同事情感。不過這種做法要花錢,老闆聽了一定不爽,在無法兼顧滿足上意與達成工作目標時,你們也只能跟上位承認不懂請求外援了。老闆同意自然你好做人,不同意至少你先說你不會,做得不理想也不會有太多責難。
大多數公司在進行資安導入時,都會遇上員工、地區分公司的抗拒,會出現這種情況都是安全觀念的宣導不足所致,解決方法當然就只有多宣導而以,以導入BS7799為例,都事先得請公司最高階層授權訂下安全政策的標語,用來對內與對外宣告做好資訊安全的決心,以前聽說台積電董事長還曾拍過一個宣導影片,對全公司的員工宣告{不做資訊安全就是與我為敵},上位有此決心與覺悟,想必做起來會順很多吧!
願力有多大,成就就有多大!

16
lcjhfr
iT邦研究生 1 級 ‧ 2008-08-11 16:46:20

其實這個問題很簡單,你只要想,誰是發薪水給你的人,當然就聽誰的.而且我覺得你們老闆的觀點是對的,防止資料外洩是非常重要旳.你們可以建議老闆導入防水牆,原則上封鎖外接儲存設備,只有被授權人才可寫出,而且寫出的資料也被加密了,這樣根本就不用怕資料外洩了.
上網也可受控管,建議你使用XFORT及XGATE,因為我們公司有用,效果不錯哦.不過貴了一點就是了.

echen688 iT邦研究生 1 級 ‧ 2008-08-12 13:42:01 檢舉

何謂防水牆啊?英文術語是啥?小弟我才疏學淺,不識得這種最新高科技,可否賜教一二?

ccc778811 iT邦新手 5 級 ‧ 2009-05-12 10:45:44 檢舉

只要能不要被調到大陸...就聽台灣總經理的話就好了= ="

我要發表回答

立即登入回答