我們公司在進行內部稽核時, 稽核問了我們IT一個問題:你們如何管制DBA的行為? 知不知道DBA在AS400中下了什麼樣的SQL command? 是否有使用者提出需求才進資料庫作業? 有沒有可能是他自己高興進去就進去? 要如何防範萬一他是進去竊取資料呢?
我們回答說每次DBA進去資料庫執行SQL command, DBA都會把所下的command與執行結果用print Screen做為工作的證據, 但稽核就問那他如果做壞事, 怎麼可能還Print screen留下證據? 問得我們不知如何回答.
請問是不是有什麼設定可以強制log所下的SQL command? 或是有什麼地方可以看到DBA所下的command?
If you have an IT auditor, he/she should know the "best practice" to trace the journal-log in AS/400.
你帶他進去並在場監看, 執行的語法己經事先審核過了。
稽核會說事先審核過是一回事,但到底有沒有依照指示去做呢? 現場監看就只能證明"那次"有, 總不能每次要做的時候,就叫稽核來旁邊看吧? 我們的稽核沒那麼好應付
[他]是指DBA人員喔~
事情是這樣的發展的~
公司請了一個DBA人員來管理資料庫, 為了怕DBA人員亂來, 又請了一個經理來管理DBA人員, 但是經理以太忙的理由, 所以又請了一個組長來跟DBA人員, 組長的職責是看DBA的SQL語法, 而且要跟著且看著DBA人員操作系統, 進機房時, 機房管理人員也一起進去。
所以每次要進機房操作系統時會有三個人, DBA、組長、機房人員。
組長要盯著DBA, 機房人員盯著他們二個。
稽核應該會很高興的回去, 然後老闆氣急敗壞的想要縮編人事。
以上~