iT邦幫忙

1

iso27001要求用戶帳號三個月要更換密碼

iso

請問這點各位大神是如何做到強制公司同仁遵守並不會有抱怨的情況?

分享我目前遇到情況
目前運行後大家叫苦連天,說要常常換密碼真的太麻煩
而且還有人常常會忘記自己設定的密碼...

解決方式:資訊人員像個哈巴狗一樣,一個一個去安慰公司同仁。

因為驗廠的老師特別叼我們這一點,也無法不做 (T_T)

看更多先前的討論...收起先前的討論...
iso27001
dragonH iT邦超人 5 級 ‧ 2020-08-28 11:21:50 檢舉
ad
froce iT邦大師 1 級 ‧ 2020-08-28 11:30:01 檢舉
安慰啥?資安他要負責的話那他就可以不用改。
FrankFuFu iT邦新手 5 級 ‧ 2020-08-28 11:40:30 檢舉
我家公司也是三個月改一次,該改就改,不然就有風險,出事他擔?
我們家做資訊比較強硬,規定什麼就是什麼
FrankFuFu iT邦新手 5 級 ‧ 2020-08-28 11:41:06 檢舉
不然你以後使用上有什麼問題就不要找我 (大概是這樣)
ckp6250 iT邦好手 1 級 ‧ 2020-08-28 12:00:28 檢舉
有沒有那種程式設計方式?
逾期不改,舊密碼就不給登入。
froce iT邦大師 1 級 ‧ 2020-08-28 12:36:54 檢舉
@ckp6250
最簡單就是接AD然後用GPO。
感謝大家給的意見
runan5678 iT邦研究生 5 級 ‧ 2020-08-28 16:31:28 檢舉
公司規範這樣寫,請有問題的員工找公司的大人..
阿偉 iT邦新手 2 級 ‧ 2020-08-29 08:32:26 檢舉
正常吧,公司開機密碼本來就不適用個人常用的密碼
會意外很多人都是
As123456
Bs123456
Cs123456
三組再換
alexpon iT邦新手 5 級 ‧ 2020-08-29 21:01:06 檢舉
貴司高階 要求導入 27001 , 資安管理會議必要的公告,高階的支持才是導入的堅實後盾基礎
cheng1279 iT邦新手 5 級 ‧ 2020-09-01 14:59:32 檢舉
就改成新密碼後,馬上在改回舊密碼.
3
㊣浩瀚星空㊣
iT邦超人 1 級 ‧ 2020-08-28 12:10:31
最佳解答

安慰??安慰啥?
只要需要強制就一定會有抱怨,這是不變的道理。
不可能有一種規定能符合所有人的要求。

要就乖乖遵守,不要就打包走人。

很簡單的道理。

太喜歡大神您講話了

0
youthpig85
iT邦新手 5 級 ‧ 2020-08-28 12:19:16

資訊人員要硬起來,公司規定,請主管強制列入公司規範。

感謝您

1
dscwferp
iT邦高手 1 級 ‧ 2020-08-28 13:48:38

世界在進步!
大家都要跟著進步!
ISO27001 早就跟著進步了!
誰說只能用 "用戶帳號三個月要更換密碼" 來擾民呢?
也可以用 OTP(一次性密碼)/reCAPTCHA(圖形驗證) 等等 二次認證啊!
試著採用新習慣 來 解決 舊習慣!

看更多先前的回應...收起先前的回應...

reCAPTCHA(圖形驗證) 等等 二次認證
可以過 ISO27001 ?!

froce iT邦大師 1 級 ‧ 2020-08-28 14:17:21 檢舉

OTP應該可以。只是要用手機之類的收比較麻煩。
CAPTCHA...頂多只能證明登入的是個人。

再次感謝 froce 大神

tonykw iT邦新手 2 級 ‧ 2020-08-29 16:01:10 檢舉

OTP可以,但是我上次被刁說如果是自己手機沒設定保護,不就等於大家拿到你手機就可以登入,被記觀察事項

1
wtkao
iT邦新手 5 級 ‧ 2020-08-29 09:07:26

「三個月」定期更換密碼不是ISO 27001的要求,ISO 27001-2提到的是:"Enforce regular password changes and as needed."

0
CyberSerge
iT邦好手 1 級 ‧ 2020-08-29 22:30:55

有定期更換密碼的需求,通常我會建議在安全的前提下,讓重設密碼的流程簡化,而且讓使用者自行處理,這樣不用打電話給IT人員(因為在電話上一定會抱怨)。

例如AD帳號已經有連Azure的話,使用者通過Microsoft Authenticator驗證後就可以自己改密碼,

0
zxman1234
iT邦新手 5 級 ‧ 2020-08-31 16:58:22

公司規定,你管其他人說甚麼,做好自己的事就好了...

0
humming
iT邦研究生 3 級 ‧ 2020-09-03 17:23:59

進這公司,之前連AD都沒有,一開始要導AD進來,每三個月要換密碼且要複雜密碼,被全公司罵,
連資訊的老臣們都在罵沒事找事做,
為了資安還是硬上,被罵就被罵了,反正要來改革的,就是要準備被罵,
換EIP被罵、換ERP被罵、導智慧工廠被罵、連換新電腦給人都可以被罵,真樹神奇了,哈哈。

當資訊有個好處是可以修練自己的EQ,就當在練功吧。

您懂得 T_T

我要發表回答

立即登入回答