請問這點各位大神是如何做到強制公司同仁遵守並不會有抱怨的情況?
分享我目前遇到情況
目前運行後大家叫苦連天,說要常常換密碼真的太麻煩
而且還有人常常會忘記自己設定的密碼...
解決方式:資訊人員像個哈巴狗一樣,一個一個去安慰公司同仁。
因為驗廠的老師特別叼我們這一點,也無法不做 (T_T)
已邀請的邦友 {{ invite_list.length }}/5
世界在進步!
大家都要跟著進步!
ISO27001 早就跟著進步了!
誰說只能用 "用戶帳號三個月要更換密碼" 來擾民呢?
也可以用 OTP(一次性密碼)/reCAPTCHA(圖形驗證) 等等 二次認證啊!
試著採用新習慣 來 解決 舊習慣!
「三個月」定期更換密碼不是ISO 27001的要求,ISO 27001-2提到的是:"Enforce regular password changes and as needed."
有定期更換密碼的需求,通常我會建議在安全的前提下,讓重設密碼的流程簡化,而且讓使用者自行處理,這樣不用打電話給IT人員(因為在電話上一定會抱怨)。
例如AD帳號已經有連Azure的話,使用者通過Microsoft Authenticator驗證後就可以自己改密碼,
進這公司,之前連AD都沒有,一開始要導AD進來,每三個月要換密碼且要複雜密碼,被全公司罵,
連資訊的老臣們都在罵沒事找事做,
為了資安還是硬上,被罵就被罵了,反正要來改革的,就是要準備被罵,
換EIP被罵、換ERP被罵、導智慧工廠被罵、連換新電腦給人都可以被罵,真樹神奇了,哈哈。
當資訊有個好處是可以修練自己的EQ,就當在練功吧。
iThome鐵人賽
看影片追技術