iT邦幫忙

0

ISO27001 密码问题咨询

  • 分享至 

  • xImage

公司要求设定开机密码,但是员工不设置的话,违反的是哪个条款了?

看更多先前的討論...收起先前的討論...
没有违反任何条款,除非公司有自行订制条款。
这是很奇怪的问题。
jiangli iT邦新手 5 級 ‧ 2022-04-29 01:39:54 檢舉
抱歉,问题可能没说的明白,公司有指定访问控制程序文件,里面有定义开机密码必须设置,但是在审核过程中发现有员工并没有设置开机密码,这种情况之下,如果开具不合格条款的话,哪条条款比较合适?谢谢你的回答
jiangli iT邦新手 5 級 ‧ 2022-04-29 01:42:03 檢舉
我能想到的是A.9.3.1,但是感觉不太对?
認真來說,要看你站的角度為何。才能說是哪個條款。
公司來說的話。比較偏向於A7條款。
因員工問題視為公司訓練不足。

A9的話視為單一安全控管為主。

就 ISO27001 來說,並沒有特別針對員工違反事項做規範。
任何員工違反的事項,全都視為公司規範不足或是訓練不足為主。

當員工不設定密碼的情況下。本身並不違反相關條例。因為那是企業的責任。
當然了,公司可以A7規範。來定制相關懲處條例並執行。

我會說你的問題很奇特的原因是。如果你是針對員工並指出違反 ISO27001 條例的說法。本身就是錯的。
畢竟 ISO27001 是針對企業公司的定制規範。並不針對企業內的員工。
當然在A7規範裏。你是需要定制一套規範條例來管理人力相關資源。
也就是說單純用ISO27001來看待員工違反事項是錯的。

但如果是用ISO27001內定制的公司規範條件來看待員工就是對的。
但那是員工違反公司規範條款。而不是違反ISO27001條款。

不知道這樣說明是否明白呢??
我忘了換成簡體字了。希望你看得懂。
froce iT邦大師 1 級 ‧ 2022-04-29 08:31:08 檢舉
簡單一點說,ISO27001只是幫你訂出整個資訊管理系統的框架,並且訂出"最低"的資安標準,是你訂出的三級文件、控管、書面規定要符合ISO27001,然後員工才去符合那些三級文件、控管、書面規定。

你問的這種狀況是要看你們公司的書面規定有沒有規定到這種狀況,ISO27001不會管到這麼細。

拿寫程式來說,ISO27001的腳色就跟VUE這種前端框架一樣,本來你訂規定就跟直接寫js一樣,天馬行空,過了框架(ISO27001 / VUE),就產生了一些約束,並且確保了你產出(規定 / code)的最低品質。
harrytsai iT邦新手 1 級 ‧ 2022-04-29 08:59:15 檢舉
這跟員工沒有關係,這跟資安有關係,你把事情搞混了
不設密碼,就代表任何人都可以開機直接進他的桌面刪除資料,如果再搭配上SMBV1,電腦如入無人之境,從網芳就可以直接讓他所有檔案都被加密再也打不開,付BTC也打不開
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
熊熊工程師
iT邦研究生 1 級 ‧ 2022-04-29 09:27:33

或許可以參考一下 A6 或 A10 這兩條

1
PPTaiwan
iT邦好手 1 級 ‧ 2022-04-29 09:53:06

有請顧問嗎?? 有請顧問輔導你們會比較快,進行內外稽也比較了解問題所在。

ISO 27001 最重要的是以 ISO 精神你們有去落實所有的動作嗎??

例如,自建機房 ...

  1. 溫濕度有一去監測落實嗎?? 當發生問題時,誰管理?? 如何改進並修正相關錯誤(超過就是錯誤),內稽有去管理嗎??
  2. 軟體研發有落實相關步驟嗎??

有顧問就會幫你們盯,並要去落實所有 ISO 訂出來的行為?? 修正這些就可以好通過,但...一年換證一次,去年所做的項目必須全部拿出來一一檢示,就可能會被踢喔..

jiangli iT邦新手 5 級 ‧ 2022-04-29 10:49:38 檢舉

不好意思,抱歉,昨天发的太快,没注意措辞,谢谢你的回答。

0
Benson
iT邦新手 5 級 ‧ 2022-04-30 10:02:20

你好
關於此問題
如為單純詢問iso27001標準條款的部份
因為個人不遵守公司規定設置密碼
應為違反A.9.3.1於使用秘密鑑別資訊時,應要求使用者遵循組織之實務規定

jiangli iT邦新手 5 級 ‧ 2022-05-01 17:15:59 檢舉

谢谢你的回复

0

因为个人不遵守公司规定设置密码
应为违反A.9.3.1于使用秘密鉴别资讯时,应要求使用者遵循组织之实务规定

1
evolyobhh
iT邦新手 5 級 ‧ 2022-05-03 14:05:04

員工”本身不願意“設置公司規定的密碼原則的個案
比較會落在本文 7.3認知,強化員工教育訓練
A.9比較在說制度沒有說寫做一致,或是沒有具體的補償性措施去防阻這類風險
責任回歸到控管人員的沒落實,而不是因為員工不配合會開到這發現.

0
leechongnan
iT邦新手 5 級 ‧ 2022-05-03 16:40:32

可能還不熟悉ISO 27001
ISO 27001→框架
公司必須依照此框架寫出屬於你的公司的程序書
員工遵守此份程序書

員工不遵守→違反程序書→視公司獎懲制度而訂
公司程序書沒寫到→違反ISO 27001→不通過此驗證

我要發表回答

立即登入回答