ISO27001 密码问题咨询

iso27001

jiangli 2022-04-29 01:17:28 ‧ 1397 瀏覽

分享至

公司要求设定开机密码，但是员工不设置的话，违反的是哪个条款了？

看更多先前的討論...收起先前的討論...

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2022-04-29 01:24:11 檢舉

没有违反任何条款，除非公司有自行订制条款。
这是很奇怪的问题。

jiangli iT邦新手 5 級 ‧ 2022-04-29 01:39:54 檢舉

抱歉，问题可能没说的明白，公司有指定访问控制程序文件，里面有定义开机密码必须设置，但是在审核过程中发现有员工并没有设置开机密码，这种情况之下，如果开具不合格条款的话，哪条条款比较合适？谢谢你的回答

jiangli iT邦新手 5 級 ‧ 2022-04-29 01:42:03 檢舉

我能想到的是A.9.3.1，但是感觉不太对?

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2022-04-29 02:01:30 檢舉

認真來說，要看你站的角度為何。才能說是哪個條款。
公司來說的話。比較偏向於A7條款。
因員工問題視為公司訓練不足。

A9的話視為單一安全控管為主。

就 ISO27001 來說，並沒有特別針對員工違反事項做規範。
任何員工違反的事項，全都視為公司規範不足或是訓練不足為主。

當員工不設定密碼的情況下。本身並不違反相關條例。因為那是企業的責任。
當然了，公司可以A7規範。來定制相關懲處條例並執行。

我會說你的問題很奇特的原因是。如果你是針對員工並指出違反 ISO27001 條例的說法。本身就是錯的。
畢竟 ISO27001 是針對企業公司的定制規範。並不針對企業內的員工。
當然在A7規範裏。你是需要定制一套規範條例來管理人力相關資源。
也就是說單純用ISO27001來看待員工違反事項是錯的。

但如果是用ISO27001內定制的公司規範條件來看待員工就是對的。
但那是員工違反公司規範條款。而不是違反ISO27001條款。

不知道這樣說明是否明白呢??
我忘了換成簡體字了。希望你看得懂。

froce iT邦大師 1 級 ‧ 2022-04-29 08:31:08 檢舉

簡單一點說，ISO27001只是幫你訂出整個資訊管理系統的框架，並且訂出"最低"的資安標準，是你訂出的三級文件、控管、書面規定要符合ISO27001，然後員工才去符合那些三級文件、控管、書面規定。

你問的這種狀況是要看你們公司的書面規定有沒有規定到這種狀況，ISO27001不會管到這麼細。

拿寫程式來說，ISO27001的腳色就跟VUE這種前端框架一樣，本來你訂規定就跟直接寫js一樣，天馬行空，過了框架(ISO27001 / VUE)，就產生了一些約束，並且確保了你產出(規定 / code)的最低品質。