會計師資訊查核要求更改防火牆密碼

網路管理

wsa5555 2024-01-31 15:10:12 ‧ 2984 瀏覽

分享至

我是上櫃公司,如題會計師資訊查核要求修正FIREWALL密碼強度與定期更新密碼,請問這樣合理嗎?因為以前都不太看這些東西,只注重看網域主機與ERP系統.所以我們需要照辦嗎?謝謝各位大神提供寶貴的意見.

看更多先前的討論...收起先前的討論...

PIZZ iT邦新手 3 級 ‧ 2024-01-31 15:13:38 檢舉

你可以問他這個項目算是缺失還是意見啊...

缺失就要改善，意見就看貴司接不接受和有什麼理由說服他不接受這意見

不過防火牆這種重要的"資安"系統，管理員密碼真的不用高強度+定期更新嗎 XD

小處成就大事 iT邦研究生 3 級 ‧ 2024-01-31 15:15:53 檢舉

很好奇你們公司的防火牆密碼強度有多弱才會被挑出來要求改善。

froce iT邦大師 1 級 ‧ 2024-01-31 16:25:28 檢舉

這這麼好解決的事，當然是照辦啊...
還是你敢硬回去說老子ˇ就是不改?

BKY iT邦研究生 2 級 ‧ 2024-01-31 17:12:14 檢舉

之前在上市櫃公司的時候
每次會計師來稽核都像是在打仗一樣
還好現在已經脫離苦海

wsa5555 iT邦新手 4 級 ‧ 2024-01-31 17:22:49 檢舉

了解,謝謝各位寶貴的意見,單純好奇大家是否都是同樣的標準被要求,再次謝謝大家.

mathewkl iT邦高手 1 級 ‧ 2024-02-01 07:57:44 檢舉

如果你公司有驗過ISO27001可以給會計師看，可以避免被重複驗，雖然27001要求的會比會計師還多XD

nerv80736 iT邦新手 4 級 ‧ 2024-02-01 13:16:41 檢舉

鴻海子公司的借鏡，你覺得沒必要?

ahwachen iT邦新手 4 級 ‧ 2024-02-01 13:22:10 檢舉

您都說了，自身是［上市櫃］公司
會計師，打個噴嚏，你家日子難過，你能擔當的起？
照做，就是了，沒有對錯，稽核單位就算是電腦外行，也沒轍。
他們也只會拿著［公開的ＳＯＰ］要求各單位，各部門，落實。

tonylin8 iT邦新手 5 級 ‧ 2024-02-03 15:54:45 檢舉

定期更改防火牆密碼只是一個開始而已，ISO27001的版本內容一有更新。會計師就會發相關要求貴司進行修改並定期內部稽核。Good Luck!

wlhfor1974 iT邦新手 3 級 ‧ 2024-02-21 16:31:21 檢舉

為何你覺得這樣不合理呢?

yk2017 iT邦新手 5 級 ‧ 2024-03-06 14:46:11 檢舉

很合理, 他的要求有依據
firewall是資安重要設備, 是駭客焦點, 把守天下第1關, 你忽視了就變成吳三桂了, 花點時間配合, 降低高風險, 值得喔;
否則你的網域主機與ERP很快就淪陷了..

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

8 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2024-01-31 16:23:20

上櫃公司要比照辦理
會有稽核單位稽核

回應
分享
檢舉

登入發表回應

Ray

iT邦大神 1 級 ‧ 2024-01-31 16:37:23

上市上櫃公司資通安全管控指引:

第二十一條 建立使用者通行碼管理之作業規定，如：預設密碼、密碼長度、密碼複雜度、密碼歷程記錄、密碼最短及最長之效期限制、登入失敗鎖定機制，並評估於核心資通系統採取多重認證技術。

你們該不會沒看過這個吧? 2023 年底前要建置完成耶....

回應 1
分享
檢舉

wsa5555 iT邦新手 4 級 ‧ 2024-01-31 17:26:28 檢舉

謝謝大神提點,雖然人手不夠,但我們還是有遵守指引.我會要求把資安列為優先辦理事項.

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2024-01-31 22:46:50

我是上櫃公司

上櫃公司就是要依照稽核報告處理修正，唯一差別就是缺失還是意見,還有需要多久來改正

回應
分享
檢舉

登入發表回應

尼克

iT邦大師 1 級 ‧ 2024-01-31 23:06:43

其實，有會計師的稽核才是好事，有一些你無法改善的缺失，剛好可以迎刃而解。
我會認為內/外部稽核是正向助益。

回應
分享
檢舉

登入發表回應

by2048

iT邦高手 1 級 ‧ 2024-02-01 08:43:18

密碼複雜度/長度/定期更改--初階
啟動雙因子認證-- 進階

回應 2
分享
檢舉

wsa5555 iT邦新手 4 級 ‧ 2024-02-01 09:03:34 檢舉

謝謝您,我們公司現階段適合初階.

by2048 iT邦高手 1 級 ‧ 2024-02-01 10:31:35 檢舉

就算初階這要看設備是否支援一些自動檢測的機制,否則應都只審書面(管理辦法有寫到就算做到了)

登入發表回應

marius

iT邦新手 2 級 ‧ 2024-02-01 09:27:48

應該是VPN的連線密碼吧，改用雙重認證就可

回應
分享
檢舉

登入發表回應

sucksemil

iT邦新手 2 級 ‧ 2024-02-01 14:44:59

我們只是個興櫃公司，會計師事務所稽核就要求
1.密碼最少八碼
2.三個月必須修改一次
3.密碼不能跟前兩次一樣
4.密碼需合雜湊性(符號+大小寫+數字)
5.密碼輸入超過3次鎖定30分鐘

所以我相信上市櫃公司不可能比上述簡單吧

回應
分享
檢舉

登入發表回應

小湯

iT邦好手 1 級 ‧ 2024-02-01 17:36:51

需要喔!
且每年都會稽核，包括FIREWALL更新也要有紀錄。

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙