先感謝各位前輩賜教。
小弟遇到一個問題,小弟是公司的 AD 系統管理員,有時會接到 User 打電話來說忘記密碼要求協助重設密碼。
主管要求 User 上電子申請單來留存證據,以證明 User 真的有申請重設密碼這件事。主管的要求是要留下可被稽核的紀錄,可以理解。但遇到的問題是 User 直接打電話來時通常已經是 User 正要開始上班時,如果按照主管要求的等申請單流程跑到小弟手上時在重設密碼的話,時效性小弟覺得略顯不足,會耽誤到 User 的時間。
想要請教各位前輩的經驗,在遇到這種 User 要求協助重設密碼的情境會如何處理?
小弟有想到幾種解決方案:
再次感謝各位前輩的賜教,謝謝。
已邀請的邦友 {{ invite_list.length }}/5
請先釐清, 表單流程的目的是哪一種:
1.事後可以稽核?
2.事前可以審核?
這裡要提出來的問題是:
1.重設密碼這件事情, 是否需要被主管審核?
2.由主管先審核再執行的目的是甚麼?
3.審核時能不准她重設嗎? 若每次都准, 為何要審?
4.事前審 vs. 事後稽 兩者各會有甚麼風險?
5.兩者發生風險事件的機率, 分別是多少?
6.主管應該要管理商業問題? 還是技術問題?
很多企業在設計流程的時候, 常常是:審稽不分, 以為流程走到你手上, 你就一定需要給一個 Yes or No 才能繼續往下走; 卻忘了: 有很多事情, 連審查都不需要, 你要的只是一個紀錄, 一個可以事後追蹤的紀錄, 那個正好就是稽核的機制.
如果你要的不是行政審, 而是技術審 (例如: 判斷是否有人惡意重設密碼?), 技術問題應該要讓流程走到技術權責人員手上 (不一定都是技術主管審, 安全人員也可以審這個題目), 而不是讓:管行政商業決策的主管, 來卡一個她專業上不懂的技術項目, 最終只能盲目地放行, 完全失去審查的意義.
資安跟勞安大家都覺得麻煩缺乏時效性,但是出事的時候你們才會知道資安跟勞安的重要,依照稽核的角度來看,跟密碼相關的是權限問題所以才需要被審核。個人建議依照維持目前的申請單流程。流程是:User -> User主管 -> 你的主管 -> 你->結案,AD你改新密碼之後,選擇使用者下次登入必須更改密碼的選項就好了。稽核的時候組態變更你有了紀錄,到時候這個User變更密碼之後造成資料外洩等後續問題基本就跟你無關了,因為你要照公司的流程走。人在江湖走,哪有不挨刀,但是要自己學會保護自己。
2.申請單流程簡化。流程是:User -> 小弟我 -> 結案。
3.申請流程調整。流程是:User -> 小弟我 -> 小弟的主管 -> User 的主管 -> 結案
↑↑↑↑↑↑↑↑↑↑↑↑↑↑
你明明就只是一個系統管理員,不是做決策(揹責任)的人,你幹嘛挖洞給自己跳呢?
iThome鐵人賽
看影片追技術