歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
畫虎畫皮難畫骨
2007 / 01 / 08
魯智深
Ray,我是Steven,你能不能幫個忙?我以前的老闆,他說有一些資安的問題想找人請教,我覺得你是最佳人選,幫我做個面子,拜託啦!你什麼時間方便,我請他打電話給你,先謝了。改天中午再請你吃飯。」
Steven像機關槍般把話講完,他是我們程式設計的主管,心想這種順水人情何樂而不為,更何況他最近在程式開發上面也配合資安做了不少的修正。話筒才剛放下,電話鈴聲又響起來了。
「請問是魯先生嗎,很冒昧打擾您,我姓王,Steven是我以前同事,不知道可不可以麻煩您…。」
「Steven有和我說過,請問有什麼問題?」我簡短的回覆著。
「那我就不客氣了,是這樣我們稽核最近給我們寫了一個缺失,說我們的作業規章都沒有更動,他希望我們能夠補強,因為這方面過去沒有經驗,所以想和您請教。」
「喔! 那你可能要先看一下現行的作業流程,然後看有那些部分可以調整或需要加強的…。」
「這樣子太慢了,那我就開門見山地說,Steven說你以前是資安顧問,是不是能提供一些其他家的範本,這樣子改一改比較快。」
「對不起!我離開顧問業有一些時間,恐怕有的資料與現況已經不相符了。」我委婉的回答著。
「那沒有關係,要不然你就拿你們公司現有的文件給我就好了。」
「這…。」
「放心了,我不會講出去是你提供的,或是你把公司的名稱,以及其他一些比較機密的部分遮住,這樣就不會知道是你們公司的,最好是包括開放系統的管理、個人電腦管理,對了!網路的部分一定要,如果你們公司還有資安政策以及資訊治理的話,那就順便一起提供好了,再幫我整理一下,我過兩天再打電話給你。」
寫管理辦法不是第一次了,即使到現在,每一次修訂或撰寫新的文件,我一定要把現有的章則再看一遍,再去翻翻參考書,同時還要到網路上去找尋一些相關資料,更重要的是一定要明瞭現行的作業流程,而不是去套一堆官樣文章,或是寫一些完全不切實際的控管。有的時候還要怕字義被曲解,想想實際上可不可以執行,甚至連用字的前後一慣性都要統一。或許是沒什麼效率,反正寫了之後也很少有人看,甚至還有人說作業章則要寫的越模糊越好,這樣在實際運作時才有解釋的空間,不會被自己寫個規範綁死。也有人主張寫的越多,就給稽核更多寫缺失的機會,還是實際運作比較重要。
對於程序文件,許多人一直以來都是抱持著只要有就好的心態,從以前「數大就是美」的態度,認為把所有相關聯的文章都彙總在一起,或是到近期的「中學為體,西學為用」的想法,套用西方的方法論或架構,然後再把現有的章則重新分類一下,或是刻意強調幾階層的文件,無論印刷編排再精美,都是把編寫作業章則的目的給曲解了。要能符合組織的現況,同時在實務作業上能執行的作業規章,雖然沒有華麗的詞藻,或是清楚的架構,但整體而言一定有很好的評價。建立一份屬於自己資訊單位的章程,絕對是資訊安全作業成功的奠基石。
魯智深
最新活動
2024.04.10
【資安學院】4/10 身分識別與存取控制防護實務
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰
趨勢科技示警LINE輔助認證詐騙手法並建議5大社群隱私防範守則
趨勢科技:台灣需留意Earth Estries駭客組織,鎖定政府機關與科技業
思科完成收購Splunk
Google推出實時網址檢查 升級安全網頁瀏覽功能防範更多釣魚網站
資安人科技網
文章推薦
報告:零日漏洞利用率激增,商業間諜軟體是主要利用者
TheMoon惡意軟體變種肆虐! 超過 6千台ASUS 路由器已被感染
中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位