Re: [請益] 公司要建資訊安全環境

看板MIS (IT資訊人員)作者kujo (Pisces)時間8年前 (2016/11/20 15:10)推噓3(3推 0噓 14→)

留言17則, 6人參與討論串3/3 (看更多)

小弟我在前些日子從製造業轉到高雄某影像製作相關的公司工作針對你的問題一些小建議如下：對內：(內控機制) 1. 還是趕快找到資訊工程師協助資訊安全的建置及導入日後在資訊系統的維護上也不需要依靠廠商 2. 貴公司的各個工作流程及資料流，可以先建置文件或流程圖有助於外部廠商或內部工程師瞭解公司運作及資料流轉的過程 * 以製造業的流程來看就進料/領料、製造過程及製作的良率、半成品/成品存放、進貨/出貨等的作業流程以影像業為例：收到毛片(進料)，是電子檔還是HD，流程要怎麼走毛片或鏡頭後續如何進到file server上存放到系統上後，HD如何歸檔管理，後續檔案若有問題，借用的管理(領料) 等等之類的.... 3. 因為你們有台灣跟中國的工作地點，但不變的是都是同家公司和老闆所以內部作業規範和禁止事項都可以先開始規劃和宣導及教育訓練對外：(廠商建置) 1. 當有內部的流程時，這樣廠商才能針對你們的需求進行建置佈署 2. 如果你們若有認證的規格或條文的需求，也可以將文件提供給廠商這樣也方便他們不走錯方向 3. 每個行業對資訊安全的要求都不同，但幾個大方向都是差不多的 - 任何行為都要有 Record/Log - 管理者權限和使用者權限需分開 - 系統與網路的管理 (集中化) - 網路連結的權限 - 系統/檔案存取的權限 - 實體安全的管理 - 備份/災難復原以我的例子：　剛到公司的第一天就被通知要協助認證CDSA (澳洲的影視認證) CDSA Link：http://0rz.tw/OOKWa 二個星期後原廠要從澳洲來audit，然後大老板嚴正聲明這個認證一定要過但是，公司內部在內控流程及管理上，其實都沒有依據或文件所以在內控管理上花了不少時間在重新定義和規劃最後是大老板說了算，所以現在內部流程其實還是有問題所以出現了一堆例外管理，也都是大老板一句話，內控的流程就又不同了而在資訊系統嘛，看老板的態度及提供的資料因為稽核的內容其實相去不遠只是看公司有沒有提供資源或是費用讓系統或管理做的更好不過這還是需要跟內控做呼應因為沒有太多資源，所以我只能就現實狀況做調整最多說服老板買了一台L3 switch後，才勉強符合CDSA的某條文其他的，就是把AD相關架起來，用GPO去管理Windows client's USB及使用者設定至於MAC 就真的只能例外管理 MAC都親信或主管在用，鎖了又會該該叫說太多會變抱怨，不是很好... 這是我在這間公司三個月來的工作經驗，希望對你在尋求對外合作伙伴時能有些幫助.... ※ 引述《vavay (愛樺愛裴)》之銘言： : 有看到各位大大的建議 : 我是行政職根本不懂資安 : 在台灣有找了廠商 : 但是目前沒有找到合適的 : 因為廠商沒有分公司在北京 : 我們是拍片、剪輯後製、硬體研發的公司 : 也因此很多的毛片、廠商往來、自製硬體 : 是不能夠被陸籍員工給copy走的 : 內網、鎖usb是可以的， : 一切以資安為最高優先… : 是否有收費適中的廠商， : 或是在北京有接案幫忙建制資安的soho， : 可以介紹的呢? : ※ 引述《vavay (愛樺愛裴)》之銘言： : : 高層認為在大陸「高仿、複製」等事宜， : : 需要特別關注。 : : 比方說檔案保存/備份、 : : 誰人可使用/複製、 : : 如何傳遞/密碼、 : : 設備領用/歸還等，應該有制度和紀錄。 : : 我是行政職， : : 被指派要跟工程部門主管， : : 設計資料保安流程、文件及作法。 : : 想請教各位先進， : : 可以利用什麼做法、軟體、系統， : : 去達到資訊安全呢？ : : 最起碼鎖email、鎖usb之類的 : : 若各位前輩有管理辦法可借我修改的話 : : 就更感激了 : : PS. 已正在找MIS專業人員 : : 但至少得2個月後 : : 找人不列在討論範圍 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.80.131.87 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1479625819.A.B77.html

推

vavay

11/21 11:17, , 1^F

11/21 11:17, 1^F

→

vavay

11/21 11:17, , 2^F

11/21 11:17, 2^F

→

chang0206

11/21 11:19, , 3^F

11/21 11:19, 3^F