小弟我在前些日子从制造业转到高雄某影像制作相关的公司工作
针对你的问题一些小建议如下:
对内:(内控机制)
1. 还是赶快找到资讯工程师协助资讯安全的建置及导入
日后在资讯系统的维护上也不需要依靠厂商
2. 贵公司的各个工作流程及资料流,可以先建置文件或流程图
有助于外部厂商或内部工程师了解公司运作及资料流转的过程
* 以制造业的流程来看
就进料/领料、制造过程及制作的良率
、半成品/成品存放、进货/出货等的作业流程
以影像业为例:
收到毛片(进料),是电子档还是HD,流程要怎么走
毛片或镜头后续如何进到file server上
存放到系统上后,HD如何归档管理,后续档案若有问题,借用的管理(领料)
等等之类的....
3. 因为你们有台湾跟中国的工作地点,但不变的是都是同家公司和老板
所以内部作业规范和禁止事项都可以先开始规划和宣导及教育训练
对外:(厂商建置)
1. 当有内部的流程时,这样厂商才能针对你们的需求进行建置布署
2. 如果你们若有认证的规格或条文的需求,也可以将文件提供给厂商
这样也方便他们不走错方向
3. 每个行业对资讯安全的要求都不同,但几个大方向都是差不多的
- 任何行为都要有 Record/Log
- 管理者权限和使用者权限需分开
- 系统与网络的管理 (集中化)
- 网络连结的权限
- 系统/档案存取的权限
- 实体安全的管理
- 备份/灾难复原
以我的例子:
刚到公司的第一天就被通知要协助认证CDSA (澳洲的影视认证)
CDSA Link:http://0rz.tw/OOKWa
二个星期后原厂要从澳洲来audit,然后大老板严正声明这个认证一定要过
但是,公司内部在内控流程及管理上,其实都没有依据或文件
所以在内控管理上花了不少时间在重新定义和规划
最后是大老板说了算,所以现在内部流程其实还是有问题
所以出现了一堆例外管理,也都是大老板一句话,内控的流程就又不同了
而在资讯系统嘛,看老板的态度及提供的资料
因为稽核的内容其实相去不远
只是看公司有没有提供资源或是费用让系统或管理做的更好
不过这还是需要跟内控做呼应
因为没有太多资源,所以我只能就现实状况做调整
最多说服老板买了一台L3 switch后,才勉强符合CDSA的某条文
其他的,就是把AD相关架起来,用GPO去管理Windows client's USB及使用者设定
至于MAC 就真的只能例外管理
MAC都亲信或主管在用,锁了又会该该叫
说太多会变抱怨,不是很好...
这是我在这间公司三个月来的工作经验,希望对你在寻求对外合作伙伴时
能有些帮助....
※ 引述《vavay (爱桦爱裴)》之铭言:
: 有看到各位大大的建议
: 我是行政职 根本不懂资安
: 在台湾有找了厂商
: 但是 目前没有找到合适的
: 因为厂商没有分公司在北京
: 我们是拍片、剪辑后制、硬件研发的公司
: 也因此 很多的毛片、厂商往来、自制硬件
: 是不能够被陆籍员工给copy走的
: 内网、锁usb是可以的,
: 一切以资安为最高优先…
: 是否有收费适中的厂商,
: 或是在北京有接案帮忙建制资安的soho,
: 可以介绍的呢?
: ※ 引述《vavay (爱桦爱裴)》之铭言:
: : 高层认为在大陆“高仿、复制”等事宜,
: : 需要特别关注。
: : 比方说档案保存/备份、
: : 谁人可使用/复制、
: : 如何传递/密码、
: : 设备领用/归还等,应该有制度和纪录。
: : 我是行政职,
: : 被指派要跟工程部门主管,
: : 设计资料保安流程、文件及作法。
: : 想请教各位先进,
: : 可以利用什么做法、软件、系统,
: : 去达到资讯安全呢?
: : 最起码锁email、锁usb之类的
: : 若各位前辈有管理办法可借我修改的话
: : 就更感激了
: : PS. 已正在找MIS专业人员
: : 但至少得2个月后
: : 找人 不列在讨论范围