Jason的電腦健身房

操作安全是一個綜合三個控制類型(實體、科技、行政)的領域，而對於台灣的IT環境，一個MIS同時是Operator也是Administrator也是Security Administrator，有沒有搞錯，這樣玩的話一個人走就變成什麼都帶走了，那麼，在這樣的環境之下，是不是人就成了一個公司服務品質的最大主因，大家還記得嗎?我們在前面有討論到，做職責分割，職務輪調的用意是為了確保防止共謀、相互監控及達成人員的可用度…

Operation Security其中一個很重要的一環就是Change Control Management(變更控制管理)，這個部份讓我不禁將ITIL的內容連結，
在ITIL也就是ISO-20000的Best Practices，其中最難做的就是變更管理(組態管理)，透過ITIL的觀念中，整合商務與IT的變更控制，
是變更管理中應該要注意的部份，導入這個控制重點是在於降低變更或是維護時，造成的風險衝擊，…

操作安全似乎是一種很抽像的東西，與資訊安全的邊似乎沾不上，但是呢?!因為操作安全最大的鋌主體就是人，
人左右了所有的安全的政策，並且透過教育訓練降低人為的因素，而在於最大的洩密問題就是承載資訊的媒體，
而媒體的管理就成了操作安全中的一個重點，操作安全中，對於媒體安全管理是一個不能間斷的流程 …