K書筆記本-Operations Security(05)

操作安全是一個綜合三個控制類型(實體、科技、行政)的領域,而對於台灣的IT環境,一個MIS同時是Operator也是Administrator也是Security Administrator,有沒有搞錯,這樣玩的話一個人走就變成什麼都帶走了,那麼,在這樣的環境之下,是不是人就成了一個公司服務品質的最大主因,大家還記得嗎?我們在前面有討論到,做職責分割,職務輪調的用意是為了確保防止共謀、相互監控及達成人員的可用度…

...繼續閱讀 »

K書筆記本-Operations Security(04)

Operation Security其中一個很重要的一環就是Change Control Management(變更控制管理),這個部份讓我不禁將ITIL的內容連結,
在ITIL也就是ISO-20000的Best Practices,其中最難做的就是變更管理(組態管理),透過ITIL的觀念中,整合商務與IT的變更控制,
是變更管理中應該要注意的部份,導入這個控制重點是在於降低變更或是維護時,造成的風險衝擊,…

...繼續閱讀 »

K書筆記本-Operations Security(02)

操作安全似乎是一種很抽像的東西,與資訊安全的邊似乎沾不上,但是呢?!因為操作安全最大的鋌主體就是人,
人左右了所有的安全的政策,並且透過教育訓練降低人為的因素,而在於最大的洩密問題就是承載資訊的媒體,
而媒體的管理就成了操作安全中的一個重點,操作安全中,對於媒體安全管理是一個不能間斷的流程 …

...繼續閱讀 »