偶暫時不會換工作了啦，好不容易可以準時下班

不好意思抱怨傷您眼睛了，大人有大量多包涵喔

政策是用來滿足公司需要. ISO 就是要讓你 說 寫 做 一致.

如果這個政策是必須的, 也是唯一解, 也有管理辦法, 那就可行.

但是一般環境中, 我想很難出現需要這種"everyone=admin"模式才能良好運行的機會.

就算你是導局部認證尚未含到公司所有成員, 我都覺得這麼大方的政策值得商榷.

畢竟如果開放權限已超過員工所需, 通常都不會是嚴謹的管理. 還是要回頭先看政策, 管理

辦法只是用來落實政策的媒介, 而稽核就是看你的管理辦法做得確不確實.

說的好~很多MIS遇到問題都直觀式的擋掉,而不是去看一些改進方案
你說的USB或者RS232問題確實技術上是可以解的,只是貴公司MIS的能力問題才解不掉
不過基本上,本人也是很賭爛RD跟我講schedule delay這回事
BSP,debug工具,基本上會用的就那些,你們家的MIS不會找一個好的方法讓你的work smoothly是你家MIS的問題
你可以提出你們所需的軟體,統一由MIS來讓你們自己就可以安裝那些阿certified過的軟體,其餘軟體不給裝也沒問題吧?
但是這絕對無法跟"開放administrator權限"扯上邊
不過如果你認為你在資訊這個部分的技術上無法將MIS knock out的話,建議妳乖乖的
以我個人而言,專門愛電那些非MIS領域,而且又半桶水的工程師


我屬上面那個,不過我也會盡量把配套一次做足,如果真的沒配套,有時候就用一些強制手段處理(先鎖死,有問題的一個一個反應,全部抓出來review)

這是傳說中的CIA?我們公司的資安是這樣講啦:P
不過我對某些人是很piss off
嘴砲到極點
連TMD列印也愛靠北
windows環境快破萬的機台列印都沒作audit
我linux環境這邊約50台就在靠北
一開始說列印的資料要留副本(windows那麼大型都沒作,要我linux作),而且不講怎樣處理,真是好阿@@"
等我把linux列印的副本作出來後,又跟我靠北說,實體paper並沒有作簽收的機制,也就是說東西印出來就可以拿走(Q:資安不會去填人力需求單?幫我僱一個printer guard阿@@)
小弟當MIS時,事情都是要把解法一併做出來才算數
所以我對我們公司的資安很不削,只會亂點問題,技術上就要負責人自己弄
我不是走資安的,所以也不知道資安是不是專門點出問題就好,如果只是專點問題的話,我覺得企管的來幹就好吧
反正就天馬行空,要每個部門把業務內容列出,一個一個雞蛋裡挑骨頭(抱歉,我們公司好像就有各種人才@@")

怎麼我覺得現在台灣的資安好像就是搞一大堆的文件，然後根本對實質沒什麼幫助，只方便稽核時方便看而已。

搞出資安這一套的人到底有沒有實際管理過資訊的東西？還是書本 K 一 K，然後滿嘴資安就出來騙吃騙喝了？

動嘴的很快，但做的人可不是魔術師，說變就變，說有就有....

說真的，我很恨這樣的資安制度.....

我就實話實說了, 目前很多資安稽核的導入, 就是各位老闆拼形象, 拿認證 的產物.

為什麼要認證? 別人要求他做(ex政府機關A級單位), 別人期望他做(ex:輔導認證機構缺業績)

自己被逼著做(上游xx廠商說你們要有xxx認證), 學別人做(同行xxx都做了,我們也要,是吧?)

如果主事者沒有清楚的 動機 與了解, 知道如何透過認證來調整公司的制度與改進運作缺失,

很多結局就是執行人員疲於奔命於更多文件海裡面, 但對於整個運作效率反而有所拖累.

真的該把這篇列給我所任職公司的MIS跟行政經理看, 慚愧死他們.

一切外接全鎖, 電腦全部都是要登入, 能外連的電腦還有限定是哪幾台.
他們根本不用去想要怎麼鎖, 只接弄成哪幾台可以做什麼事情就好, 屌吧.
有看過一堆人排隊要寫email嗎? 有看過一堆人等office嗎?
有看過一堆人等著要使用有adobe pdf reader的電腦嗎?
有光碟機的只有1台, 而USB由部門經理先閱覽你儲存的資料, 由她來存取.

最後還是中毒了, 然後說不知道怎麼發生的.
能上網的公用電腦不過3台, 除此外就業務經理跟總經理跟行政經理.
你說呢?

PS. 不要跟我說或許有人私底下更動硬體或更改設定做一些小動作.
行政經理的工作就是來回逛的監督, 以及每天的抽查公司內部的電腦.

那三台公用電腦.. 連一些處理垃設郵件的設定都沒做 =.=
都是每天第一個用的人去一封封確認做刪除.

就像這串討論串裡面的攻防一樣
釘到死
就算你講到天花亂墜
還是死
缺失啦，跑不掉。

這種問題不從管理面源頭做起，反而要開放，然後從技術面管理沒道理的
首先，使用者權限一定要管理
什麼叫管理？
全部開放那就不叫管理了。像防火牆，一定是全部封鎖，部分開放。
沒有部分封鎖，其餘開放，然後有問題的時候再來花錢從入口放L7，在內部放IDS偵測，什麼有的沒有的怪事。我們政府對於放火這件事情也有法律上的規定，有懲罰。如果今天政府對於縱火的行為不予懲罰，然後要消防隊疲於奔命，要花一大筆錢去防止少數縱火份子逞凶？那算什麼有管理的政府啊？不罰縱火的人，反而說這是消防隊無能，這樣的謬論可以成立嗎？全面開放殺人權限，然後等到嫌犯殺人了，再來請警察抓嫌犯，醫生處理他的傷勢？如果醫生救不回來他的性命，或是被害者一輩子殘廢，小腸截斷三分之二，長到十八歲就生病死亡，就說是醫生無能？警察沒有事先防止？

所以使用者權限如果沒有管理的話，他什麼事情都可以做，這一條是會開缺失的。開缺失就是要改進，否則就別想過了，這條稽核的錢就白花了

權限有其需要，但是要開放到什麼程度，這個部分是跟軍中學的。
軍中一樣要辦事，辦事的時候一樣要取得資訊
但是權限一大，尤其整個軍中的人都是同樣權限的話，怎麼可能呢？完全依賴使用者良心？你可以想像洩密事件根本隨時都可以發生，然而並沒有整個軍中都是同樣權限。為什麼人家這麼做？有其道理的。使用者權限只開放到他需要擁有的權限，否則一旦踰越，他便可以知道他不該知道的事情。這個叫做least-privilege原則。還有個數學模型可以證明叫做The Bell-Lapadula Model。就是因為可證明，所以軍方才採用。才能把洩密降到最少。否則，如果下屬可以有權限偷看長官的簽核，那長官不就挫著等，根本不知道誰洩的密；如果長官可以修改下屬的簽核然後把責任賴給下屬，那下屬不就黑鍋背不完？

上市上櫃公司如果還讓所有人員擁有admin的權限的話，那麼這家公司是該離開了。已經到上市上櫃了，資訊管理還沒上軌道。資訊管理就像會計一樣重要。如果上市上櫃公司還在用excel做會計帳，沒有ERP一樣恐怖。有公司這樣只代表他們公司沒有管理，不代表其他公司沒有管理。

這樣真的太扯,有可能是電腦不夠多才這樣搞的(我們給ta用的也都差不多這樣子)
如果軟體授權沒有問題,又想簡化軟體管理
很多公司都有n種做法
跑remote apps的方式不就好了?
可以問看看你們公司的mis對你們的問題有啥建議吧
利用usb傳公司要用的東西在敝公司真的看不到需求
唯一是廠商要傳資料給我們才會用到罷了(我們也曾發生過廠商把病毒帶進公司過)
email要在公司鎖也很怪,莫非貴公司沒有mail system?真奇怪的資訊架構