|
||
|
*停權中*
加入日期: Apr 2001 您的住址: Save Room
文章: 201
|
引用:
被您發現我是半桶水工程師了,真是不好意思  不過我覺得不要老是把電人掛在嘴邊 這樣對我們這些半桶水工程師自尊心有很大的傷害 您就默默的電,等我面子掛不住時就自然會龜起來了 像 u 兄和 R 兄的文章不慍不火,字字珠璣,條理精到,電人自在不言中 有看這討論串的請多多品味他們的文章,如果你又是這個領域的,一定大有幫助! |
||||||||
2009-12-13, 09:18 AM
#81
|
|
|
Power Member
 
加入日期: Nov 2001 您的住址: TW
文章: 667
|
像我就乖多了~
我只有加裝個VGA好支援雙螢幕,還有RAM也要加到滿~就這樣~  不過我從來不在OA機瀏覽一些跟工作不相干的網站,更別說P2P那種玩意, 我們team 7人合資出錢買個3.5G分享出來用~上網用自己的NB上,看你要整麼搞都可以~!
__________________
琴鍵有限,琴藝無限!! |
||
|
2009-12-13, 09:51 AM
#82
|
|
|
Senior Member
加入日期: Dec 2000
文章: 1,145
|
引用:
資安是專點問題,也不適合給solution。比如說貴公司的辦法中說要管理usb,但是實際上卻沒有管理usb的機制。那麼資安人員只點出問題:貴公司說寫作不一致。說要管,卻沒管。這是事實。可是我不能給你答案說請你用gpo封掉(還是有法可解)或是請你用資產管理軟體(不要買x網,要買x品的產品較穩定從系統層下手)等等的。 如果列印的部份會產生資安問題,貴公司的辦法也有寫到要管理列印的問題,但是你實際上沒做任何管控,那就是你說寫作不一致。我一樣不能直接給你答案說,請採用某公司生產的事務機,可以搭配權限確認是列印者取走,列印者輸入帳號密碼或者是個人專屬卡片認證等等,實體上就是由機器幫你做簽核的動作。 你的解決方法可能有千百種,你可能沒有預算採用資安人員提供的方法,於是放棄技術面的解決方式改用管理面的方式解決,那都不在資安人員的考量之內。我們不能幫你想,本來就不能幫你想。這是你的機構,再了解也沒有你了解。解決是你才能解決。你才能想出最適合貴單位的解決方法。 這樣子應該了解資安人員的標準作法了。 但是你也要知道,你也有你的權益。你覺得資安人員的說法沒道理,那張稽核單子你可以不簽,因為他要有足夠的理由說服你這是說寫作不一致。如果你們的辦法裡並沒有規定要管控列印,而他跑來跟你講只有linux列印要管理而其他部分不用管理,你可以challenge 他,他不能逼你簽名。有些做audit的人的確是企管系的,他們擅長的是財務稽核,電腦稽核的方法是一樣的,所以他們也上過課之後,也可以來稽核資訊系統,但是,有可能會產生那種拿著雞毛當令箭的事情。所以,如果不幸碰上這種稽核人員,你的權益要懂得爭取。一切依照辦法行事。如果辦法裡沒有,抱歉,我沒有遵守的必要。或者,現在根本沒有完美的解決方案,抱歉,我不能亂花預算。 我之前也碰過一個這麼龜毛的稽核,也是世界級公司的。但是我就是不接受這樣的結果,跟他耗了一個小時。他很不爽,但是礙於時間的壓力,他必須在規定人天時間內做完,也只好去外面抽根煙,回來再繼續。因為還有很多其他項目要進行。呵呵。  |
|
|
2009-12-13, 10:07 AM
#83
|
|
|
*停權中*
加入日期: Jun 2002
文章: 90
|
引用:
您太sensitive了,我沒在電你阿 我專電我們公司的人而已,外面的我才懶的理哩 電公司的人,講不聽的話,我幾乎都是直接跟部門主管溝通完後,由部門主管跟對方講 我相信很多公司的工程師都仗著自己資歷深,說的一定是聖旨,我們這種菜鳥都是BS 電user~~基本上,我一定也是由淺入深的啦^^" |
|
|
2009-12-13, 04:43 PM
#84
|
|
|
*停權中*
加入日期: Jun 2002
文章: 90
|
引用:
您太sensitive了,我沒在電你阿 我專電我們公司的人而已,外面的我才懶的理哩 電公司的人,講不聽的話,我幾乎都是直接跟部門主管溝通完後,由部門主管跟對方講 我們公司的工程師,大多都仗著自己資歷深,說的一定是聖旨,我們這種菜鳥都是BS 電user~~基本上,我一定也是由淺入深的啦^^" |
|
|
2009-12-13, 04:48 PM
#85
|
|
|
*停權中*
加入日期: Jun 2002
文章: 90
|
引用:
你講到重點了 我們公司的資安是不管東西可不可行,有沒有實際可以作的作法,而是亂點一通 這也是我對資安最大的困惑,資訊技術背景,似乎並不是必須了吧? 我最反感的一點就是 資安人員亂點問題,點出來後,要我們自己搞出來 搞出來後,他們要你跟他講你到底怎樣用(合理,不然他哪知道你作的是真的假的) 然後再對外分享我們的作法(利用公司資源打自己的知名度) 至於只針對linux的列印作audit,對方當初好像只是嗆出"design都是機密資料,所以你一定要作囉" 當時也沒辦法去反駁,就只好悶著作囉^^"(我心裡是很X啦,變成我要去implement資安的東西,那敝公司資安人員也太爽了吧,我又不是作資安的) |
|
|
2009-12-13, 05:01 PM
#86
|
|
|
Elite Member
  
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
所以要是只懂純稽核缺少技術背景的, 遇到的困難總是會比又有技術背景的人要多些.
有兼具兩種學能的輔導或稽核團隊, 通常會比較能快速溝通抓到大家的交集點 講白一點, 就是跟他溝通的執行人員(含技術與非技術)覺得他的sense比較好. 實務來說, ISO認證的輔導與稽核單位是必須分開的不同公司.(避免球員兼裁判) 前面A輔導擬定的政策與管理辦法, 後面B要來稽核你, 說實話, B廠商也滿無辜的, 他只 是照辦事而已, 所以A在輔導的過程已經決定了很大的部分.(也適用公司自己做內稽) 老闆在研擬資安政策時, 有技術背景的輔導團隊比較快會體認到 "這個政策會衍生出什麼管理?" "現在已有什麼技術/非技術機制可以做? 夠不夠? 缺哪些? 優先度是什麼, 有什麼限制....." 比較會再主動與管理階層商談, 而且若有預算與人員上的執行困難, 可以較早感知到. 如果確認是必須的, 他會向老闆說明可能需要的配套資源, 或是找出替代方案來權變. 必要時分階段執行, 過程還可能會小規模 漸進式 試run, 再 檢討 調整 修正. 這個佈局已經能讓後面的稽核比較可行又輕鬆. 換句話說, 找到好的, 有經驗的輔導廠商, 大概已經讓你的稽核過了一半, 因為他知道未來 稽核出現時會發生什麼事, 可以讓你先有所準備. 陣痛是難免, 但是過程會比較順, 做得順 自然大家容易做得熟 做得好, 等稽核來時, 問題自然低.  |
|
2009-12-13, 06:16 PM
#87
|
|
|
Golden Member
加入日期: Jun 2002 您的住址: 地獄18層
文章: 3,233
|
有考過S*S資安稽核的人
就會體驗到證書與實際不符的情形 電腦觀念跟幼稚園一樣的人也能考過該證照 
__________________
徵你不要的AM4 CPU 徵你不要的SATA接頭斷裂SSD 
此文章於 2009-12-13 07:21 PM 被 supermaxfight 編輯. |
|
2009-12-13, 07:18 PM
#88
|
|
|
Golden Member
加入日期: Jun 2002 您的住址: 地獄18層
文章: 3,233
|
引用:
我們都戲稱為SOS資安稽核師
__________________
徵你不要的AM4 CPU 徵你不要的SATA接頭斷裂SSD
|
|
|
2009-12-13, 07:58 PM
#90
|
|
