小弟我在前些日子從製造業轉到高雄某影像製作相關的公司工作
針對你的問題一些小建議如下:
對內:(內控機制)
1. 還是趕快找到資訊工程師協助資訊安全的建置及導入
日後在資訊系統的維護上也不需要依靠廠商
2. 貴公司的各個工作流程及資料流,可以先建置文件或流程圖
有助於外部廠商或內部工程師瞭解公司運作及資料流轉的過程
* 以製造業的流程來看
就進料/領料、製造過程及製作的良率
、半成品/成品存放、進貨/出貨等的作業流程
以影像業為例:
收到毛片(進料),是電子檔還是HD,流程要怎麼走
毛片或鏡頭後續如何進到file server上
存放到系統上後,HD如何歸檔管理,後續檔案若有問題,借用的管理(領料)
等等之類的....
3. 因為你們有台灣跟中國的工作地點,但不變的是都是同家公司和老闆
所以內部作業規範和禁止事項都可以先開始規劃和宣導及教育訓練
對外:(廠商建置)
1. 當有內部的流程時,這樣廠商才能針對你們的需求進行建置佈署
2. 如果你們若有認證的規格或條文的需求,也可以將文件提供給廠商
這樣也方便他們不走錯方向
3. 每個行業對資訊安全的要求都不同,但幾個大方向都是差不多的
- 任何行為都要有 Record/Log
- 管理者權限和使用者權限需分開
- 系統與網路的管理 (集中化)
- 網路連結的權限
- 系統/檔案存取的權限
- 實體安全的管理
- 備份/災難復原
以我的例子:
剛到公司的第一天就被通知要協助認證CDSA (澳洲的影視認證)
CDSA Link:http://0rz.tw/OOKWa
二個星期後原廠要從澳洲來audit,然後大老板嚴正聲明這個認證一定要過
但是,公司內部在內控流程及管理上,其實都沒有依據或文件
所以在內控管理上花了不少時間在重新定義和規劃
最後是大老板說了算,所以現在內部流程其實還是有問題
所以出現了一堆例外管理,也都是大老板一句話,內控的流程就又不同了
而在資訊系統嘛,看老板的態度及提供的資料
因為稽核的內容其實相去不遠
只是看公司有沒有提供資源或是費用讓系統或管理做的更好
不過這還是需要跟內控做呼應
因為沒有太多資源,所以我只能就現實狀況做調整
最多說服老板買了一台L3 switch後,才勉強符合CDSA的某條文
其他的,就是把AD相關架起來,用GPO去管理Windows client's USB及使用者設定
至於MAC 就真的只能例外管理
MAC都親信或主管在用,鎖了又會該該叫
說太多會變抱怨,不是很好...
這是我在這間公司三個月來的工作經驗,希望對你在尋求對外合作伙伴時
能有些幫助....
※ 引述《vavay (愛樺愛裴)》之銘言:
: 有看到各位大大的建議
: 我是行政職 根本不懂資安
: 在台灣有找了廠商
: 但是 目前沒有找到合適的
: 因為廠商沒有分公司在北京
: 我們是拍片、剪輯後製、硬體研發的公司
: 也因此 很多的毛片、廠商往來、自製硬體
: 是不能夠被陸籍員工給copy走的
: 內網、鎖usb是可以的,
: 一切以資安為最高優先…
: 是否有收費適中的廠商,
: 或是在北京有接案幫忙建制資安的soho,
: 可以介紹的呢?
: ※ 引述《vavay (愛樺愛裴)》之銘言:
: : 高層認為在大陸「高仿、複製」等事宜,
: : 需要特別關注。
: : 比方說檔案保存/備份、
: : 誰人可使用/複製、
: : 如何傳遞/密碼、
: : 設備領用/歸還等,應該有制度和紀錄。
: : 我是行政職,
: : 被指派要跟工程部門主管,
: : 設計資料保安流程、文件及作法。
: : 想請教各位先進,
: : 可以利用什麼做法、軟體、系統,
: : 去達到資訊安全呢?
: : 最起碼鎖email、鎖usb之類的
: : 若各位前輩有管理辦法可借我修改的話
: : 就更感激了
: : PS. 已正在找MIS專業人員
: : 但至少得2個月後
: : 找人 不列在討論範圍