馬上加入Android 台灣中文網,立即免費下載應用遊戲。
您需要 登錄 才可以下載或查看,沒有帳號?註冊
x
資安認證範圍過小 人員資安意識不足 行動裝置控管有漏洞
行政院政務委員張善政日前出席BSI資安年會時,首度揭露過去沒有公開細節的政府年度資安稽核結果。他表示,許多機關在資安管理和資安技術有極大的落差,有些單位妥善落實資安管理,但資安技術能力極差而難以因應資安事件,有些單位則剛好相反。他說:「不均衡的發展讓行政院陷入高度的資安風險。」此次是行政院首度針對外揭露重點機關年度資安稽核結果,張善政表示,這些缺失將成為未來行政院資安優先改善重點。
資安認證範圍多數沒納入業務流程
政府每年9月、10月會針對重點機關進行資安稽核,除了檢查相關的資安管理政策外,也實際針對網路和系統弱點進行查核。行政院資訊處處長趙培因綜合本年度資安稽核結果,從策略面、管理面和技術面發現各機關面臨的共通問題,在策略面的問題就是,導入資訊安全管理認證範圍的適切性;在管理面上最大的問題就是「承辦人」資安意識不足;在技術面上,在行政院內則禁止BYOD(自帶設備)。
她進一步指出,雖然行政院許多A級和B級機關都被要求導入ISO 27001資安驗證,但從資安稽核的結果發現,許多單位ISO 27001資安驗證的範圍多數侷限在資訊部門,但許多資安漏洞往往出現在業務單位的某個作業流程中。再者,有許多單位的資安經費是依據單位年度預算做調配,甚至是從編列的IT預算中,再挪出些許的資安經費,杯水車薪的資安預算對於各種資安業務需求,往往無法及時因應。趙培因說,包括資安驗證的範圍過小以及資安預算不足,都成為政府各機關在資安政策上面臨的主要缺失之一。
「人」永遠是資安管理上最複雜,也最難以掌握的關鍵因素,趙培因表示,許多機關最大的資安風險不在各種資訊系統的弱點,許多業務的承辦人員才是真正的資安弱點。她說,許多政府政策從規畫初期,到中間的討論及後期的政策成形,各個業務承辦人員是掌握第一線消息的關鍵人物,若沒有做好機敏資料與個人資料妥善保護,就有嚴重的資料外洩風險。因此,行政院院本部在導入ISO 27001資安驗證時,不僅以全機關作為導入範圍,更重要的關鍵點在於,所有的「人」都納入資安認證的範圍,上至行政院院長,下至工友、司機與隨扈等,都必須接受資安教育訓練。
避免行動裝置成資安缺口
在資安技術面上,除了資安事件通報不力,相關的經驗沒有辦法回饋到資安認證ISMS的PDCA循環外,行動裝置控管也成為各機關必須重視的新興議題。
趙培因舉例,今年初便發生過一次機敏會議內容外洩,經過詳細的追查發現,竟然是某位長官因為手機沒電,將手機插在行政院會議室裡面的電腦充電。但是,該名長官的手機已經被植入惡意程式,當使用一般電腦充電的同時,也同時啟動該長官手機的錄音功能,所有會議內容都被錄音後再對外傳送,以至於機敏會議的內容外洩。
因此,行政院也建議各機關人員行動裝置充電時,一律採用交流電充電,避免使用電腦充電。文⊙黃彥棻
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第351波大放送) : 人人回帖有獎勵
(第350波大放送) : 人人回帖有獎勵
(第349波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★ **以上報告完畢** ★
★ 如果可以的話,幫我評個分數或是送一多花給我^^ ★
★ 您的評分與鮮花,是我下次再發帖的原動力 ★
★ 謝謝~ ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
====================================================
2013/11/24 By 游幃翔
|
鑽石
碎鑽
金豆
收藏
分享
專題
提升卡
變色卡
排首位