據〔自由電子報2015-11-12〕報導:「科技部網站竟刊登徵求台灣年輕博士前往中國泉州任教的訊息,幫「泉州信息工程學院」徵才。科技部次長林一平說,科技部求才訊息是提供給國內接受科技部補助的單位與研究人員刊登徵才廣告,刊登訊息的梁博士曾經是屏科大研究人員,接受過科技部補助,因此擁有帳號而逕自刊登。林一平坦言,研究人員換工作後還用科技部帳號刊登廣告確有漏洞,這是科技部疏失,未來會加強查核,嚴謹過濾廣告,必要時請學校協助把關。」…see more。
這個案例是屬於資訊安全管理上的「低級失誤」,卻是很嚴重的管理失敗。科技部未將離職人員的帳號權限取消,是導致這個事件發生的根本原因。
這種案例在不重視資訊安全管理的組織屢見不鮮。這種組織將離職程序的重點放在離職時間離職金的計算以及資產的歸還和交接,但對於系統存取權限的取消卻完全忽略。這導致系統管理員根本不知道員工已經離職,因此帳號和權限就這樣留了下來。
而且事實上,有些系統管理員就算知道員工已經離職,也會把帳號和權限留下來做為己用,而由於管理上的鬆散,主管根本不知道。
科技部現在要做的第一件事,就是馬上清查所有的帳號和權限是否符合員工的職權,若有不符,立即修正。說不定會發現N年前離職員工的帳號和權限仍然存在。
科技部要做的第二件事,就是修正離職SOP,納入系統存取權限的取消,並確實執行。不僅離職,只要涉及系統存取權限的變動,例如:職務的異動以及專案的參與,相關的SOP(職務異動SOP、專案管理SOP)就必須加以修正以納入系統存取權限的變動,並確實執行。
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
l 如果你是高階經理人,你如何讓企業和ICT(資訊和通訊科技)的策略和目標結盟,以提升企業的競爭優勢?你應該作成哪些與ICT相關的決策,而不會讓ICT花費大筆的預算,卻達不到你想要的結果?
l 如果你是資訊長,你如何擬定ICT的策略和目標,與事業單位溝通,建立ICT組織,扮演好ICT的角色,以提升企業的競爭優勢,而不會被批評為只是花錢的單位,毫無貢獻?
l 如果你是資訊部門經理,你如何根據企業的ICT策略和目標,建立相關的流程和組織,例如:服務要求管理流程、意外事件管理流程、異動管理流程、資訊安全管理流程等等,並且據以實行,以達成ICT目標?
l 如果你是系統、網路、應用軟體管理、設計、開發、操作人員,你如何將自己從技術人員提升到管理人員,對企業整體的ICT基礎建設及其管理有一個全面的了解,從而提升自己在公司的地位?
l 如果你從事於資訊服務業,你如何管理本身和顧客的ICT基礎建設、如何擬定合理的價格、如何與顧客談判服務水準並且擬定服務水準協定(SLA)?
龍山顧問所出版的《資訊和通訊科技基礎建設管理系統(Information and Communications Technology Infrastructure Management
System, ICTIMS)》書籍和相關服務,能夠提供上述問題的解答、滿足你的需求,詳情請參考龍山顧問公司網站http://www.longshine.tw/。
沒有留言:
張貼留言