我的業務當中,最近要導入資訊安全的管理制度。每天做一點資訊安全的工作和政策。
資訊安全的工作中,有一個很重要的觀念,就是要紀錄,要批準。
如果沒有資訊系統在紀錄,就是要用文件的方式來撰寫,達到紀錄的目的。
沒有導入資訊安全管理系統的情況:
過去,電子郵件帳號的密碼忘記了。學生和職員都要填寫一些表格,貼上個人證明文件影本,然後我們操作系統的人,自己幫他們改一下,在表格上簽個名字,表格存查就完成。
導入資訊安全管理系統的情況:
如果導入資訊安全之後。一樣的寫一份符合資訊安全格式的電子郵件帳號密碼修改申請表。然後附上個人身份證明文件影本,交給組長、主任簽名同意後,由業務承辦人修改系統上的電子郵件密碼,最後簽名,表格存查。
但是資訊安全管理系統的文件,是我參照別的學校,經過內部會議討論過後,再加上資訊安全輔導機構審核後的文件。
可是電子郵件帳號密碼修改的業務,不是我的工作,是我同事的工作。
今天他問我:
「是不是真的修改密碼,一定要身份證影本啊。如果對方不給的話,怎麼辦??」
我心想,他一定遇到麻煩了。一定是上層,也就是單位組織最上面的幾個人,要改帳號密碼,但是我們不方便向他們要身份證影本。
你想想一個情況:
校長打電話來說:「我電子郵件的帳號密碼忘記了,請你幫我改一下。」
業務承辦人:「好的校長,請你上網下載影印出來"電子郵件帳號密碼修改申請表",填寫完成後,貼上你的身份證明文件影本,證明你就是校長,然後經過我們組長、主任批準後,校長大人,你就可以改密碼了。」
校長:「…」
我則很清楚,很明白的告訴同事:「這個問題,交給主任去溝通就好了。」
同事看看我,然後一陣苦笑:「真的嗎??」
心想:當然是真的啊,然不成要我打電話去給比我高三四個層級的人,請他們依照教育部的規定,做好資訊安全管理系統的文件作業。這種事情當然要交給組長主任去處理。
除非組長主任認定這樣的工作是我們要做的。
不過當然對方身份證明文件會給還是不會給,只是我同事的假設性問題。
我也沒有過問這麼多,我自己僅僅只是把資訊安全應該做的每一件事情做好,至於其他同事會不會照做,可能就要等稽核的時候,才會知道。
畢竟人是生物,不是電腦,不會在設定完之後,一切照辦。
留言
張貼留言
看過可以簽名,有意見可以表達。不喜歡我寫的內容,可以用立可白塗掉。