企業資安需求中小企業-落實權限管控與分工 避免員工掌握過多資料中小企業是台灣經濟的基礎,台灣將近9成以上的企業為中小企業,在人力及資源有限的情況下,這些中小企業該如何做好資安防護?
威脅與控制措施
最大威脅:
首先要從威脅面來看,其最主要的資安威脅在於人。中小企業人力有限,分工制度不若大企業精細,也比較缺乏標準管理制度,許多業務決策經常是老闆或主管說了算,也因此造成部份員工的資料或系統使用權利無限上綱,簡單地說就是沒有做好權限控管。
我們經常在中小企業身上看到以下兩種狀況,第一是Key Man變得很Key Man,例如:業務員或業務主管一手掌握所有業務資料,系統內的客戶資料反而不完整,甚至有可能是業務員假造資料填入系統中,又或者IT人員可以看到公司所有的機密資料,像是財務、人事薪資等等,倘若這些人在離職時一併攜走手中的資料,對公司營運將會造成極大衝擊。
第二種狀況則是委外廠商管理問題,中小企業在簽訂委外合約時,普遍不會要求委外廠商簽定保密合約,他們不只把事情委外處理,也同時忽略了管理責任,導致資料容易就此外流,舉例來說,開放所有系統使用權限、不管委外廠商看了哪些資料。
建議控制措施:建立管理制度、職能分工、權限控管、防毒防木馬
建議控制措施:建立管理制度、職能分工、權限控管、防毒防木馬
若要避免因「人」而引起的資安威脅,首先要做的就是建立管理制度,明確劃分出不同職階或職務的員工所能擁有的系統權限,避免讓單一員工的系統使用權限無限上綱。
此外,適當的職能分工也是必須的,如果公司只有1名業務或資訊人員,很容易隻手遮天,竊取、篡改或販售公司機密資料。
再者中小企業要做的是落實權限控管,包括監控特權系統帳號的存取行為、強制存取路徑、定期安裝管理修正程式等控制措施,最後則是定期偵測木馬程式及異常存取行為、安裝Client或Gateway端的防毒軟體,降低電腦被植入木馬程式的風險,避免讓駭客有機可乘。
此外,適當的職能分工也是必須的,如果公司只有1名業務或資訊人員,很容易隻手遮天,竊取、篡改或販售公司機密資料。
再者中小企業要做的是落實權限控管,包括監控特權系統帳號的存取行為、強制存取路徑、定期安裝管理修正程式等控制措施,最後則是定期偵測木馬程式及異常存取行為、安裝Client或Gateway端的防毒軟體,降低電腦被植入木馬程式的風險,避免讓駭客有機可乘。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6806
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言