[Day 29] 资讯系统营运

从前几章IT治理到管理，产出各种规章，执行部门必须依据这些规章完成相应资安防护，以达到提升安全及符合稽核。

在执行各项稽核时需注意Baseline，确认是否达到规定的水准

RTO (Recovery Time Objective) 可容许服务中断时间
RPO (Recovery Point Objective) 能容忍的最大数据丢失量
WRT (Work Recovery Time) 恢复时间
MTD (Maximum tolerable downtime) 最大可容忍的停机时间

图片来源: https://tomtomtom456.pixnet.net/blog/post/47284725

USB随身碟常是各公司烦恼的项目，方便但有需多风险

可以稽核是否有做到妥善的管控，并是否有教育训练来提升使用者的意识、了解公司对於usb等相关的东西的规范

预估未来业务增长所需要的效能、资源(CPU、Memory、Disk、人力...)，不过多过少大致符合需求

曾经看过讨论串:
工程师: 资源使用在50%以下，各系统的状况都很健康
主管：为何资源用不到50%是健康的，还有50%都被浪费了

也许我们会反驳说要留一些资源做缓冲，但再想想是否能估算得更精确、或利用一些工具减少浪费(ex.虚拟化共用资源、云端服务弹性扩展 )，资料保存生命周期(确定不会在用、已经有集中Log储存)等等，可以去稽核是否有做到资源妥善利用。

首先要确认是否有网路拓谱图，并确定时常更新，如果可以的话到现场抽查一下，附属机构或有内部互通的厂商也需要有拓谱图，常常会看到自己的地盘防护得很好，结果其中一条线连到外部机关，结果对方被骇客打穿一路通近来。

从网路拓朴图审核时，务必注意所有可能对外的连线，甚至还有一些明明图上的网路设备只有接一条线道内网，到现场一看还多一条线到小乌龟出去外网，这部分也许能到现场巡视或整理电信帐单来找出问题。

接着传输的网路协定也是需关注的地方，例如使用未加密或加密强度极弱协定，明明有开加密的模式，却因为效能或是相容问题采用并行的方式，对外宣称已用安全方式处理，这部分可以用弱扫或是侧录封包的方式检测。

在稽核的时候有很多方向可以去看，可以依照风险、业务目标等方式查核，而在防护方面不可能全面都做到完美，以逐步提高标准的方式让受稽单位达到应该符合需求的安全防护等级。