[Day 23] 从GEIT制定管理规范

这个章节很多都在CISSP有,很多邦友写过,可以参考邦友的文章
https://ithelp.ithome.com.tw/articles/10202329

营运持续管理

在Risk Management风险管理分析後,扩展出营运持续管理BCM,利用营运冲击分析BIA及风险评监RA,建立营运持续计画BCP,并请各部门制定恢复计划DR流程

https://ithelp.ithome.com.tw/upload/images/20210125/20077752wWWscEyCpE.jpg
图片来源: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/bc-process/it-rm-bc

  • BCM(Business Continuity Management) 营运持续管理
    https://ithelp.ithome.com.tw/upload/images/20210125/20077752lL1X2sh0gj.png
    图片来源: https://www.ithome.com.tw/news/135939
  • BCP(Business Continuity Plan)营运持续计画
  • BIA(Business Impact Analysis)营运冲击分析
  • DR/DRP(Disaster Recovery Plan)恢复计划
  • RA(Risk Assessment)风险评监

人员

AUP 可接受的使用政策(Acceptable use policy): 公告不可以在电脑装盗版软件等等
NDA 保密协议(Non-disclosure agreement)

稽核项目

  • 稽核时务必确认这两项有确实做,例如入职时签NDA,公司贴AUP公告等等,以打破员工合理期待(你没告诉我,我怎麽会知道不能这样做之类的)
  • 调职,离职的授权调整

Outsourcing

有些组织会将IT部分外包或是全部外包,尤其是公家机关,通常考量外包的原因通常为

  • 集中在核心事业
  • 利润问题
  • 组织灵活性

许多人常常忽略责任及风险问题,需要注意终极责任是在组织管理层,也许可以怪XX外包公司出错,但承受伤害的还是为组织自身,承接外包人员也会被指责监督不力,因此需要评估可能的风险,制定合约方式规范外包公司

风险

  • 反而增加成本
  • 缺乏控制 (资料外泄)
  • 法规限制
  • 忠诚度
  • 能力不足 (替换能力不足人员)

稽核项目

  • 相关合约 ex.RFP 需求建议书(Request for Proposal
  • 服务要求 ex.SLA 服务水平(Service Level Agreement, 营运水平OLA(Operational Level Agreement)
  • 成本及付款
  • 选商流程 (能力验证)
  • 评估程序(采购、稽核、服务单位)

Work Place

疫情关系,上班地点的议题持续被提出,依据地点有以下几种方式

  • 公司内部 on-site
  • 公司外部 off-site
  • 离岸 offshare

Work From Home
外部工作因为在原本组织防御架构之外,会面临到许多问题,例如连线安全,资料安全,主机安全

IT平衡计分卡

平衡计分卡是一个业务框架,可帮助管理战略计划与执行之间的差距。
https://ithelp.ithome.com.tw/upload/images/20210125/20077752yCUDCcEWTN.png
团片来源:https://www.kannan-subbiah.com/2012/12/implementing-it-balanced-scorecard.html#.YA6EFOgzaUk

  • 未来方向-它代表了IT部门为满足业务未来需求所做的准备工作。
    • 使命:应对未来挑战
    • 目标:培训员工掌握专业知识
  • 卓越营运-它表示IT部门遵循的各种标准,流程和策略的有效性和效率。
    • 使命:交付高效的IT应用服务
    • 目标:有效的开发及营运
  • 客户导向-IT部门最终用户的观点。
    • 使命:好的服务提供者
    • 目标:提高用户满意度
  • 公司/业务贡献-IT部门业务主管的观点。
    • 使命:IT投资中获得合理回报
    • 目标:业务保持一致
    • 价值:成本及风险管理

https://ithelp.ithome.com.tw/upload/images/20210125/20077752ofZuNVBmPo.png
图片来源:https://bscdesigner.com/balanced-scorecard-fact-sheet.htm


<<:  身份证明和注册(identity proofing and enrollment)

>>:  推荐一套非常好用的软件:EzTooL 这是一套"进销存" 或 "ERP" 或 "门市POS" 都是

Day27 用於AR的3D物件制作过程,一路凄凄惨惨惨惨凄凄

制作自己的AR有很多种方式,但首先要先做个3D模型出来,网路上有很多可以用来制作3D模型的程序,有看...

Day4 官方 Demo 说明

今天我们要藉由官方所提供的 Demo,来介绍几个关键实体与流程的运作。再开始本篇 Demo 安装前,...

Day-13: 目前开发时终端常用的命令指令五虾毁?

在 Rails 的开发过程中,许多指令都是在终端机(Terminal)环境操作。 老实说我现在是菜逼...

LeetCode 解题的思考策略与解题地图

什麽时间点该考虑 LeetCode 刷题? ▶「你有听过「白板题」吗?你知道技术考试在面试时会用什...

Day3

英文C++ How To Program中文翻的文诌诌名为"程序设计的艺术"作为...