小弟我在前些日子從製造業轉到高雄某影像製作相關的公司工作 針對你的問題一些小建議如下： 對內：(內控機制) 1. 還是趕快找到資訊工程師協助資訊安全的建置及導入 日後在資訊系統的維護上也不需要依靠廠商 2. 貴公司的各個工作流程及資料流，可以先建置文件或流程圖 有助於外部廠商或內部工程師瞭解公司運作及資料流轉的過程 * 以製造業的流程來看 就進料/領料、製造過程及製作的良率 、半成品/成品存放、進貨/出貨等的作業流程 以影像業為例： 收到毛片(進料)，是電子檔還是HD，流程要怎麼走 毛片或鏡頭後續如何進到file server上 存放到系統上後，HD如何歸檔管理，後續檔案若有問題，借用的管理(領料) 等等之類的.... 3. 因為你們有台灣跟中國的工作地點，但不變的是都是同家公司和老闆 所以內部作業規範和禁止事項都可以先開始規劃和宣導及教育訓練 對外：(廠商建置) 1. 當有內部的流程時，這樣廠商才能針對你們的需求進行建置佈署 2. 如果你們若有認證的規格或條文的需求，也可以將文件提供給廠商 這樣也方便他們不走錯方向 3. 每個行業對資訊安全的要求都不同，但幾個大方向都是差不多的 - 任何行為都要有 Record/Log - 管理者權限和使用者權限需分開 - 系統與網路的管理 (集中化) - 網路連結的權限 - 系統/檔案存取的權限 - 實體安全的管理 - 備份/災難復原 以我的例子： 　剛到公司的第一天就被通知要協助認證CDSA (澳洲的影視認證) CDSA Link：http://0rz.tw/OOKWa 二個星期後原廠要從澳洲來audit，然後大老板嚴正聲明這個認證一定要過 但是，公司內部在內控流程及管理上，其實都沒有依據或文件 所以在內控管理上花了不少時間在重新定義和規劃 最後是大老板說了算，所以現在內部流程其實還是有問題 所以出現了一堆例外管理，也都是大老板一句話，內控的流程就又不同了 而在資訊系統嘛，看老板的態度及提供的資料 因為稽核的內容其實相去不遠 只是看公司有沒有提供資源或是費用讓系統或管理做的更好 不過這還是需要跟內控做呼應 因為沒有太多資源，所以我只能就現實狀況做調整 最多說服老板買了一台L3 switch後，才勉強符合CDSA的某條文 其他的，就是把AD相關架起來，用GPO去管理Windows client's USB及使用者設定 至於MAC 就真的只能例外管理 MAC都親信或主管在用，鎖了又會該該叫 說太多會變抱怨，不是很好... 這是我在這間公司三個月來的工作經驗，希望對你在尋求對外合作伙伴時 能有些幫助.... ※ 引述《vavay (愛樺愛裴)》之銘言： : 有看到各位大大的建議 : 我是行政職 根本不懂資安 : 在台灣有找了廠商 : 但是 目前沒有找到合適的 : 因為廠商沒有分公司在北京 : 我們是拍片、剪輯後製、硬體研發的公司 : 也因此 很多的毛片、廠商往來、自製硬體 : 是不能夠被陸籍員工給copy走的 : 內網、鎖usb是可以的， : 一切以資安為最高優先… : 是否有收費適中的廠商， : 或是在北京有接案幫忙建制資安的soho， : 可以介紹的呢? : ※ 引述《vavay (愛樺愛裴)》之銘言： : : 高層認為在大陸「高仿、複製」等事宜， : : 需要特別關注。 : : 比方說檔案保存/備份、 : : 誰人可使用/複製、 : : 如何傳遞/密碼、 : : 設備領用/歸還等，應該有制度和紀錄。 : : 我是行政職， : : 被指派要跟工程部門主管， : : 設計資料保安流程、文件及作法。 : : 想請教各位先進， : : 可以利用什麼做法、軟體、系統， : : 去達到資訊安全呢？ : : 最起碼鎖email、鎖usb之類的 : : 若各位前輩有管理辦法可借我修改的話 : : 就更感激了 : : PS. 已正在找MIS專業人員 : : 但至少得2個月後 : : 找人 不列在討論範圍 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.80.131.87 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1479625819.A.B77.html