我上周末去参观了一个老宅,虽然自己没学过建筑,但天生对古建筑充满了浓厚兴趣。大家能猜出这是哪里流派的名宅建筑吗?我为此还真的到网上搜索了一番的。感觉自己是一个被IT耽误的建筑师的苗子。哈哈。言归正传,我们这次接着来看问卷应答的第二部分,希望能继续给您带来一些IT治理方面的参照。
Software:
Application
Question:
- Is there an inventory of application and software assets with all assets tracked by a unique identifier such as a serial number?
-
- Is there any documented policies that prohibit the installation of unauthorized hardware or software?
-
- Is there a unified password management or Single Sign On for applications?
-
Answer:
- 针对不同的应用程序,设置不同的用户组。
-
- 将各种应用程序的登录方式统一为单点登录(SSO),以实现用户账号权限的自动匹配。
-
- 对于企业里所用到的所有应用程序应该有一个全量的列表,此表应根据程序功能和使用范围进行分类。
-
- 每一种应用应该在表中具有版本号、许可证、交付方式、类别、基本描述、以及是否外网可用等特征项。
-
- 能够提供出数据是如何在本企业的各个应用及系统之间进行流转的图表(如下图所示),方便了IT部门或helpdesk(服务台)对各个应用的协同工作状态和数据的走向有个宏观的认识,以及在出现系统或服务故障时,能够清晰的识别并标注出问题的环节。
-
AC公司增加项:文档及其管理平台
- 各类工作文档被存放在指定的共享目录下、网络盘里、以及导入到专门的文档管理与协作平台,而非电脑的本地磁盘上。
-
- 用户存储文档时,默认情况下为公开属性(public),如有需要可以添加相关安全设置,包括:私有(private)属性、可以访问的用户与组、以及读/写/改/删等权限。
-
- 管理平台持续记录用户对文档的任何访问操作,此类记录日志不可被删除。
-
- 管理平台能够对批量删除/转发/导出等不合规的操作行为予以报警。
-
Email Management
Question:
- From a data loss prevention (DLP) perspective, does the scanning of outbound email include blocking or scanning of email content and attachments, including encrypted attachments?
-
- Are email servers required to have active anti-virus / anti-malware software installed that includes scanning email attachment for malware (e.g., trojans, spearfishing)?
-
Answer:
- 具有规范的邮件系统网络架构,能够厘清邮件出入本系统的逻辑路径。
-
- 对出入本系统的邮件配置有相应的防病毒、防恶意软件、反垃圾邮件、邮件黑(白)名单、邮件加密等服务。
-
- 定期对邮件系统进行风险评估,比如用到了MS ExRAP。
-
- 除了普通邮件客户端,本企业还提供Web版的外网邮件访问方式,也有相关的安全设置,比如用到了MS ISA。
-
- 禁止用户手动批量转发或将企业邮箱里的邮件通过规则来实现自动转发。
-
- 运用反垃圾邮件系统通过扫描各种入站邮件,来防止钓鱼和保障内网安全。
-
- 为保证邮件系统的持续可用性,采用了SaaS服务来保证企业内邮件服务中断时,用户仍可用公网途径收发邮件。
-