加強人員教育訓練之有效性
A.8.2.1應加強人員教育訓練之有效性,範圍內人員對於相關管理辦法、作業表單使用時機認知不清。
案由背景:
稽核人員至某校計資中心進行稽核,查檢至系統組時發現其四階表單上的承辦人及相關單位須簽核之處,並無任何簽字與蓋章,經詢問後得知未實際跑流程簽章之原因,在於承辦人以為資安事件一發生時既已通報並告知組長,則無須再進行後續的簽核行為,因此才自動省略後續流程;之後稽核人員又發現內部稽核相關表單中,關於永久性對策之欄位皆空白未填寫,進一步了解始知未填寫的原因,在於當時填寫矯正預防單的人員以為暫時性對策已足以改善缺失,故毋庸再填寫永久性對策。
原因分析:
此案例中相關人員未確實簽核或填寫表單的原因,皆係因為該些人員對於相關管理辦法、作業及表單使用時機的認知不清,而深究其背後之因素在於各單位人員異動頻繁,於業務交接上未有一定之標準或規範能有所依循,致使新進人員不了解其業務所需的作業流程。被稽核的原因剛好都是出現在新進or新交接任務人員,對工作本分上須要遵守的標單填寫處置原則不是那麼了解,屬於教育訓練不夠落實。
矯正預防方式:
為確保新進人員對於資訊安全有基本認知,故該校計資中心的暫時性對策是擬定《新進人員須知》,而此份須知的內容係依據查核表的控制項,從中選取一般新進人員應知道之項目,將其化為較白化口語的敘述,製作成一份一般新進人員皆須知悉的資安注意要點。
此外,再請各單位(如:系統組、網路組、研發組等)就其業務所需,另行再依控制項選取該單位新進人員應知之項目,另行製作一份新進人員須知。
而針對此次所開缺失的永久性對策,則是不定期安排教育訓練、資安宣導與資安測驗,讓同仁們能對於資安管理辦法與相關作業流程更清楚與瞭解。
若僅針對前述新進人員進行新訓,當在同一單位職務時間一拉長,可能或遺忘或疏漏,所以還需要定期排教育訓練,以提高同仁對資安的重視。
案由背景:
稽核人員至某校計資中心進行稽核,查檢至系統組時發現其四階表單上的承辦人及相關單位須簽核之處,並無任何簽字與蓋章,經詢問後得知未實際跑流程簽章之原因,在於承辦人以為資安事件一發生時既已通報並告知組長,則無須再進行後續的簽核行為,因此才自動省略後續流程;之後稽核人員又發現內部稽核相關表單中,關於永久性對策之欄位皆空白未填寫,進一步了解始知未填寫的原因,在於當時填寫矯正預防單的人員以為暫時性對策已足以改善缺失,故毋庸再填寫永久性對策。
原因分析:
此案例中相關人員未確實簽核或填寫表單的原因,皆係因為該些人員對於相關管理辦法、作業及表單使用時機的認知不清,而深究其背後之因素在於各單位人員異動頻繁,於業務交接上未有一定之標準或規範能有所依循,致使新進人員不了解其業務所需的作業流程。被稽核的原因剛好都是出現在新進or新交接任務人員,對工作本分上須要遵守的標單填寫處置原則不是那麼了解,屬於教育訓練不夠落實。
矯正預防方式:
為確保新進人員對於資訊安全有基本認知,故該校計資中心的暫時性對策是擬定《新進人員須知》,而此份須知的內容係依據查核表的控制項,從中選取一般新進人員應知道之項目,將其化為較白化口語的敘述,製作成一份一般新進人員皆須知悉的資安注意要點。
此外,再請各單位(如:系統組、網路組、研發組等)就其業務所需,另行再依控制項選取該單位新進人員應知之項目,另行製作一份新進人員須知。
而針對此次所開缺失的永久性對策,則是不定期安排教育訓練、資安宣導與資安測驗,讓同仁們能對於資安管理辦法與相關作業流程更清楚與瞭解。
若僅針對前述新進人員進行新訓,當在同一單位職務時間一拉長,可能或遺忘或疏漏,所以還需要定期排教育訓練,以提高同仁對資安的重視。
