所有者の承認なしにデータへのアクセスを許可することは悪い前例を設定しますか?
私は、プロジェクトの期間中、サーバーに顧客データを保存することを含む契約作業を行う小さな会社で働いています。最近、各チームが自分のフォルダにのみアクセスできる、より厳格なフォルダセキュリティを採用しました。たとえば、場所1のチームAはチームBのデータにアクセスできず、場所2の姉妹チームAのデータにもアクセスできません。これは顧客のフォルダセキュリティを模倣しており、上司、アカウントのディレクター、および最も機密性の高いデータを持つチームを代表するマネージャー。
当然のことながら、私はその後、追加のアクセスを許可するように複数のリクエストを受け取りました。私は、ターゲットフォルダー内のデータの所有者に最も近いチームのマネージャーが、要求の書面による承認を提供することを主張しました。毎回、私のチームリーダーは、古いサーバーで許可されていたため、時間の無駄であり、アクセスを許可すると言っていました。毎回、私は主張してきました。私の上司は私のチームリーダーが正しい電話をかけると信じているので、私のチームリーダーの側にいます。
ITが所有者の承認なしに(または私たちが必要とする限り近くで)顧客データへのアクセスを許可することは悪い前例を設定すると考えるのは間違っていますか?より具体的には、ISO 27001またはNERC標準の将来の採用を危うくする可能性がありますか?
ISO27001に関する質問に答えるには; ISO認定は、監査時に有効な慣行とプロセスに基づいています。元のプロセスが部屋の真ん中にあるUSBスティックにすべての機密データを残すことでしたが、今度はプロセスを変更して適切なアクセス制御、権利管理などを行う場合、ISO認定はあなたが何であるかに基づいて行われます。今やっています。
一方、上司が監査中および監査後にセキュリティ対策を定期的にバイパスしている場合は、ISO認定を取得できません。
特定のシナリオでは、チームの各ペア間に共有ゾーンを確立して、アクセス許可を引き続き強力に保ちながら、制御されたアクセスを許可できるようにすることをお勧めします。共有ゾーンが確立されると、共有する対象の選択はITの責任からグループのマネージャーに移ります。ドキュメントをゾーンから削除する必要がある場合は、それも簡単に実行できます。ユーザーが怠惰になり、共有ゾーンにすべてをダンプすることへの懸念は、マネージャーの問題です。