前言
大約在2021年第三季初的時候,遇到客戶端的資訊安全內部稽核(ISO27001:2013)。稽核人員有問到廠商(我們公司)內部的帳號是否有共用,當時是回覆「帳號有設定唯一的擁有者」。實際狀況是帳號透過Google Sheet的專案列表作共享,只是有特定指定擁有者,因此是有資安疑慮的。
第一次會議
2021年11月初的時候在維運進度會議上提議進行導入密碼管理系統。原因有以下幾點:
- 資安因素:系統應盡量避免共用帳號。目前放置於Google Sheet作共享會導致有權限的人都可以存取該表格。
- 資安因素:應確認所管理之系統帳號皆為合法授權者,避免出現閒置 ( 無人使用 ) 帳號或非授權使用者帳號 ( 例如職務調動或離職者等 ) 。目前放置於Google Sheet作共享會導致非專案人員也有權限存取。
- 工作流程優化:目前放置於Google Sheet的表單資料過多和格式混亂,查詢不易。
第一次會議決議納入優先評估項目,二周後由維運工程師在會議上提出評估結果和方案。
第二次會議
第二次會議大約在2021年11月24日,會前已經透過Slack大致討論過可行性以及製作方案(圖A:導入方案比較表),因此在會議上由維運工程師正式提出導入方案,並由專案經理確認當前團隊適合方案後提交總經理,於核准後依據導入流程進行(圖B:服務導入流程圖)。
第二次會議決議採用唯一非官方的A方案,環境建置時間大約三周(2021年11月24日-2021年12月8日)(圖C: 預期導入時程表 )
第三次會議
第三次相關會議時間為2021年12月29日,當天會議上提出以下幾點正式導入時程:
- 2021年12月31日,對全部團隊發Bitwarden邀請,自行註冊。
- 2021年1月1日至1月14日共兩周Google Sheet和Bitwarden會並行,這段期間由維運工程師將帳號資料倒入Bitwarden,再透過專案經理指定專案權限開通。
- 2021年1月15日,將Google Sheet的帳號密碼列表刪除。
第三次會議決議照上述行程執行。
第四次會議
第四次相關會議時間為2021年1月5日,當天會議討論以下內容:
- 密碼管理系統使用率問題(團隊大概7人,有2人未註冊),決議由維運工程師協助輔導註冊和服務說明。
- 營運帳號保存問題。決議由營運人員自行保管,不用納入組織。
- 服務帳號保存問題。決議由營運人員和服務管理員共同保管。
- 主機帳號和專案帳號權限問題。決議由營運人員和服務管理員共同保管。
第五次會議
第五次相關會議已經結束宣導期,進行導入流程之檢討,提出以下問題:
- 註冊說明不清楚,有人註冊到官方版本。決議:流程新增必要使用說明文件,並於事後補充說明文件
- 導入過程中的通知未確實。決議:此項目為未確實執行標準流程。
- 這次導入規劃沒有新增到公司帳號傳送規定。決議:此項目事後補充即可,因為系統已經導入,算是附加價值。
- 未納入備份計畫,確認目前備份恢復計畫(演練)是否有需要調整。決議:流程要事前提出更新的服務架構圖,以便比較服務前後和評估是否納入備份計畫。
- 未列入檢討會議。決議:修訂服務導入流程。
結語
其實最大的問題會議上沒有討論到,實際導入時間從計畫到完成耗時2.5個月,規劃1個月、環境建置1個月、實際執行導入和宣導期0.5個月。規劃的1個月時間如果是非常急迫的狀況,有必要縮短。這此主要是規劃期間維運工單有許多急迫性問題,一直延宕,另外環境建置的1個月也是個問題,因為第一次架設會有學習成本,導致這一個月難以縮短,未來如果有急迫性任務應該要考慮找熟悉的人來處理(不過熟悉新系統的人是否熟悉目前架構就是另一個議題了,說不定有配合方式可以運作)。
另外一點是最早決定要導入的原因其實沒有100%解決問題,像是兩個資安因素,都是共用帳號的問題,但是最後還是沒有完全只有一人使用一組帳號,其實我在想就風險管理上,如果真的把服務帳號只給一個人,如果權限擁有者出事或是請長假的時候到底該怎麼辦?我的理解上資訊安全管理系統很重要的是究責和可溯性,如果以共同承擔風險的方式是否能夠避免這件事?
不過實際上已經達成「 系統應盡量避免共用帳號」、「 應確認所管理之系統帳號皆為合法授權者」和「查詢不易」等三個問題點,我覺得這次導入是成功的~