兩者的角色可從以下幾個層面來探討
1.組織架構
資安人員:
(a)可以隸屬資訊部,向CIO報告。但與各部門溝通協調時,容易遇到阻礙;又如果CIO不特別注重甚至漠視,則其角色功能很難發揮,因為有很多的資訊安全威脅與問題,發生在資訊部本身的比使用者單位來得多。
(b)隸屬CEO,以高階主管的高度與視野綜觀全公司的資安工作。除了角色權責可以與資訊部與稽核部充分釐清外,並可以便於與各部門溝通協調。
電腦稽核: 隸屬稽核部門,向董事會報告,純粹扮演查核與監督角色。
2.工作內容
資安人員:
(a)擬訂企業資訊安全的相關的文件,其適用範圍涵蓋企業各單位。例如:資訊安全政策、企業持續經營計畫、資訊資產管理程序、電子郵件使用與管理規定、客戶資料保護辦法……等。
(b)執行資安規定的遵循查核與調查。
(c)評估與審核資訊作業的安全措施與技術。
(d)實施資安教育與宣導
電腦稽核:
(a)除了稽核部門本身所需要的程序外,不負責擬訂其他企業活動的程序文件。
(b)依據法令或企業內各單位所制訂的各項程序進行遵循查核。
3. 專業知識
資安人員:
(a)具備管理、IT專業知識,並有稽核概念
(b)熟悉資安標準與法令
電腦稽核:
(a)具備稽核、IT專業技能
(b)熟悉內控內稽制度與法令
謝謝分享,寫的還蠻清楚的!
個人以為用更簡單的觀念看!資安人員就是"資訊人員";電腦稽核就是"稽核人員"。
電腦稽核所管的範圍大於資安人員,因為電腦稽核不只涉及資安,還包括法規、業務知識、作業流程、利用電腦或相關軟體支援稽核作業。
稽核雖然感覺比較是從事後的角度進行,但其實在擬定資安政策時也會要求稽核參加。尤其稽核所開具的缺失或建議,也會影響作業程序的修改。
個人針對frank的回應有小小不同的看法
資安人員並不一定是"資訊人員 "!!因為這樣太過簡單去定義資安在公司的角色. 例如我就不隸屬於資訊部,我平常也不管任何的軟硬體, 但我同意適合做資安的人必須具有一定的資訊背景.
電腦稽核與資安人員的工作都涵蓋全公司, 資安也要了解外部法規(例如個資法),也要了解業務知識與作業流程(不然無法設計出"可用"的資安管理制度以及規畫出"合理""適當"的安全控管流程, 更別論要幫業務單位想出在符合安全考量下的作業模式, 而不是一味的說不行),對於某些特定行業(例如金融業), 主管機關甚至對公司資安工作與管理訂有特別的規定.