很快的,資訊查核的時間,咻~一下就過去了,1~2個禮拜的工作天(上軌道之後,順利的話通常2~3天就結束了),主要為資訊的蒐集與訪談,只要平常都有按部就班的執行,這些查核都只是些例行公事,並不會耽誤掉太多時間。(啊!這樣也可以講那麼久喔!)
而且配合公司內部的稽核制度,有確實落實執行,都不會有太大問題的。
那為何還要每半年進行查核呢?主要就是檢討之前查核的問題,是否有得到改善與落實。這些都是資訊主管必須與會計師資訊查核人員做好溝通的工作,並達成雙方的共識。
舉例來說,會計師基於資訊安全與權責控管的考量,會要求執行ERP程式修改的人員,其正式環境的執行權限必須受到限制。也就是說,開發人員不得在正式環境中有修改程式或上線程式的權限,以確保正式環境中的程式都是被經過認可後上線的。
您可能會跳腳了,我一個部門才多少人?而且懂ERP的人也才這個一個,怎麼可能做這樣的區分?當下您可能就要反彈了,可是認真想想,這是有必要性的,如果開發人員任意將程式上線,而沒有人知道,這樣您會安心嗎?所以,先考量其合理性,再來想權宜的措施與作法,與審核人員溝通,並擬定出可行的辦法,於書審問題回覆時將作法與改善方式回覆給會計師,以作為日後查核之依據。
以當初上櫃審查時的經驗,查核的項目真的非常仔細,各種權限控管措施,程式修改的時間與申請單據上面所記錄的修改完成時間/上線時間是否相符,上線程式的 Owner 是誰等等;更甚者,在檢視ERP 作業系統的安全性時,會於伺服器上執行一些 Script,當下各種資訊全部呈現,比對鉅細靡遺,當下真的傻眼,也真正感受到資訊安全控管要做到什麼程度,原來自己的認知還差這麼遠。
其實,我對於IT管理工作的認知,很多都來自於資訊查核過程中所提出的疑問與檢討,知道哪些部分沒有達到安全的要求,並想辦法去改善與落實。
從前每次看到電視新聞在報導
什麼消防演習、防震演習
都覺得很無聊、浪費人力資源
現在看法改變了
演習再怎麼假
在過程中
還是能讓所有參與的人員
或多或少學習或體驗到整個過程
萬一有一天真的碰上了
還是有幫助的
公司資訊管理制度的檢核
即使讓人覺得官樣文章,或浪費時間
但還是可以在過程中
讓參與人員再次檢視及學習到
許多平常可能遺漏的細節
還是有幫助啦
真的有幫助(有很多記錄可以證明有在工作...)