iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 8
0
Security

IT安全稽核系列 第 8

1.8組織是否依已規劃期間執行資訊安全管理系統內部稽核,以確保符合資訊安全規範、法規等的要求?

有人提到一個問題,
如果工人在現場休克暈倒,難道還要等長官核准嗎??

講到暈倒休克,我就以個人親身經歷的經驗,來解釋這個說法的問題,因為這畢竟不能混為一談。

兩年前,我常到大陸出差(前公司),有個領班,他在這家公司已經超過二十年了,因為該公司為了方便核算薪資,堅決不肯改用輪班制,所有的人一律同時加班,因為趕貨的關係,平均一個人加班超過十八小時以上,某天早上,這位領班,七點半準備上班,突然在廁所昏了過去,最後病逝在醫院。我想這很明顯是過勞死,但大家也知道,大陸勞動條件其實很差,而且普遍也都沒甚麼法律知識,而上層的人第一時間,也是立刻則優撫卹,目的就是盡速把事情抹平,最後,死者家屬並沒有對公司提告,這事也就不了了之。

我提這個事件主要原因,並非探究過勞死的問題,我要說的是,一般公司,都有代理人制度,人都有不可預測的災難風險,如果突然某些原因發生,代理人制度就要啟動,以免影響公司正常運作,這並非長官核不核准的問題,而是在於公司的代理人制度有沒有完整。

正常公司的ERP裡面,都會設有代理人,當某些特殊情況下,這個機制就是要讓公司「繼續營運」。這已經不是長官核不核准的問題,公司運作,不可能因為一個人的偶發事故而停滯,除非是天災戰亂等等,不可避免之因素等等。

以下,我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討1.8的分析。

一、資訊安全管理系統 (管理階層、資訊安全組織)
1.8組織是否依已規劃期間執行資訊安全管理系統內部稽核,以確保符合資訊安全規範、法規等的要求?

說明:此項說明在於一個重點:1.內部稽核。

公司各部門的經理人,在根據適切性建立制度後,就要由各部門開始執行制度,制度面控管,是由各單位主管進行控制,然而,為預防各單位主管訂好制度,只是晾在那裡,或者根本不願意照自己訂的制度走,或者利用不當的權利徇私舞弊,因此,在較具規模的公司,就會設立稽核部門,在上市櫃公司,稽核就是直屬於董事會,董事會委派稽核部門,進行各部門執行業務狀況的稽核,確認是否根據自己訂的制度走,有任何問題都得要回報給董事會了解狀況。

目前很多公司的資安制度,其所訂定的資安辦法,似乎都算完整,事實上,坊間版本都差不多,講明了就是抄來抄去的,一點都不安全。而同一套衣服,並不一定適合穿在每個人身上的,所以這種資安制度,就只能拿來參考,還是得要修改到符合公司的資訊安全需要,才算可以行,否則漏洞百出,公司一發生事故,便是勞民傷財,得不償失。舉個簡單的例子,最近某家銀行,ATM就被外國專業駭客組織盜領,這種資訊安全上的漏洞,其實是防不勝防,資訊安全人員,如果平常沒有設立一套安全機制,能讓人如此輕易的植入木馬程式,這些問題,資安人員就得要負起責任了。這絕對不是只靠稽核人員稽核就能發現的,稽核人員都是「事後稽核」,而「事前防範」,就要靠第一線人員主動出擊才行。

最後,提到法令問題,以下是目前有關資安的法令,參考就好,我還是得說說稽核人員,很多稽核人員對於資訊安全的知識不足,才是大問題,靠這些法令並無法補足任何資訊安全的稽核,知識不足要如何解決?重點還是可以靠經驗累積,找出一套資訊安全的稽核模式,而這就得看稽核人員是否願意邊學習邊成長了。


上一篇
1.7是否有文件或記錄顯示管理階層對資訊安全管理系統建立、實作、運作、監視、審查、維持與改進之承諾?
下一篇
2.1是否鑑別適用範圍內之所有資訊資產及其擁有者?
系列文
IT安全稽核30

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-11 13:44:33

代理人制度,是個不錯的方式!!但也常會遇到一種狀況
代理人因對業務不夠了解,讓你吃閉門羹
前些日子再送修硬碟,遇到的情形就是這樣
代理人形同虛設,然後我最討厭聽到的就是,XX主管不再公司在開會,然後對方又不給主管聯絡方式(明明就有不給),你無法處理,又不給會處理人的聯絡方式.....

wkpeng iT邦新手 5 級‧ 2017-12-12 08:20:26 檢舉

代理人制度屬於不得已的情況下才啟用的,你所遇到的情況,應該啟用另一個制度,叫做客訴機制,妥善運用你的權利,才能確實保障自己!

謝謝wk大大!!~~

我要留言

立即登入留言