iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 20
1
Security

IT安全稽核系列 第 20

4.11單位內因業務需要開放給外部使用者之資訊,是否作風險鑑別,並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?

  • 分享至 

  • xImage
  •  

以下我們還是根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續第四部分的分析。

四、資訊安全組織 (資訊安全組織、人事及資訊單位)
4.11單位內因業務需要開放給外部使用者(含其他機關、往來業者、維護廠商、委外承包商、臨僱人員及一般民眾)之資訊,是否作風險鑑別,並於契約或規定中包含資料保護、資訊保密、服務水準、智慧財產權、事故發生處理及違反處理等條款?

說明:此項說明二個重點:1.盤點。2.風險鑑別。

年底開始,大部分公司都開始進行盤點,機房設備也是要進行一次性盤點,如果以財會部門來說,就是點實體的設備是否列入資產編置裡面,財產經盤點後,會填寫盤存報告表,會紀錄下差異應查明原因,如果有盤盈或盤虧者應為財產增減之登記、損壞或殘缺者應予以修復、報廢或責令賠償等等。

但無形資產盤點,大部分公司卻不見得很確實的去盤點這塊,我們看一般公司在盤點的辦法裡面,通常會寫**「另專利權、電腦軟體及租賃權益屬於無形資產,其管理同固定資產。」**

請注意看到,同固定資產,所以公司的一些屬於無形資產是否有盤點表呢?我想這個相對就更複雜了,因為這無關盤虧、盤盈,如果部分歸到修復尚且可以,但說要報廢、賠償那相對就有難度。而且題目中有個智慧財產權,那就更複雜了。現在法令中的智慧財產權規定極為嚴格,一般的公司如果有涉及智財或者專利,那層級上就要列入最高層次了,畢竟這種智財和專利,只要被告贏一次,就足以讓公司垮掉。

所以無形資產的盤點,就要很慎重了,因為這種東西,平常大家都沒有注意,就是連專業會計師也不一定太注意,所以本人列舉出下列幾點,給大家參考:

1.合約是否已經到期,注意審視合約,到期須續約則續約,若有過期,馬上進行更換合約,若已無效則作廢。
2.如果經專利單位判斷,有侵權或已侵權,請盡速找法務單位,進行法律諮詢。各位資訊人員,切記網頁配合更新。
3.專利盤點時,發現有未註冊之專利,或有可能申請專利之產品、程式碼...盡快請專利單位鑑定,並即刻申請,免得被對手搶先登記。
4.如果已經把技術轉移他人,請確認權利金是否收齊,合約內容是否須更新?
5.他人授予公司權利金時,更需檢視合約,是否已付給授權公司權利金,注意是否過期等等。

以上,我約列提了五點,其實,這可以寫成一本書了,我僅列舉部分給各位參考,各位看鐵人賽裡都有規定,版權所有之聲明,同時也給各位教育一個觀念,千萬不要未經作者同意,就引用他人文章、照片等等,屬於他人創作之作品,並作商業之用途,即使不做商業用途,也要寫清楚,從哪裡引用,作者是誰,請各位莫輕忽,只要被抓到一次,告一次,賠償可不是一般人能負擔的起的。

因此我最後也在本篇聲明,it鐵人賽本人所發之所有文章,除配合2017鐵人賽之規定,其餘版權皆屬本人所有,切莫抄襲、盜用或挪作商業之用,如有需引用,也需註明作者、出處、時間等等,感謝各位!


上一篇
4.10 是否定期或資安作業環境發生重大變更時,召開管理審查會議,獨立審查資訊安全政策、目標、程序及控制措施?
下一篇
4.12對於開放給客戶存取權限前,是否作風險評估及實施必要管控?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-23 10:23:02

公司最大的風險其實是人

我要留言

立即登入留言