iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 27
1
Security

IT安全稽核系列 第 27

8.7資訊業務委外辦理期間,是否定期對廠商所提供之服務、報告及記錄等進行監控與審查,並定期進行稽核?

最近我買今年110歲剛過世的中國大陸,有漢語拼音之父之稱的 周有光先生的百年口述這本書,其實,有點覺得相見恨晚之感,我之所以想讀他的書,是因為我在某個網頁裡看到以下這篇文章:

周有光:今日中國為何出不了大師?
https://read01.com/OEzQRy.html#.Wkb9AN-WaUk

仔細讀過之後,當時就想買他的書來讀,姑且不說其他的,他說到一點,「學問和管理能力是兩碼事。有的人有管理能力,能辦事,可是不能做學問;有的人有做學問的天賦,可是不能搞管理。」

天賦這種東西,要實際去嘗試,自己去發掘,才能知道自己到底適不適合,了解自己沒這個能力時,到底可不可以放下,回歸原本的自己,這真的很不容易吧? 真的很難~~~~

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,我們跳到 8.7項的分析。

八、通訊與作業管理 (資訊及業務單位)
8.7資訊業務委外辦理期間,是否定期對廠商所提供之服務、報告及記錄等進行監控與審查,並定期進行稽核?

說明:此項說明一個重點:1.資訊委外稽核。

我曾在一家上櫃公司擔任稽核主管,這家公司在台灣規模不大,就是類似一個小辦事處的規模,因為生產這些都不在台灣,因此台灣的公司就委外,負責系統及硬體的維護。

機房其實不大,剛到任時,因為公司剛搬,所以機房也沒上鎖,其實這些都是可以慢慢的弄好,畢竟本來就有有自己的內部控制辦法,只要依循著書面的程序,基本上,都沒甚麼太大問題。

外部的資訊廠商,也很願意配合,甚至我也曾經拿著這個行政院的資通安全稽核外部稽核表跟他討論,他也熱誠的提供不少建議,基本上,配合度很不錯。因此在稽核上,並沒有太大問題。

另外,我還是請外部廠商提供定期的報告給稽核單位,這份定期報告,我們是面對面的方式討論完成的,主要考量這些外部廠商,來公司巡查的時間雖然固定,但是處理大大小小事情實在太繁瑣了,而且有時候也必須趕到下一個客戶那裡處理其他事,在考量時間有限及公司規模大小的情形下,如果沒有太大資安問題,還是會有些彈性的調整的,我想彈性還是很重要的。

然而,公司的其他員工是完全在打馬虎眼的,如果是一家沒制度的公司,也就算了,但是都已經上櫃了,居然還有主管說,只要審查完畢,誰會遵守這些制度…這令我很無言!

所以,只要碰過資安的,應該不意外,都會有共識,「最難搞的是人」。


上一篇
7.22設備報廢前是否將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫?
下一篇
8.26是否訂定可攜式媒體(磁帶、磁片、光碟片、隨身碟及報表等)管理程序?
系列文
IT安全稽核30

尚未有邦友留言

立即登入留言