iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 3
2
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 3

[Day 03] 資訊系統稽核流程 (Case)

  • 分享至 

  • xImage
  •  

前言

第一步規劃時,制定以風險為考量的稽核策略。本來Day3預計講風險管理,剛好最近有事件,就先拿案例開始


金管會 - 裁罰案件 南山人壽保險股份有限公司「境界成就計畫專案」

1.專案控管作業:

未將該專案管理團隊是否有效評估及控制合約內容可能衍生之風險,及履約過程是否建立妥適之內部控制監督機制等項目納入查核,致無法適時提供相關改進建議,不利董事會之有效監督

2.採購控管作業:

境界專案之採購係直接與特定廠商合作,未依一般採購程序辦理及比價,該公司初始採購即未依其內部採購作業準則辦理,且未能在採購前完整評估掌握專案需求及時程,致專案進度延遲並大幅追加預算

3.財務控管作業:

該公司因境界系統上線後之投資型保險商品帳務處理系統錯誤,導致帳務不正確

相關新聞

聯合新聞網 - 歷年罕見!南山人壽裁罰案 金管會說明稿長達六頁
商業週刊 - 南山風暴追蹤》「大爆炸」轉型失控,投資銀行鋼鐵教父被停職
https://ithelp.ithome.com.tw/upload/images/20190918/200777529ikPCXCJ6s.jpg
圖片來源
天下雜誌 -【南山人壽啟示錄】台灣金融業最具野心的數位投資,為何變成600萬保戶的夢魘?

依照新聞收集到的資訊 (片面資訊可能不完全)

  1. 境界成就計畫自2014年中啟動,但直到2017年底總稽核才辦理專案查核
  • 影響:
    未將該專案管理團隊是否有效評估及控制合約內容可能衍生之風險,及履約過程是否建立妥適之內部控制監督機制等項目納入查核,致無法適時提供相關改進建議

專案進行開始時就需要請稽核人員參與,稽核人員控制

  1. 系統上線未進行平行測試,或相關完備之替代測試方案,草率匆促取代舊系統上線,致產生諸多問題
  • 影響:
    系統測試範圍不完整及程式功能未完成修復,導致投資型保險商品之系統功能頻繁出錯

為達到資料一致性、功能完整性,新系統上線時通常會保留舊系統,在災難發生時才能及時還原,當然成本會增加。

  1. 系統有發生作業重大缺失事項,卻未依規定即時向本會辦理重大偶發事件通報

須依據法規執行、未通報的風險可能會導致巨額罰款。以GDPR為例,一旦發生個資外洩,需要在72小時內通報給主管機關,如果沒有即時通報,會被處以2千萬歐元或全球總營業額4%的罰鍰。


在DEVOPS界熱門的書,非常建議到圖書館借,可以當小說來看,與這次南山的情況很像 。
故事簡介:
新的IT改造計劃,代號鳳凰專案,對無極限零件公司的未來至關重要,是組織能否起死回生的關鍵,然而,這個專案嚴重爆預算,進度大幅落後,CEO要比爾接管相關IT事務,直接向他報告,並於九十天內收拾爛攤子

來看看別人的[讀書心得]
作者最後成功拯救公司並不是靠「鳳凰計劃」,而是一套完整的系統監控與自動化開發環境,讓開發與部署可以順暢且可靠
https://ithelp.ithome.com.tw/upload/images/20190918/200777526YQHzXh5kP.png
《鳳凰專案-看IT部門如何讓公司從谷底翻身的傳奇故事》

三步工作法

  • 第一步 暸解工作目標是否連結公司目標
  • 第二步 建立自動機制、快速反應回饋
  • 第三步工作法 建立風氣、文化

上一篇
[Day 02] 資訊系統稽核流程 (Introduction)
下一篇
[Day 04] 資訊系統稽核流程 (Risk-based Audit Planning)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言