《有關資訊安全之違法事項:》
(三)辦理防制洗錢及打擊資恐業務之人員具有利益衝突之兼職,與行為時保險業防制洗錢及打擊資恐內部控制要點第6點第2款規定不符。
《筆者分析》:
這個案件是糾正案,主要問題點在於利益衝突之兼職
,筆者以此探討一下,資安長的職位條件,我們可以參考以下的金融控股公司及銀行業內部控制及稽核制度實施辦法規定(如下圖),
資安長為獨立專責單位主管,為了獨立運行,所以不能去兼職資訊管理的職務,畢竟,資訊安全如果有兼職的情況,就不具獨力性,如果兼任其他職務,有很大的機率會利用職務之便,竊取公司機密文件及獲取不當的資訊,因此,這個糾正案也明確的告訴大家,資安長的條件是很嚴格的,同時,也需要每年受相關的訓練,才能符合任職的條件,故筆者舉此案為例,讓大家了解這個職務的重要性。
以下為台灣大學計算機中心認為資安長(CISO)的資格條件,大家也可以做個參考:
http://www.cc.ntu.edu.tw/chinese/epaper/0048/20190320_4811.html
所以,我還是洗洗廁所、打打草就好了~.~
哈哈!
所以法令一攤開看,要求其實是很嚴的,不過,這是金融保險業,相對會比較嚴格,很多企業目前都還沒開始,或者說沒有很注意這塊,慢慢要求會越來越多的!