iT邦幫忙

2023 iThome 鐵人賽

DAY 7
0
Security

資通安全管理法入門系列 第 7

[Day 7] 內稽

  • 分享至 

  • xImage
  •  

隨著前幾天的標題式介紹,我們理解到資訊安全管理是維護資安文件、資訊資產盤點、以及風險管理的三個核心部分。透過這些管理方式,所有的同仁都能夠深度參與到資安管理的過程中。

不過在落實的過程中,總會出現誤判或填寫不確實的情況。資安管理應該被看作是一個持續的PDCA流程,而非一次性的任務。因此,內部稽核在這裡起到了“Check”這一重要環節,確認我們的計畫到底執行得如何,哪些部分流程化得良好,哪些還有改善空間。

作為稽核的參考依據,我們可以查看《112年資通安全稽核實地稽核表_適用公務機關》
https://www-api.moda.gov.tw/File/Get/acs/zh-tw/dM2hsMRGZ4MW8cq
點入連結時,發現內容項目眾多,但主要為以下九大重要項目:

(一) 核心業務及其重要性
(二) 資通安全政策及推動組織
(三) 專責人力及經費配置
(四) 資訊及資通系統盤點及風險評估
(五) 資通系統或服務委外辦理之管理措施
(六) 資通安全維護計畫與實施情形之持續精進及績效管理機制
(七) 資通安全防護及控制措施
(八) 資通系統發展及維護安全
(九) 資通安全事件通報應變及情資評估因應

對於內部稽核,建議主要針對部門資安窗口,尤其是(四)和(五)這兩個部分。而其他大項次可以由資訊單位或協力幾位相關業務承辦應可完成。

透過口頭訪談或抽查的方式,可以確認資安窗口或抽點幾位同仁資安素養的程度,例如:密碼強度?有沒有定期更換?有沒有用防毒軟體?程式有沒有定期更新?電腦內有沒有盜版軟體...等資安通識級的問題,來確認員工的資安習慣與認知。

在稽核過程中,紀錄軌跡是非常重要的,這可以確保所有的行動都有跡可循。
#切勿動手
是稽核中的一大原則。要求被稽核的同仁展示操作,而不是自己親自操作,因為是口頭指示因此要熟悉稽核相關動作。

透過內部稽核,不僅可以發現文件填寫的品質和資安維護計畫的缺陷,更重要的是,也能發現實際操作中的問題和不足。最終的目的,是希望透過內部稽核,真正提升機關的資訊安全水準。

進行內部稽核時,應該以合作的心態面對每一位同仁,因為大家的共同目標是確保資訊安全,而不是彼此之間的競爭。畢竟,真正的考驗,還在於外部的稽核。


上一篇
[Day 6] 風險再評鑑
下一篇
[Day 8] 資訊安全委員會
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言