《前言》
任何制度的訂定,一定會有其目的,所以這次我們就如何撰寫目的的部分,做個說明,目的就是訂立制度所要達到的結果,即使不見得短期內達得到,但是,至少是個方向。
==================================================================
(1) 資安署112年資通安全稽核計畫裡面所提到的目的,如下:
貳、目的
一、查核公務機關及特定非公務機關辦理資通安全管理法及其子法相關法遵事項之落實情形。
二、經由外部稽核各機關資通安全維護計畫實施情形,改善並強化機關資通安全防護工作之完整性及有效性,以持續精進管理政府整體資安風險。
(2) 上市上櫃公司資通安全管控指引
第一章 總則
第一條、 為協助上市、上櫃公司(以下簡稱公司)強化資通安全防護及管理機制,並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業,特擬定本資通安全管控指引。
==================================================================
《探討及分析》
參考了上述兩個規定之後,我們可以寫成下列的方式:
貳、目的
一、為符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業,並配合「上市上櫃公司資通安全管控指引」之要求,落實內部稽核或外部稽核之實施,藉以改善並強化內部資通安全防護之完整性及有效性,以精進公司管理整體資安之風險
,故擬定此資通安全管理辦法。
二、相關的名詞解釋。(此部分依公司狀況填寫)
我們看這部分其實與前篇的《法令依據》有重複的狀況,不過,重點就是要把「風險」寫入目的之內,有的公發公司如果比較詳細,會在此部分定義相關的名詞解釋,在資安署及上市櫃資安指引裡面都有相關的名詞解釋可以參考。
在《目的》的部分,為何我們要強調「風險導向」? 主要是因為目前法令上面,有強調風險,所以一定要將這部分寫入目的之內。
不過,有些小資本的公發公司,如果公司組織很精簡的情況下,基本上不太會考慮到「風險」的問題,也不可能提出任何資安風險分級,或者評估報告、自評之類的前置作業報告,就以風險導向作為目的來說,實則沒有太大的意義。
因此,有鑒於大公司與小公司之間的落差,大公司每年可以編列預算來作風控,加強公司的資安防護,這點是無庸置疑的,但小資本的公發公司,由於本身的限制,最重要的,除了做好基礎的設施及資安教育之外,其實就是配合稽核單位的檢查,以達到落實資安的目標,基本上這樣就已經算是合格了。
筆者也提供一些觀點,主管機關最好能夠考慮公發公司的實際狀況,以及公發公司資安所能達成的狀況,作出產業的分級,考量的條件如下:
1. 資本額大小
2. 產業別
3. 組織人力
通常我們會以高標準為例,這是絕對沒錯,不過,如果是體質較弱的公發公司,主管機關也應該做出適當的區隔,讓這些較小公司不至於在無法達成的狀況下,產生極大壓力,或者浪費不必要的成本支出,最後無法達成主管機關對資安的要求。