《前言》

最近看了幾篇同業所分享的資通安全檢查的稽核報告，先說明一下，這裡所講的稽核報告，不是電腦稽核報告，是公司的稽核部門所做的查核報告，也就是我們當前最普遍說的「第三道防線」所做的稽核報告。如果依過去的標準，稽核報告的內容都是合乎規定的，不過，隨著資安的技術跟範圍不斷的加大，以目前的標準來看，可能會越來越跟不上資安的變化，這個問題是沒辦法短期內解決，加上公司人力配置的限制，所以還是需要時間逐步的擴充解決。

以下筆者來說明，有關資通安全檢查的稽核人員配置，注意，本次是稽核單位在資通安全檢查內的稽核人員配置，並非資安單位的人員配置。

=====================================

=====================================

《探討及分析》

數位部的稽核團隊，陣仗不小，分成領隊、協同領隊、稽核委員、觀察員以及技術檢測團隊，依上表一共有12名成員，大家都可以在上面的說明與表格當中看到職責的分配，就以稽核委員來說，當中還有額外的配置人員，當中更強調需要產、學、研等的條件，才能擔任稽核團隊的成員。

當前的公發公司能夠達到這個規模跟條件，應該沒有幾家可以辦得到，規模較大的，容易被攻擊的公發公司，在書面內控裡，是應該將這部分列入資通安全檢查的作業項目之內。只是，小型的公發公司可能就完全沒辦法擁有這樣的稽核團隊了，甚至有的公司，稽核單位只有一個人的情況下，這樣很難去訂定資通安全檢查的制度，以及依此規模去稽核公司的內控了。

在此，筆者還是建議，不管公司大小，有關稽核單位的稽核人數，最好是寫入資通安全管理的作業之內，另外，就是要將董事會具有資安相關專長的獨董，列入資安稽核組成團隊之內。在稽核單位建立明確的稽核架構之後，之後再慢慢根據稽核的結果，視情況建議資安負責單位增加預算或擴充組織人力。

因此，我們在建立公司制度時，大概可以參考資安署的方式來撰寫資通安全檢查的書面內控有關稽核的部分，並朝資安署的方向來努力：

資通安全檢查有關稽核組成及配置：

1. 稽核主管：主要召集人，1人。
2. 技術協助的人員：資訊或資安單位派員協助，人數：共 人 。
3. 需回報或提供協助的單位：獨立董事、總經理、資安單位，人數：共 人。
4. 其他，人數：共 人。