《前言》
在資安署的稽核計畫內,有提到《 伍、受稽機關》的部分,這部分會省略掉,因為,通常在一般的發行公司,稽核單位會發出信件,通知受稽單位做好資料整理與準備,但有的會採用臨時抽查的方式,這個部分屬於查核技巧,不多做說明,然而,在一般的發行公司不太需要特別註明受稽單位,但因為資安署根據法令,有分出公務及非公務機關,所以會把這部分列入考量,這是必要的,但發行公司就比較沒有這個問題,除非是官股公司,才需要納入這部分。
當然,有的公司會有子公司、孫公司等等的分公司稽核,但是,目前子孫公司規定皆需要有設專門稽核人員,因為有專責的子公司稽核,通常就不會針對稽核對象做定義,只要在稽核報告內寫清楚即可,所以本篇就直接進入稽核依據及範圍。
============================================
============================================
《探討及分析》
從資安署參考的稽核準則,大致上分兩部分:一般性的資通安全稽核與工控系統通用性的資安稽核。以資安署來說,一般性的資安稽核就會引用資通安全管理辦法等,共五個依據的資料。另外,屬於國家的工控系統,則會採用專業的國際標準技術文件的內容來做稽核。
同樣的,這部分在做資安內部稽核的時候,可以比照資安署的準則列出所必須參考的依據,所以我們可以以下列方式:
稽核依據 (此處我們不用「準則」而是「依據」)
1.主要依據:
(1)上市上櫃公司資通安全管控指引
(2)電腦化資訊系統處理---資通安全檢查之控制書面內控
(3) ISO 27001 (如果有導入)
(4)查核部門之管理制度是否列入資安,可抽查制度內容。
(5)所查核之內控循環是否依規定列入資安,例如,查核採購單位,採購在政府單位已列入資安,因此可以檢視採購合約做為查核主要依據。
2.技術性之相關依據:
此部分依產業狀況,例如在查核生產循環時,可能會檢視生產線工控的資訊安全狀況,又或者如航運業、半導體業等行業特殊性,就要查核設備是否依資安規定做好相關防護措施。
我們在撰寫這部分時,是需要技術人員整理資通安全的相關資料的,在資本額較小的公司,可以請求技術人員整理資料,在資料提供之後,請技術人員協助建立資安查核資料庫
,每年度依建立的資料庫進行查核,並且每年訪談技術人員是否有更新
技術性資料,查核經驗累積夠了,通常就能依據產業情況,逐年的了解技術性的資安稽核,有哪些該列入查核範圍之內。
有了以上的依據,有關稽核的範圍,就可以參照資安署的稽核範圍,參考撰寫方式如下:
稽核範圍:
稽核範圍為受查單位資通安全檢查,所包括之全單位及主要資通系統之各項資通安全管理政策、程序等。
以上給各位做個參考。