iT邦幫忙

2023 iThome 鐵人賽

DAY 7
1
Security

公開發行公司資通安全管理內控之探討系列 第 7

Day 7 有關《稽核方式、項目及配分》的部分之一

  • 分享至 

  • xImage
  •  

《前言》

接下來的部分,就進入重要的資安稽核主題,也就是實際的稽核的部分,因為這部分比較長一些,所以,我們就先說資安署所說的《受稽機關分組》,以及《各組稽核方式》這兩小部分。

筆者使用資安署的稽核計畫來參考,主要是資安署的稽核計畫,比之於一般公發公司的資通安全管理檢查都要的完整,因此才會以資安署做為範本,來撰寫資安稽核計畫。

我們有了這個稽核計劃書之後,應用到公司內部更單位的循環內控裡面,就不會沒有方向的去查核內控制度了。筆者個人在看完資安署的資安稽核所做的文件,覺得內容很嚴謹,而且也容易了解,對於公發公司的最後防線,是可以拿來做資安稽核的範本的,同時,也對於公司未來強化資安治理的幫助很大,相信對於公發公司的資安稽核會一定有幫助的。

=========================================
https://ithelp.ithome.com.tw/upload/images/20230921/20107482lqv077jg96.jpg

=========================================

《探討及分析》

我們可以看到這部分,資安署在做資安稽核之前,會先做分組的動作,也就是上面的表3,這個分組是依照責任等級來分的,公發公司的各受稽單位,是可以參考資安署的方式,看是否要依責任來分等級,或依工作重要性來分等級,又或者以網路使用量大小,不然就是依資料機密性來分等級亦可

在分級之後,公發公司在做稽核時,有了抽樣邏輯之後,就可以進行抽樣,通常焦點還是會放在分類等級較高的部分進行抽樣,這裡要強調,並非等級較低的就不重要,而是查核的樣本數多寡的問題。舉例來說,例如有的部門需要大量使用雲端伺服器儲存資料,此時,我們就需要多抽核樣本來檢視其安全性的狀況,相對的,有的單位只是一般作業性質的工作,雖然使用雲端儲存資料,但是機密性不高,如此,在有限人力之下,就不用大量抽核,或者安排其它時間查核。

抽核樣本數到底多少才夠?這個並沒有界定得很清楚,尤其是資安,有些東西是要看一整個單位的資料,一檢視可能在伺服器裡就存放上萬筆的紀錄,所以,抽樣邏輯就得要分的很細,理由也要夠充分,最重要的就是這些抽樣,都是為了有效控制風險,如此的檢核才能具有有效性。

筆者依照資安署稽核分組,在此撰寫個範例給大家參考,如下:

https://ithelp.ithome.com.tw/upload/images/20230921/20107482dWoew5ylpI.png

有了上表的分類之後,就可以依據實際狀況去做實地或者技術檢測的勾選,參考如下:

https://ithelp.ithome.com.tw/upload/images/20230921/20107482MtSPEA7kAu.png

其餘各單位依此類推,如此大概就能確定重要性及檢測,在這裡我們也參考資安署的說明,有必要延伸查核的部分,例如機房,也可以在底下做個說明,參考如下:

稽核單位在做稽核時,得延伸至重要系統所在或機房,另可以依實際需要動態調整稽核天數,不以原通知稽核日期為限。

以上給大家做參考。


上一篇
Day 6 有關《稽核依據》&《稽核範圍》的部分
下一篇
Day 8 有關《稽核方式、項目及配分》的部分之二
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言