iT邦幫忙

2023 iThome 鐵人賽

DAY 8
1
Security

公開發行公司資通安全管理內控之探討系列 第 8

Day 8 有關《稽核方式、項目及配分》的部分之二

  • 分享至 

  • xImage
  •  

《前言》

這部分就要講到技術檢測以及檢測項目有哪些,另外就是該如何以量化的計分方式呈現風控導向的資安主要還是需要量化數據,有了量化數據分析之後,就可以在未來將這些數據導入統計分析,所以在設計這部分就要詳細把分數的計算方式羅列出來,以下我們就來看看這部分的量化方式。

==========================
https://ithelp.ithome.com.tw/upload/images/20230922/20107482gfESJJzyoi.jpg

==========================
《探討及分析》

這張表可以直接應用到公發公司的技術檢測上,事實上,這些檢測項目,對於大部分的公發公司來說已經足夠了,但是,重點在於,稽核單位如果自身沒有相關的背景,是否能夠得到相關人員的協助完成稽核報告分析?

以我們當前的內控制度規定來說,大致上會檢測到的部分,大概是在第三項的「網域主機安全防戶檢測」,其它項次可能大部分公司,就比較沒辦法做到,當然有的部分是可以請外包商或者資訊人員協助提供檢測結果,但是,如果沒辦法發現當中的問題,可能得到的就只是一個毫無意義的分數。

目前有些公司是給外部機構做檢測,所以,在股東會年報上都會看到檢測外包的方式,只是還是沒看到發行公司把這類評分檢測的項目列出,我們大概也只能看到一個結果評分,並無法得知在那個方向該強化,以及公司未來如何改善,所以一個評分的結果,對於風險導向所強調的「風險」,實際上,是看不到風險在哪裡?

另外,大家也注意表格下方的2~4項,主要是針對如果表格內的項次,正好該單位沒有相關,那麼就將該項次的評分扣除之後,在乘上100。我們在做資安稽核,通常會針對各部門當中的某個單位做抽樣,資安署在112年度,主要是針對A級的責任分級做資安稽核,一般公發公司如果在人力、時間有限的情況下,項目可以暫時不需要那麼多,但是,還是要先做能做的項目,並且說明其它項目為何目前無法做到的理由,總之,量化數據是第一步,逐步的累積上去,當資料充足之後,就能得到更有意義的數據分析結果,這樣對於公司總體資安稽核品質的提升,會有一定程度幫助的。


上一篇
Day 7 有關《稽核方式、項目及配分》的部分之一
下一篇
Day 9 有關《稽核方式、項目及配分》的部分之三
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言