《前言》
在上一階段,對於各單位的「技術檢測」之後,再來就是有進入有關於資安的「策略面」、「管理面」以及「技術面」的實地稽核。
==================================
==================================
《探討及分析》
這張表格,筆者覺得對於公發公司,是個非常好的資安治理重點精簡版,對於發行公司來說,有了技術面,就要有相對的管理跟策略面,這三部分整合之後,才能讓公司整體公司治理提升。
我們來看看這張表上面的分數配置,首先,技術面佔了40分,尤其在第七項「資通安全防護及控制措施」分數配置最高,大家可以注意到「防護」這兩個字,也就是說,當前的公發公司一定要做好「防守」,畢竟,能夠主動還擊的能力,並非是一般發行公司所能具有的能力,所以在這部分配分較高是必然的。
再來,是管理面,其中第四項所提到的「資訊及資通系統盤點及風險評估」,這部分在前面幾篇文章當中,有提過很多次,對於風險的評估
要特別注意,尤其在股東會年報當中,最好是有量化數據,以及評估重點有哪些?公司各單位的風險高低等等,都要做出評分及數據佐證,這部分對於技術面的幫助很大,因為在風險評估之後,就要技術面協助強化弱點的部分
,所以這些都是環環相扣的。
最後,也是最上層的策略面,所謂策略,換句話說就是組織的走向,其實策略是最難的,有的公司是有很好的技術,同時也有很強大的管理人才,可是公司方向一走錯,往往就會萬劫不復了,這也是當決策者最難的地方。管理與技術單位,可以提供很多不同的意見,在這麼多的意見裡面,最後要選甚麼當成方向,而這個方向到底是對還是錯,還很難說,這就是組織最難為的地方。
這張表,筆者覺得很好,所以在寫資安稽核計畫時,這張表是可以好好的運用的。
以上給各位參考。