iT邦幫忙

2023 iThome 鐵人賽

DAY 10
1
Security

公開發行公司資通安全管理內控之探討系列 第 10

Day 10 有關《自行評估》的部分

  • 分享至 

  • xImage
  •  

《前言》

一般來說,在稽核之前,都會要求各單位做「自行評估」,自行評估的目的,主要是讓各部門了解,依照制度,各部門的執行率以及達成率有多少?之後,會與內稽之後的結果相比對,了解需要改善的地方。

=====================================

https://ithelp.ithome.com.tw/upload/images/20230925/20107482y3DlJwaAw4.jpg

======================================

《探討及分析》

有關於自行評估的部分,主要是規範在「公開發行公司建立內部控制制度處理準則」第二節「自行評估及內部控制制度聲明書」的第21~24條,扣除掉首次公開發行的第24條規定,列示如下:

https://ithelp.ithome.com.tw/upload/images/20230925/20107482XF9g0fyRIZ.png

這裡有幾點要說明,

首先,在第21條有提到「有效性」的問題,這裡所說的有效性,有部分是因為公司所制定的制度,可能難以執行,或者根本不可能做到,所以才必須要藉由自評的方式,了解哪些制度需要調整的,資通安全檢查也是其中的一環,所以資安的自評也是一樣,換句話說,如果公司寫了一堆天馬行空的制度,自評的結果有效性很低,那就是無效的資安內控了。

此外,根據第22條規定,自評是每年至少做一次,以目前公司治理有關資安的部分,如果在建置的過程當中,有一直在調整變動,建議還是每半年做一次自評,同時,我們也注意到這三條規定當中,也一直在強調「法令遵循」的部分,現在不只是資安的法令,很多其他循環也會因為各種法令、制度、規範、準則、命令、涵式…不停的在變動,所以自評就變得很重要了。

我們參考資安署有關「自評」的部分,上面列了很多自評表,主要目的就是請受稽單位先自我評估,這裡的附件有很多,其實每種附件都可以拿來做細項討論,但如筆者上述所說的,「有效性」+「法令遵循」就是自評的目的,在做自評時,只要能抓住這個方向,之後在與資安實地稽核的結果相比較,大概就知道有哪些需要調整了。

所以我們在資安的稽核計畫當中,可以這樣撰寫資安自評的部分,

有關資安自行評估的部分:

  1. 受稽的資安單位,必須填寫資安自行評估表,每年至少一次。
  2. 資安單位在填完表後,必須在規定期限內回覆。
  3. 建議受稽單位先行辦理資安健診作業,俾利預先了解資安現況,並配合法令規定,進行改善作業。

以上給各位參考。


上一篇
Day 9 有關《稽核方式、項目及配分》的部分之三
下一篇
Day 11 有關《作業說明》的部分之一
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言