《前言》

在介紹完一般公發公司的稽核計劃撰寫方式之後，會把這部分做個整合，希望能對一般公發公司的資安稽核計劃撰寫有幫助。當然，目前法令仍然有很多不足的地方需要再探討，尤其這資安是公司治理裡面，很重要的一個部分，往後對於一般發行公司內控制度建立，資安勢必都會深入各個內控循環之內，對於未來的內控制度的建立，在撰寫時，資安這個要素，都必定考慮進去的。相對的，稽核單位對於資安這個議題，也必須花更多時間了解，才能有效的進行內稽內控。

本次針對《作業說明》當中的《實地檢測—策略面》，做出以下分析。

=====================================

=====================================

《探討及分析》

我們參考資安署的內容之後，可以用資安署的版本來修正成一般發行公司的稽核計劃，除了我們能夠有依據之外，更重要的是，計劃寫好，在查核完畢之後，稽核單位所提供建議，可以做為公司後續調整及改善的參考。

我們就從策略面的作業說明，開始以下的探討。這部分的內容是可以直接參考資安署的稽核計劃的內容，並做修改及調整。參考如下：

(一) 策略面：
1. 核心業務及其重要性：
(1) 確認資安等級分級
(2) 資通安全管理系統(ISMS)之範圍。
(3) 資安對營運上的衝擊，例如，是否資安事件會影響營收等。
(4) 核心資通系統持續運作的計劃。
(5) 資安演練。
(6) 備份及備援機制。
(7) 復原測試。
(8) 資安治理成熟度評估。

有關《核心業務及其重要性》的實地檢測項目，都是一般發行公司應該要做到的項目，這部分不管公司規模大小，或是外包，都是很基本要做的項目。

我們接著看策略面的第二部分。

2. 資通安全政策及推動組織：
(1) 確認資安政策及目標。
(2) 受稽單位之資安管理及運作。
(3) 資安組織推動。
(4) 考核機制與獎懲標準。
(5) 利害關係人之管理。

有關資通安全政策及推動組織的部分，這部分屬於組織管理的部分，一般發行公司就是要注意關於組織所要求的管理目標是否達成。請大家注意，最後一項是關於利害關係人的管理，這裡所謂關係人，簡單的說，就是董事會裡的成員之間的交易，要做好資安管理，舉例來說，發行公司跟投資的董事或者大股東有交易往來產生，例如：宏碁跟集團內的公司有交易產生，此時，這個交易是否有資安的問題產生？這個就是屬於利害關係人之間的資安管理了。

最後，我們來看第三部分，

3. 專責人力及經費配置：
(1) 確認資安經費及人力資源配置之妥適性。
(2) 資安/經費佔預算比率。
(3) 資安人力配置情形。
(4) 資安認知及訓練。
(5) 資安人員專業證照及職能訓練。

這個項次，基本上都會在股東會年報上面揭露，雖然，筆者在之前檢視一些公發公司時，很多公司大概只是帶過去，或是屬於口號式的揭露，但最好還是有數據資料比較好。

以上給大家做參考。