iT邦幫忙

2023 iThome 鐵人賽

DAY 13
1
Security

公開發行公司資通安全管理內控之探討系列 第 13

Day 13 有關《作業說明-實地稽核-策略面》的部分

  • 分享至 

  • xImage
  •  

《前言》

在介紹完一般公發公司的稽核計劃撰寫方式之後,會把這部分做個整合,希望能對一般公發公司的資安稽核計劃撰寫有幫助。當然,目前法令仍然有很多不足的地方需要再探討,尤其這資安是公司治理裡面,很重要的一個部分,往後對於一般發行公司內控制度建立,資安勢必都會深入各個內控循環之內,對於未來的內控制度的建立,在撰寫時,資安這個要素,都必定考慮進去的。相對的,稽核單位對於資安這個議題,也必須花更多時間了解,才能有效的進行內稽內控。

本次針對《作業說明》當中的《實地檢測—策略面》,做出以下分析。

=====================================

https://ithelp.ithome.com.tw/upload/images/20230927/20107482M9Cp3RJBK7.jpg

=====================================

《探討及分析》

我們參考資安署的內容之後,可以用資安署的版本來修正成一般發行公司的稽核計劃,除了我們能夠有依據之外,更重要的是,計劃寫好,在查核完畢之後,稽核單位所提供建議,可以做為公司後續調整及改善的參考。

我們就從策略面的作業說明,開始以下的探討。這部分的內容是可以直接參考資安署的稽核計劃的內容,並做修改及調整。參考如下:

(一) 策略面:
1. 核心業務及其重要性:
(1) 確認資安等級分級
(2) 資通安全管理系統(ISMS)之範圍。
(3) 資安對營運上的衝擊,例如,是否資安事件會影響營收等。
(4) 核心資通系統持續運作的計劃。
(5) 資安演練。
(6) 備份及備援機制。
(7) 復原測試。
(8) 資安治理成熟度評估。

有關《核心業務及其重要性》的實地檢測項目,都是一般發行公司應該要做到的項目,這部分不管公司規模大小,或是外包,都是很基本要做的項目。

我們接著看策略面的第二部分。

2. 資通安全政策及推動組織:
(1) 確認資安政策及目標。
(2) 受稽單位之資安管理及運作。
(3) 資安組織推動。
(4) 考核機制與獎懲標準。
(5) 利害關係人之管理。

有關資通安全政策及推動組織的部分,這部分屬於組織管理的部分,一般發行公司就是要注意關於組織所要求的管理目標是否達成。請大家注意,最後一項是關於利害關係人的管理,這裡所謂關係人,簡單的說,就是董事會裡的成員之間的交易,要做好資安管理,舉例來說,發行公司跟投資的董事或者大股東有交易往來產生,例如:宏碁跟集團內的公司有交易產生,此時,這個交易是否有資安的問題產生?這個就是屬於利害關係人之間的資安管理了。

最後,我們來看第三部分,

3. 專責人力及經費配置:
(1) 確認資安經費及人力資源配置之妥適性。
(2) 資安/經費佔預算比率。
(3) 資安人力配置情形。
(4) 資安認知及訓練。
(5) 資安人員專業證照及職能訓練。

這個項次,基本上都會在股東會年報上面揭露,雖然,筆者在之前檢視一些公發公司時,很多公司大概只是帶過去,或是屬於口號式的揭露,但最好還是有數據資料比較好。

以上給大家做參考。


上一篇
Day 12 有關《作業說明》的部分之二
下一篇
Day 14 有關《作業說明-實地稽核-管理面》的部分
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言