iT邦幫忙

2023 iThome 鐵人賽

DAY 14
1
Security

公開發行公司資通安全管理內控之探討系列 第 14

Day 14 有關《作業說明-實地稽核-管理面》的部分

  • 分享至 

  • xImage
  •  

《前言》

分享一下,昨日有同業問說,公司的資安外包,所以公司目前的資安單位的負責人是外部人嗎?答案當然不是,公司資安團隊把資安的部分外包,但是依然是公司的資安單位做為管控的單位,公司的資安單位還是隨時要做好外包商管理,因此,公司資安單位的負責人,仍然是公司的內部人,千萬不要搞混了。在此做個分享。

本次針對《作業說明》當中的《實地檢測—管理面》,做出以下分析。

==============================================
https://ithelp.ithome.com.tw/upload/images/20230928/20107482h7zpmjdvLX.jpg

==============================================

《探討及分析》

就管理面的作業說明來看,很多是可以參照使用,這部分的內容,我們做個整理。參考如下:

(一) 管理面
1. 資訊及資通系統盤點及風險評估
(1) 確認資訊資產盤點及相關管理程序。
(2) 資訊資產處置規範與異動汰除管控作業。
(3) 風險評估。
(4) 風險處理及後續追蹤情形。
(5) 管理與限制使用中國大陸廠牌資通訊產品。

請注意這部分的(3)~(4),提到風險評估與處理,這也是我們一再強調風控的部分,就不再贅述了。比較值得要探討的點,就是對於購買大陸廠牌資訊產品的管理,有關購買對岸的產品,這要由公司高層政策來決定,當然,採購人員如果在有需要的情況下,最好能將中國大陸的產品,特別整理出來,同時在ERP系統的供應商商管理的系統內,做好供應商基本資料管理與定期的信用評估,每次的採購前,也需要做風險評估,將風險降到最低。其實這也不只單指中國大陸產品,對於許多風險性較高的國家,都應列入風控之內才對

我們接著看策略面的第二部分。

2. 資訊系統或服務委外辦理之管理措施:
(1) 確認資訊作業委外安全管理程序。
(2) 資訊委外資安要求及服務等協議。
(3) 委外人員管理。
(4) 委外供應商之管理、監督及稽核。

第二部分的說明,剛好在《前言》的部分有提到,這裡就整理得很仔細,還是再強調,公司的資安單位對委外單位要做好合約管理,並且請外包商配合公司政策,確實提供資料,換句話說,資安單位要負責先做好外包的第一線管理

最後,我們來看第三部分,

3. 資通安全維護計畫與實施情形支持續精進及績效管理機制:
(1) 資通安全計畫訂定、修正及實施情形。
(2) 內部稽核及後續追蹤。
(3) 主管機關之監督辦理情形。
(4) 資安事件公告情形,及後續追蹤。
(5) 資安演練情形。

其實,我們在管理面作業說明的1、2兩點,看到、提到很多程序書,正常來說,一般發行公司都會制訂不少資安相關的管理辦法,所以在做資安內部稽核的過程當中,通常也是會一起配合著看公司的資安管理辦法,最後在提出追蹤及建議。大致上,管理面的這三部分都有涵蓋到資安稽核的管理重點了。

以上給大家做參考。


上一篇
Day 13 有關《作業說明-實地稽核-策略面》的部分
下一篇
Day 15 有關《作業說明-實地稽核-技術面》的部分
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言