《前言》

分享一下，昨日有同業問說，公司的資安外包，所以公司目前的資安單位的負責人是外部人嗎？答案當然不是，公司資安團隊把資安的部分外包，但是依然是公司的資安單位做為管控的單位，公司的資安單位還是隨時要做好外包商管理，因此，公司資安單位的負責人，仍然是公司的內部人，千萬不要搞混了。在此做個分享。

本次針對《作業說明》當中的《實地檢測—管理面》，做出以下分析。

==============================================

==============================================

《探討及分析》

就管理面的作業說明來看，很多是可以參照使用，這部分的內容，我們做個整理。參考如下：

(一) 管理面：
1. 資訊及資通系統盤點及風險評估：
(1) 確認資訊資產盤點及相關管理程序。
(2) 資訊資產處置規範與異動汰除管控作業。
(3) 風險評估。
(4) 風險處理及後續追蹤情形。
(5) 管理與限制使用中國大陸廠牌資通訊產品。

請注意這部分的(3)~(4)，提到風險評估與處理，這也是我們一再強調風控的部分，就不再贅述了。比較值得要探討的點，就是對於購買大陸廠牌資訊產品的管理，有關購買對岸的產品，這要由公司高層政策來決定，當然，採購人員如果在有需要的情況下，最好能將中國大陸的產品，特別整理出來，同時在ERP系統的供應商商管理的系統內，做好供應商基本資料管理與定期的信用評估，每次的採購前，也需要做風險評估，將風險降到最低。其實這也不只單指中國大陸產品，對於許多風險性較高的國家，都應列入風控之內才對。

我們接著看策略面的第二部分。

2. 資訊系統或服務委外辦理之管理措施：
(1) 確認資訊作業委外安全管理程序。
(2) 資訊委外資安要求及服務等協議。
(3) 委外人員管理。
(4) 委外供應商之管理、監督及稽核。

第二部分的說明，剛好在《前言》的部分有提到，這裡就整理得很仔細，還是再強調，公司的資安單位對委外單位要做好合約管理，並且請外包商配合公司政策，確實提供資料，換句話說，資安單位要負責先做好外包的第一線管理。

最後，我們來看第三部分，

3. 資通安全維護計畫與實施情形支持續精進及績效管理機制：
(1) 資通安全計畫訂定、修正及實施情形。
(2) 內部稽核及後續追蹤。
(3) 主管機關之監督辦理情形。
(4) 資安事件公告情形，及後續追蹤。
(5) 資安演練情形。

其實，我們在管理面作業說明的1、2兩點，看到、提到很多程序書，正常來說，一般發行公司都會制訂不少資安相關的管理辦法，所以在做資安內部稽核的過程當中，通常也是會一起配合著看公司的資安管理辦法，最後在提出追蹤及建議。大致上，管理面的這三部分都有涵蓋到資安稽核的管理重點了。

以上給大家做參考。