iT邦幫忙

2023 iThome 鐵人賽

DAY 15
1
Security

公開發行公司資通安全管理內控之探討系列 第 15

Day 15 有關《作業說明-實地稽核-技術面》的部分

  • 分享至 

  • xImage
  •  

《前言》

有些公司認為,法令上沒說的,就不需要遵守,但是,法令是無法規範到所有範圍的,有時是邊走邊修訂,或者有些特殊狀況出現,會出現解釋函令,或者是增修的條文。所以,在這個前提之下,一般發行公司即使在未規範的情形下,還是要以法令的目標為主,並根據實際情況,修訂各種辦法來補足法令不足之處。我們就以個資法為例,104年修訂之後,到112年才又修訂,這段時間之內,很多公司也不能因為舊法當中沒規定,就不用遵守,反而因為越來越有需要,匯集了各種問題之後,才因根據現實的不足,進行修法。但即使如此,新法也一定還是有不足的地方,就如前面所說的,一般發行公司應有的觀念,還是要藉由制定內部的辦法來解決不足之處,而非一直找漏洞,自行各自解釋,也不詢問或向主管機關反應,這樣反而造成更多混亂情形產生。

本次針對《作業說明》當中的《實地檢測—技術面》,做出以下分析。

=============================================

(三)技術面
https://ithelp.ithome.com.tw/upload/images/20230929/20107482blfJ5XFnLr.jpg

=============================================

《探討及分析》

就技術面的作業說明來看,大多是資安稽核人員去『確認』是否有達成,當然,稽核人員最好是曾經有受過技術面的訓練,但其實很難,資安署有相當的人力可以做確認,但一般發行公司在人力不足的情形下,還是必須借調資訊人員,或者由外部人協助,在此,筆者還是建議,在技術面的資安稽核,發行公司應該在稽核報告內,列出外部協助人員的資料與背景,以及他們協助的事項有哪些?以及公司外部的預算支出有多少?等等,這些都是有需要的,即使公司組織在怎樣簡化,有些必要的項目,還是得進行,長遠來說,也可以幫助公司逐步的建立完整的資安架構。

有關技術面作業說明這部分的內容,我們做個整理。參考如下:

(三) 技術面:
1. 資通安全防護及控制措施:
(1) 確認安全性檢測及資通安全健診實施情形。
(2) 公司網域、弱點測試通報機制、端點偵測及應變機制、資通安全防護實施情形。
(3) 電子資料(含個資)安全管理機制。
(4) 網路規劃及管理。
(5) 電腦機房及重要區域管理。
(6) 資料處理、儲存及傳輸安全、電子資料相關設備管理。
(7) 行動裝置安全、軟體使用安全、網路即使通訊安全、電子郵件安全等。

我們接著看技術面的第二部分。

2. 資通系統發展及維護安全:
(1) 確認資通系統之防護需求。
(2) 各資訊開發軟體之安全檢查,包括系統需求、設計、開發、測試、驗收、變更時應注意的安全事項。

最後,我們來看第三部分,

3. 資通安全事件通報應變及情資評估因應:
(1) 確認情資分享機制。
(2) 資通安全威脅偵測管理機制實施情形。
(3) 資通系統及相關設備監控事件日誌管理。
(4) 資安事件通報及應變作業規範及落實。
(5) 資安事件改善措施之有效性。
(6) 資通安全演練作業實施情形。

上面這三個部分,發行公司大部分還是可以根據實際狀況作增減,資安的稽核人員如果無法查到這麼多項目,也可以用抽樣的方式來檢視執行狀況。

以上的這些項目,有些在目前的《公開發行公司建立內部控制制度處理準則》之內的《電腦化資訊系統處理》當中有重複的,例如:

七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。

如果有重複查核的情形,也可以把這三項作業查核的查核結果用『索引』的方式,直接索引到資通安全檢查計畫之內,如此,就可以解決重工的問題。

以上給大家做參考。


上一篇
Day 14 有關《作業說明-實地稽核-管理面》的部分
下一篇
Day 16 有關《實地稽核時程表》的部分
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言