《前言》

有些公司認為，法令上沒說的，就不需要遵守，但是，法令是無法規範到所有範圍的，有時是邊走邊修訂，或者有些特殊狀況出現，會出現解釋函令，或者是增修的條文。所以，在這個前提之下，一般發行公司即使在未規範的情形下，還是要以法令的目標為主，並根據實際情況，修訂各種辦法來補足法令不足之處。我們就以個資法為例，104年修訂之後，到112年才又修訂，這段時間之內，很多公司也不能因為舊法當中沒規定，就不用遵守，反而因為越來越有需要，匯集了各種問題之後，才因根據現實的不足，進行修法。但即使如此，新法也一定還是有不足的地方，就如前面所說的，一般發行公司應有的觀念，還是要藉由制定內部的辦法來解決不足之處，而非一直找漏洞，自行各自解釋，也不詢問或向主管機關反應，這樣反而造成更多混亂情形產生。

本次針對《作業說明》當中的《實地檢測—技術面》，做出以下分析。

=============================================

(三)技術面

=============================================

《探討及分析》

就技術面的作業說明來看，大多是資安稽核人員去『確認』是否有達成，當然，稽核人員最好是曾經有受過技術面的訓練，但其實很難，資安署有相當的人力可以做確認，但一般發行公司在人力不足的情形下，還是必須借調資訊人員，或者由外部人協助，在此，筆者還是建議，在技術面的資安稽核，發行公司應該在稽核報告內，列出外部協助人員的資料與背景，以及他們協助的事項有哪些？以及公司外部的預算支出有多少？等等，這些都是有需要的，即使公司組織在怎樣簡化，有些必要的項目，還是得進行，長遠來說，也可以幫助公司逐步的建立完整的資安架構。

有關技術面作業說明這部分的內容，我們做個整理。參考如下：

(三) 技術面：
1. 資通安全防護及控制措施：
(1) 確認安全性檢測及資通安全健診實施情形。
(2) 公司網域、弱點測試通報機制、端點偵測及應變機制、資通安全防護實施情形。
(3) 電子資料(含個資)安全管理機制。
(4) 網路規劃及管理。
(5) 電腦機房及重要區域管理。
(6) 資料處理、儲存及傳輸安全、電子資料相關設備管理。
(7) 行動裝置安全、軟體使用安全、網路即使通訊安全、電子郵件安全等。

我們接著看技術面的第二部分。

2. 資通系統發展及維護安全：
(1) 確認資通系統之防護需求。
(2) 各資訊開發軟體之安全檢查，包括系統需求、設計、開發、測試、驗收、變更時應注意的安全事項。

最後，我們來看第三部分，

3. 資通安全事件通報應變及情資評估因應：
(1) 確認情資分享機制。
(2) 資通安全威脅偵測管理機制實施情形。
(3) 資通系統及相關設備監控事件日誌管理。
(4) 資安事件通報及應變作業規範及落實。
(5) 資安事件改善措施之有效性。
(6) 資通安全演練作業實施情形。

上面這三個部分，發行公司大部分還是可以根據實際狀況作增減，資安的稽核人員如果無法查到這麼多項目，也可以用抽樣的方式來檢視執行狀況。

以上的這些項目，有些在目前的《公開發行公司建立內部控制制度處理準則》之內的《電腦化資訊系統處理》當中有重複的，例如：

七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。

如果有重複查核的情形，也可以把這三項作業查核的查核結果用『索引』的方式，直接索引到資通安全檢查計畫之內，如此，就可以解決重工的問題。

以上給大家做參考。