《前言》

交易所及櫃買中心有發表「上市上櫃公司資通安全管控指引」，「指引」的意思，主要是個「引導方向」，所以指引並非是辦法或法規，因此這份指引只是一個參考用的規定，所以一般的公發公司在了解之後，在制訂內部控制制度時，就應該要了解一下指引內的要求該如何訂入內控制度之內，當然稽核單位目前能參考的，大概就屬這項資通安全管控指引，所以在前面的稽核計畫內會將這個指引納入依據之內，在將來如果有更明確的辦法時，還是要依主管機關的規定更新辦法及制度。

本篇就從指引的第一章《總則》開始探討。

=======================================

第一章 總則

第一條、 為協助上市、上櫃公司(以下簡稱公司)強化資通安全防護及管理機制，並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業，特擬定本資通安全管控指引。

第二條、 名詞定義

一、 資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、 資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、 核心業務：公司維持營運與發展必要之業務。
四、 核心資通系統：支持核心業務持續運作必要之資通系統。
五、 機敏性資料：依公司業務考量，評估需保密或具敏感性之重要資料，如涉及營業秘密資料或個人資料等。

========================================

《探討及分析》

首先，我們看到總則所提到，這個指引主要目的之一，就是符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業，我們在之前也有提過電腦化資訊系統的部分，本篇就不在強調。

要比較注意的是，第二條雖然是名詞解釋，可是在指引內所要強調的資通，就涵蓋的範圍有資通的「系統」及「服務」兩種範圍，另外就是上市櫃公司的「核心業務」、「核心資通系統」以及「機敏性資料」等部分。所以我們從總則裡面就要了解，只要公司業務、服務有涉及到高度敏感性，就要將資通安全列入內控之內。

因此，我們可以了解，上市上櫃資通安全指引如果廣義的去解釋，其實是涵蓋整個內部控制的八大循環、電腦化資訊系統作業以及18個管理辦法之內的。尤其是對於敏感性產業，都有其制定及查核的要求的。

以上就是我們對於總則的部分做個簡單的說明，也給大家一個參考!