《前言》
本章就要進入正式的主題,先從核心業務開始說起,近年來由於美中關係緊張,所以公司的核心業務是甚麼,變成一個很嚴肅的議題,尤其這會牽扯到供應鏈上下游,其重要性當然不可言喻。然而,有些公發公司可能認為公司規模不大,或者說是屬於傳產,本身產業在資安的範圍內不是那麼重要,所以就沒有積極去理解這些的議題,事實上,即使公司目前在供應鏈裡可能不是那麼重要,但是同業之間的競爭,不管國內外的同業,如果沒有保有自身所掌握的利基,很容易就被市場給取代並且淘汰掉,這在資本市場上是屢見不鮮的,所以有關核心業務及機敏性資料保護,一般的公發公司當然要謹慎以對了。
本篇所討論的部分,因可包含範圍極廣,所以僅作概略敘述!
=====================================
第三章 核心業務及其重要性
第七條、 鑑別並定期檢視公司之核心業務及應保護之機敏性資料。
第八條、 鑑別應遵守之法令及契約要求。
第九條、 鑑別可能造成營運中斷事件之發生機率及影響程度,並明確訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO),設置適當之備份機制及備援計畫。
第十條、 制定核心業務持續運作計畫,定期辦理核心業務持續運作演練,演練內容包含核心業務備援措施、人員職責、應變作業程序、資源調配及演練結果檢討改善。
======================================
《探討及分析》
在第七條的部分,主要就是公司核心業務及機敏性資料的檢視,這邊有要求必需要「鑑別」與「檢視」,可是這裡有個問題,就是應該由誰來鑑別?通常公司自己對於核心業務一定都是最重要的部分,也是business model裡面能夠獲利之處,這其中也包括專利、技術、服務等等都算是高度核心業務,即使要請第三方或外部來評鑑,這部分也是很高度的機密,不可能做外部評鑑的,更何況這也涉及營業秘密法,所以,這個鑑別的方式的定義,是應該要更明確。
第八條的部分,是屬於法律遵循的部分,法務、風控或稽核單位可以分別用不同觀點查核,這部分尚可以透過這些單位達成這項要求,不過,重點還是在於公司要遵守法令及契約的規定
。
第九條的部分,就是營運中斷發生之機率及影響程度,有關這部分,就得要透過很多資安的演練,來做評鑑,這個目前很多資安公司都有在從事這部分的業務,所以可以透過外部協助來評估這些問題。此外,第九條的後半提到備份機制,這部分大部分系統都可以做到,很多小規模的公司大概就是設定還原點,不過,後面所提的備援計畫,這個大部分都會忽略掉,一般較小的大概做到還原點及備份就覺得有做到了,可是備援這部分,就是在系統、網路、設備等,受到外部攻擊時,是否有可以讓公司網路、系統、設備等仍然順利運作的備援系統,這個就不是一般的公發公司能夠全部做到的部分了。
第十條的部分,制訂核心業務持續運作的計畫,演練內容要包含:
(1) 核心業務備援措施
(2) 人員職責
(3) 應變作業程序
(4) 資源調配
(5) 演練結果檢討改善
對於上述的演練,當前是個很熱門的一個主題,大致上,當前比較有規模的公司,都會定期進行相關的演練,不過,小資本或是資源較匱乏的公司,如果在預算有限的情形之下,可以將核心業務另外獨立出來存放,資料也不一定要存放在伺服器上或放到雲端之上,只要能夠安全並可靠的保存即可
,這部分只要能說明清楚,演練的方式還是要依公司實際情形作彈性的調整才對。
當然上述很多項都很不太容易做到,不過,我們還是在能力範圍內,將其列入內控之內,以下為參考之內控重點:
以上內容僅是概述,因涵蓋範圍極廣,無法詳細陳述,僅作為參考之用,實際還是要依公司情況訂定。