iT邦幫忙

2023 iThome 鐵人賽

DAY 23
1
Security

公開發行公司資通安全管理內控之探討系列 第 23

Day 23 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第四章 資通系統盤點及風險評估》

  • 分享至 

  • xImage
  •  

《前言》
本篇是說到盤點的部分,其實一般的盤點每年都需要定期盤點,資通安全的盤點,也是一樣,如果有遇到外部威脅,而造成資安事件,處理之後,有時也需要盤點設備損害情況,這部分都要跟會計單位做配合入帳,所以,內控其實是環環相扣的

=====================================
第四章 資通系統盤點及風險評估

第十一條、 定期盤點資通系統,並建立核心系統資訊資產清冊,以鑑別其資訊資產價值。

第十二條、 定期辦理資安風險評估,就核心業務及核心資通系統鑑別其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等。

=======================================

《探討及分析》

有關第十一條盤點的部分,一般公司的資訊部門,可以去參酌『不動產、廠房及設備循環』裡的『不動產及設備保管及記錄作業』的內容,這在一般發行公司是必要的作業項目,同時,這裡也建議可以參考資安署所公告的盤點表,連結參考如下:
https://www-api.moda.gov.tw/File/Get/acs/zh-tw/FsxcSKxax1hVB9z

同時,筆者在Day 14 有關作業說明-實地稽核-管理面》的部分也有提到盤點的部分,參考如下:
https://ithelp.ithome.com.tw/articles/10330069

接著,第十二條是強調資安風險評估,此部分是針對如果有機密性資料外洩的狀況之下,公司要如何因應,普遍的方式,就是將資料分拆,不要將重要資料單一的存放在同一個地方,盡量將重要資料做分拆,即使對方取得部分資料,也只是零星的碎片,但是,重點是資料分級要做好,每次資料傳遞就要先管控,如果一般公司有依這個指引定期做風險評估,並作演練,這樣對於降低類似的資安風險一定有幫助的。

https://ithelp.ithome.com.tw/upload/images/20231008/20107482PT29Cxav1Q.png

以上僅做為參考,實際還需配合公司情況調整!


上一篇
Day 22 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第三章資核心業務及其重要性》
下一篇
Day 24 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第五章 資通系統發展及維護安全》
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言