iT邦幫忙

2023 iThome 鐵人賽

DAY 24
1
Security

公開發行公司資通安全管理內控之探討系列 第 24

Day 24 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第五章 資通系統發展及維護安全》

  • 分享至 

  • xImage
  •  

《前言》

因為前面幾篇做了幾張內控制度的表格,雖然不是很完整,屬於參考性質的成分居多,然而,最近覺得指引當中的法令條文細讀之後,開始發現,每條的條文內容,如果廣義去解釋,那可能真的到後面,全部都要寫進各個內控循環裡面,這需要很多腦力激盪的,所以從本篇開始,考量到發文的長度及時間,就不在撰寫內控制度的表格了,僅在內容當中點出部分內控制度要訂定在哪個循環或作業項目內,考量篇幅有限、時間有限的情況,也請多包涵。

=====================================
第五章 資通系統發展及維護安全

第十三條、 將資安要求納入資通系統開發及維護需求規格,包含機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾等。

第十四條、 定期執行資通系統安全性要求測試,包含機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾測試等

第十五條、 妥善儲存及管理資通系統開發及維護相關文件。

第十六條、 對核心資通系統辦理下列資安檢測作業,並完成系統弱點修補。
一、 定期辦理弱點掃描。
二、 定期辦理滲透測試。
三、 系統上線前執行源碼掃描安全檢測。

=======================================

《探討及分析》

有關第十三條的部分,是要求將『資安納入資通系統開發及維護需求規格』,目前在內部控制制度裡面,能夠對應到的部分應該是『電腦化資訊系統處理』的『系統開發及程式修改之控制』,也就是說,如果公司有開發新系統或是修改程式等等,都要將資安納入考量,不管是平常使用網管系統、ERP、APP或者新增伺服器等,都要納入資安。這當然也包含設備、機台等開發,只是比較麻煩的,機台設備的工程師如果隱匿,就只能靠稽核單位在稽核時,是否能夠有相對的敏銳度,而且有些專案,在短期內為專案所開發的程式,要如何做管理,這都是要討論的地方。

第十四條的部分,應該是對應到『資料輸出入之控制』這個作業項目,主要係因該條指引所要求的項目,都屬於存取的控制、身分驗證的輸入及輸出之檢查過濾,所以,我們參酌目前的內控準則,將這條法令歸入這個作業項目內,前面的稽核計畫內,也有將相關的內稽查核納入計畫之內。

第十五條的部分,就屬於『編製系統文書之控制』作業項目內,但是,我們也可以廣義的去定義到『研發循環』所包含的:基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。除了上述這兩個部份之外,也必須再配合公司管理性作業當中的『財務及非財務資訊之管理』,也就是文件管理的程序內

第十六條是有關定期的弱點掃描、滲透測試、源碼掃描等資安測試,這部分就很清楚的會訂在『資通安全檢查之控制』內了。

總結上述四條指引,其實很多可以擴展到本身的業務所用的系統,或者設備所用的系統,對於一些程式開發為主的公司,資安的這些要求是很基本的,但是如果在資本額小的公司,甚至於不是重點的產業上,至少在目前的『電腦化資訊系統處理』制度裡,還是有些基本的要求要做到,如果認為公司資安導入還需要等待一段時間,那應該要仔細想想,有些像勒索病毒之類的,他們發生的機率高或低了,所以還是建議多思考資安制度是不是要盡速建立了。


上一篇
Day 23 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第四章 資通系統盤點及風險評估》
下一篇
Day 25 在內部控制制度導入上市上櫃公司資通安全管控指引—有關《第六章 資通安全防護及控制措施第十七~二十條》
系列文
公開發行公司資通安全管理內控之探討30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言