《前言》

因為前面幾篇做了幾張內控制度的表格，雖然不是很完整，屬於參考性質的成分居多，然而，最近覺得指引當中的法令條文細讀之後，開始發現，每條的條文內容，如果廣義去解釋，那可能真的到後面，全部都要寫進各個內控循環裡面，這需要很多腦力激盪的，所以從本篇開始，考量到發文的長度及時間，就不在撰寫內控制度的表格了，僅在內容當中點出部分內控制度要訂定在哪個循環或作業項目內，考量篇幅有限、時間有限的情況，也請多包涵。

=====================================
第五章 資通系統發展及維護安全

第十三條、 將資安要求納入資通系統開發及維護需求規格，包含機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾等。

第十四條、 定期執行資通系統安全性要求測試，包含機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾測試等

第十五條、 妥善儲存及管理資通系統開發及維護相關文件。

第十六條、 對核心資通系統辦理下列資安檢測作業，並完成系統弱點修補。
一、 定期辦理弱點掃描。
二、 定期辦理滲透測試。
三、 系統上線前執行源碼掃描安全檢測。

=======================================

《探討及分析》

有關第十三條的部分，是要求將『資安納入資通系統開發及維護需求規格』，目前在內部控制制度裡面，能夠對應到的部分應該是『電腦化資訊系統處理』的『系統開發及程式修改之控制』，也就是說，如果公司有開發新系統或是修改程式等等，都要將資安納入考量，不管是平常使用網管系統、ERP、APP或者新增伺服器等，都要納入資安。這當然也包含設備、機台等開發，只是比較麻煩的，機台設備的工程師如果隱匿，就只能靠稽核單位在稽核時，是否能夠有相對的敏銳度，而且有些專案，在短期內為專案所開發的程式，要如何做管理，這都是要討論的地方。

第十四條的部分，應該是對應到『資料輸出入之控制』這個作業項目，主要係因該條指引所要求的項目，都屬於存取的控制、身分驗證的輸入及輸出之檢查過濾，所以，我們參酌目前的內控準則，將這條法令歸入這個作業項目內，前面的稽核計畫內，也有將相關的內稽查核納入計畫之內。

第十五條的部分，就屬於『編製系統文書之控制』作業項目內，但是，我們也可以廣義的去定義到『研發循環』所包含的：基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權之取得、維護及運用等之政策及程序。除了上述這兩個部份之外，也必須再配合公司管理性作業當中的『財務及非財務資訊之管理』，也就是文件管理的程序內。

第十六條是有關定期的弱點掃描、滲透測試、源碼掃描等資安測試，這部分就很清楚的會訂在『資通安全檢查之控制』內了。

總結上述四條指引，其實很多可以擴展到本身的業務所用的系統，或者設備所用的系統，對於一些程式開發為主的公司，資安的這些要求是很基本的，但是如果在資本額小的公司，甚至於不是重點的產業上，至少在目前的『電腦化資訊系統處理』制度裡，還是有些基本的要求要做到，如果認為公司資安導入還需要等待一段時間，那應該要仔細想想，有些像勒索病毒之類的，他們發生的機率高或低了，所以還是建議多思考資安制度是不是要盡速建立了。